트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs)이 발표한 2005년 5월 바이러스 분석 자료에 따르면, 컴퓨터 악성 프로그램의 파괴적 방식을 모방하는 휴대 전화 악성 프로그램이 나날이 증가하고 있다.
컴퓨터 바이러스는 크래시, 프로그램 종료, 변종, 무선 공격, 무료 소프트웨어로 위장, 데이터 도용 등과 함께 악성 프로그램이 날로 증가해 최근 크게 이슈화 되었으나, 이러한 악성코드가 심지어 휴대전화와 컴퓨터를 동시에 감염시킬 수 있는 가능성이 높아지면서 대책 이에 대한 마련이 요구되고 있다.
트렌드랩의 최근 보고에 따르면, 지난 3개월간 발견된 모바일 악성 프로그램은 기술 및 감염 범위 면에서 놀라운 속도로 발전했으며, 제거하기가 무척 어려운 수준에까지 이르렀다. 이러한 악성 프로그램은 전화 파일, 주소록, 메시지, 그림은 물론 기본적인 전화사용에도 장애를 일으킬 수 있기 때문에 트렌드마이크로는 휴대전화 사용자들에게 이 새로운 모바일 위협에 신중하게 대응할 것을 당부하고 있다.
트렌드랩이 휴대전화도 악성 프로그램의 공격 대상에서 예외가 아님을 처음 발견한 것은 지난 2004년 6월이다. 최초의 휴대전화 악성 프로그램인 SYMBOS_CABIR.A는 블루투스 기기를 통해서만 확산됐으며, 이 개념증명(PoC) 방식의 웜은 크게 주목받지 못했다.
그로부터 6개월이 지난 2005년 1사분기 현재 악성 프로그램은 신기술 추세에 맞춰 변화하기 시작했으며, 단 3개월 만에 혁신적 기술을 자랑하는 10개의 신종 모바일 악성 프로그램이 등장했다. 현재 휴대전화 업체에서는 전화 기능 복구 서비스를 제공하고 있지만 트로이목마 제거 서비스는 없는 실정이다. 그 결과 안티바이러스 소프트웨어가 없는 전화기, 특히 블루투스 기능의 전화기는 나날이 더욱 심각한 위험에 직면하고 있다. 모바일 악성 프로그램의 동향을 살펴보면 무선 도메인이 악성 프로그램의 전쟁터가 되고 있음을 알 수 있다. 최근에는 무료 다운로드를 제공하는 웹 사이트에 안티바이러스 소프트웨어를 차단하는 최초의 모바일 트로이목마까지 등장했다.
안티바이러스 소프트웨어 제거
안티바이러스 프로그램을 삭제하는 SYMBOS_DREVER.A와 ‘레트로 바이러스’가 휴대전화를 공격하기 시작했다.
지난 3월에 나타난 SYMBOS_DREVER.A는 F-Secure 및 SimWorks 소프트웨어와 같은 몇몇 안티바이러스 애플리케이션을 덮어쓰는 최초의 휴대전화 악성 프로그램이다.
이러한 종류의 파괴적 양상은 모바일 위협이 이미 특정 목표를 향해 전진하고 있음을 나타낸다. 다음 단계는 데이터 도용이 될 전망이다.
SYMBOS_DREVER.A는 사용자의 암호와 기밀 정보를 훔쳐내는 모바일 트로이목마이다. 이 트로이 목마는 무료 안티바이러스 프로그램 또는 게임으로 위장하여 불법 소프트웨어 사이트나 해커 사이트를 통해 다운로드 된다. 이 악성 프로그램은 실제로 SYMBOS_DREVER.B 및 SYMBOS_ DREVER.C라는 2가지 새로운 변종으로 이어져 필리핀을 혼란으로 몰아넣었다.
트렌드마이크로의 바이러스 전문가는 “안티바이러스 소프트웨어를 종료하는 모바일 트로이목마가 등장했다는 사실은 모바일 바이러스가 더욱 강력해지고 있다는 경고 신호이며, 수많은 휴대전화 사용자들에게 위협을 가하고 있다.”고 분석했다.
올 1사분기에는 블루투스 기기를 감염시키는 모바일 악성 프로그램의 선조격인 카비르(Cabir)로부터 2가지 변종이 만들어졌다. 여기에 드레버(Drever) 계열까지 추가된 지금, 보안을 위협하는 모바일 악성 프로그램이 정기적으로 새로 등장할 것으로 전망된다.
트렌드마이크로는 SYMBOS_DREVER.A 트로이목마에 감염된 휴대전화에는 “Dr Web FOREVER!!!!”라는 메시지가 나타나며 SYMBOS_DREVER.C 는 보안 업체를 저주하는 “FSECURE MUST DIE!!!!!! Please, don’t make new antiviruses for my viruses and I stop make viruses for your anti-viruses. My target is Simworks! =}”라는 메시지를 표시한다고 밝혔다.
안티바이러스 애플리케이션을 삭제할 수 있는 ‘레트로 바이러스’로 인해 안티바이러스의 전장이 컴퓨터에서 휴대전화로 옮겨가고 있다.
트렌드마이크로의 분석에 따르면 SYMBOS_DREVER.A로 삭제된 안티바이러스 소프트웨어를 재설치하면 악성 프로그램이 제거되기는 하지만 사용자들이 직접 재설치 해야만 한다.
컴퓨터와 휴대전화의 동시 감염
이와함께 최근 PE_VLASCO.A 및 SYMBOS_VLASCO.A, 일부 휴대전화 애플리케이션에서 장애 유발시켰다.
지난 1월 10일, PE_VLASCO.A는 컴퓨터 시스템과 무선 장치를 동시에 공격하는 최초의 악성 프로그램으로 기록되었다. 이 바이러스는 시리즈 60 휴대전화 뿐 아니라 윈도우즈 시스템에 영향을 준다. 일단 윈도우즈 시스템이 감염되면 PE_VLASCO.A의 부가 바이러스인 SYMBOS_VLASCO.A가 시리즈 60 플랫폼을 실행하는 휴대전화를 공격할 수 있다. 이 악성 프로그램은 일부 기존 애플리케이션을 새로운 것으로 대체하고 정상적인 작동을 방해한다.
또한 SYMBOS_LOCKNUT는 다운로드 후 전화가 작동하지 못하도록 버튼을 고장시키는 일도 발생했다. 2월 초에는 트렌드마이크로가 SYMBOS_ LOCKNUT이라고 이름 붙인 두 개의 파괴적 악성 프로그램을 발견했다.
첫 번째 변종 SYMBOS_LOCKNUT.A는 심비안 OS v7.0이 설치된 휴대전화를 감염시켜 일부 키의 작동을 방해하고 심지어 전화기의 고장을 유도한다. 다행스럽게도 SYMBOS_LOCKNUT.A는 스스로 전파되지 않는다.
그러나 이 바이러스 제작자는 그의 명성에 만족하지 않고 파괴력과 감염력이 향상된 SYMBOS_LOCKNUT.B 버전을 내놓았다. 이 변종은 블루투스를 통해 전파되는 최초의 모바일 악성 프로그램 SYMBOS_CABIR.A를 모방한 것이다. 이것은 정상 파일로 위장하여 확산되고 전화기의 블루투스 통신 기능을 통해 목표를 탐지하며, 유해 파일을 수락하는 즉시 새로 감염된 전화는 작동불량을 일으키고 잠겨버린다.
다양한 감염 경로와 빠른 확산 속도
멀티미디어 메시지 서비스(MMS)를 통해 광범위한 전파를 촉진하는 SYMBOS_COMWAR.A도 등장했다.
지난 3월 초에 최초로 모습을 드러낸 SYMBOS_COMWAR.A는 다양한 인터넷 사이트에서 COMMWARRIOR.ZIP이라는 압축 파일로 다운로드 된 다음 무작위 파일 이름으로 블루투스를 통해 확산된다. 특히 이것은 사전 정의된 컨텐츠의 MMS 메시지를 보내면서 자기 자신을 SIS 파일로 첨부함으로써 확산되는 최초의 악성 프로그램이다.
트렌드마이크로의 설명에 따르면, 초기의 모바일 악성 프로그램은 사용자들이 모르고 직접 실행한 수동 전송이나 무선 전송을 통해 휴대전화를 공격했다고 한다. 그러나 COMWAR는 이러한 초기의 악성 프로그램에서 대폭 진보한 능동적 감염 방법을 택하고 있으며, 감염된 사용자의 주소록 전체에 포르노 메시지를 전송하여 모두 감염시킨다.
모바일 바이러스의 7단계 처리 방법
모바일 악성 프로그램으로 인한 위협의 증가는 악성 프로그램 공격이 신기술을 따라잡을 수 있음을 나타낸다. 또한 리소스도 쉽게 확보할 수 있다. 어떤 바이러스 제작 그룹은 작년 말 해커들의 정기 간행물에 블루투스를 통해 전파되는 최초의 개념증명(PoC) 방식 모바일 웜인 카비르(Cabir)의 소스 코드를 발표했다. 올 들어 갑작스럽게 등장한 여러 가지 모바일 악성 프로그램은 이 소스 코드가 믿을만한 것임을 증명한다.
트렌드마이크로는 증가하는 모바일 공격을 방지하기 위해 다음을 제안한다.
? 블루투스를 통해 파일을 받을 때는 감염된 파일을 피할 수 있도록 각별히 주의한다.
? 감염된 경우, 블루투스 기능을 차단하여 악성 프로그램이 새 목표를 찾지 못하도록 한다.
? 모르는 발신자의 메시지는 열지 말고 삭제한다.
? 출처가 확실치 않은 프로그램은 설치하지 않는다.
? 벨소리와 게임은 합법적인 공식 웹 사이트에서만 다운로드한다.
? 감염된 애플리케이션은 즉시 삭제하고 다시 설치한다.
? 안티바이러스 프로그램을 설치한다.