새로운 위협으로 등장
트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs)이 발표한 2005년 1분기 바이러스 보고서에 의하면, 인스턴트 메시징(IM) 웜, 안티 마이크로소프트 트로이목마, 모바일 악성 프로그램 및 악성 프로그램 탠덤 등이 정보 보안에 새로운 위협으로 등장하고 있다.
바이러스 전문가들은 이러한 위협이 전혀 새로운 것은 아니지만 해커들은 예전과 비교해 보다 정교한 기술을 사용해 효율적으로 공격하고 있다고 경고하고 있다. 악성 프로그램 탠덤의 경우, 바이러스 자체는 파괴적이지 않을지 몰라도 시스템으로 유입되는 2차 바이러스는 원격 공격을 유발할 수 있다. 또한 올해 1분기 동안 최신 베이글의 변종과 2개의 MSN 웜은 이와 같은 이중 공격 패턴을 답습해서 광범위한 감염을 유발시키고 있다고 지적했다.
비록 올 1분기 동안에 6개의 바이러스 경고가 발령되긴 했지만 지난해 1분기와 12건의 바이러스 발생 건수와 비교하면 감소하는 추세다. 하지만 전자우편을 통해 바이러스의 새로운 확산 경로를 찾기가 사실상 힘들어진 지금, 과거의 개념증명방식(PoC) 바이러스가 올해 새로 업그레이드될 가능성이 점쳐지고 있다.
트렌드랩의 데이터에 따르면, 지난해에 발생한 바이러스들 중 단 2개만이 전자우편과 관련이 없었다. 하지만, 올해 3월 7일 두개의 각기 다른 인스턴트 메신저(IM) 웜이 동시에 같은 날 출현하는 기록을 세웠다.
또한 3월에는 10개의 모바일 악성 프로그램이 단기간에 출현하여 주목을 받았는데, 여기에는 블루투스 사용 가능 기기를 노렸던 4개의 악성 프로그램이 포함되어 있다.
트렌드마이크로는 1사분기 동안 총 7,598개의 신종 악성 프로그램을 감지했으며, 이는 보고된 사례의 64%를 차지한다. 이 기간 동안 신종 악성 프로그램의 숫자는 이전 분기의 200%, 작년 동기 300%가 증가 되었다. 드디어 신종 악성 프로그램의 숫자가 7,000개를 넘어선 것이다.
지난 다섯 분기 동안 신종 악성 프로그램의 수는 2004년 첫 분기 2,695개에서 3분기 6,500개로 증가했다. 그러나 2004년 마지막 분기에 악성 프로그램의 숫자는 3,990개로 감소했다. 이로 미뤄볼 때 올해 1분기의 갑작스러운 악성 프로그램의 증가는 올해 계속 증가되리라는 전조로 풀이된다.
인터넷 보안의 중대한 위협 ‘인스턴트 메신저 웜’
최초의 IM 바이러스인 WORM_MENGER.A가 2001년 출현했을 때, 이 바이러스는 전자우편을 통해 전파되는 바이러스에 비해 그다지 집중을 받지 못했다. 올해 1사분기에 세 개의 MSN 바이러스, 즉 WORM_BROPIA.F, WORM_FATSO.A 및 WORM_KELVIR.B가 2월과 3월에 심각한 피해를 입히면서 상황은 바뀌었다. 이제 IM 바이러스는 인터넷 보안에 중대한 위협으로 여겨지고 있다.
지난 4년간, 바이러스 경보 발령에 이른 IM 바이러스는 단지 1개가 발생해 큰 위협의 대상이 아니었으나, 최근에 급증하고 있는 추세이다.
지난 3개월간 내려진 6개의 바이러스 경보 중 3개가 IM을 통해 전파되는 웜 때문에 내려졌고, 2개의 IM 웜은, 봇(bot) 웜이 감염된 시스템 속으로 숨어들게 했다.
사용자에게 있어서는 전자우편보다 친숙하고 대화식 통신을 제공하는 온라인 채팅 프로그램은 사람들 간의 거리감을 줄여줄 뿐만 아니라, 악성 프로그램이 시스템을 공격하는 데 걸리는 시간을 굉장히 단축시키고 있다.
IM 웜은 사람들의 호기심과 우정 그리고 믿음을 완벽히 이용해 단지 주소 연결과 흥미있는 파일 이름으로, IM 웜은 사람들이 “모르는 파일은 열지 말라”거나 “링크를 클릭하지 않는다”는 상식을 잊게 하고 있다.
IM 웜의 등장은 급증한 것은 악성 프로그램의 오리지널 코드가 알려졌기 때문으로 분석된다.
앞에서 언급한 세가지 바이러스의 변종 외에, ICQ와 AIM은 각각 WORM_VAMPIRE.A 및 WORM_AIMDES.A의 매개체였다.
악성 프로그램 탠덤들 협동으로 위협 배가
IM 웜은 더 이상 가끔씩 찾아오는 불쾌한 악성 프로그램이 아니며, 악성 프로그램의 새로운 전파 경로가 될 가능성이 아주 높다. 많은 사람들이 사용하고 있는 MSN은 1분기에 3개 웜의 타깃이 되었다.
WORM_BROPIA.F 와 WORM_FATSO.A는 흥미를 끄는 파일명으로 사용자를 현혹해서 악성 프로그램을 클릭하게 만들었으며, WORM_KEL VIR.B 은 전자우편에 링크를 같이 보내는 방법을 사용했다. 일단 사용자가 이를 클릭하면, 웜은 사용자의 시스템으로 다운로드 된다.
WORM_BROPIA.F 와 WORM_KELVIR.B 두 가지 모두 악성 프로그램 탠덤 방식을 사용했다. 이들 웜은 봇 웜과 함께 연결되어 시스템을 감염시킨다. 다시 말하면, IM 웜 자체에 위험이 없더라도, 봇 웜에 의해서 시스템이 파괴되는 것이다.
올해 1사분기 동안 확산된 2개의 바이러스가 악성 프로그램 탠덤과 관계가 있다. 악성 프로그램 탠덤은 ‘웜-웜’ 과 ‘웜-트로이’ 조합과 같이 2개의 악성 프로그램을 이뤄 시스템을 공격한다. 알려진 취약점을 통해 끊임 없이 전파되는 WORM_KELVIR.B와 WORM_BROPIA.F와 같은 IM 웜은 MSN을 통해 시스템을 공격하기 위한 각자의 봇 웜을 가지고 있다. 1분기, 웹사이트로부터 WORM_BAGLE.B를 다운로드하는 TROJ_BAGLE.BE는 아시아와 미국에서 확산되기 시작했다. 시스템에 다운로드된 WORM_BAGLE.B는 전자우편 첨부파일로 TROJ_BAGLE.BE를 보낸다. 이러한 공생관계는 악성 프로그램의 공격력을 강화시킨다.
해커의 새로운 목표 ‘안티 MS 소프트웨어’
예전에는 스패머가 안티 스팸 메일 네트웍을 공격하는 것뿐만 아니라 안티바이러스와 보안 프로그램을 파괴하는 바이러스를 만들어왔다.
올해 1분기에는 스파이웨어의 주창자들은 공격 목표를 넓혀 마이크로소프트를 노리기 시작했고, 안티 스파이웨어 프로그램이 트로이목마 계열의 새로운 전장이 되도록 만들었다.
2월 9일 출현한 TROJ_ASH.A는 마이크로소프트 안티스파이웨어의 작동을 종료시키고 관련된 파일을 삭제하였다. 그리고 이 악성 프로그램은 온라인 뱅크로 침입해서 사용자의 정보를 빼내었다. 이후 출현한 이것의 변종인 TROJ_ASH.B는 IE의 홈페이지 설정을 변경시켰다. 지난 3월 18일에 출현한 새로운 변종은 원격 다운로드를 통해 자신을 업데이트할 수도 있었다.
트렌드마이크로의 바이러스 전문가는 “스파이웨어는 범죄 조직의 흥미를 끌만한 은행 비밀 데이터와 같은 모든 종류의 정보를 빼낼 수 있다.”며 “마이크로소프트의 안티스파이웨어가 부정한 부를 노리는 이들 해커들에게 장벽이 되어오면서, MS운영 시스템은 다양한 해커들의 주요 공격목표가 되었다.”고 말했다.
인터넷 거래를 계속 위협하는 트로이목마
1사분기의 주류 악성 프로그램은 여전히 트로이목마 계열이 차지하고 있다. 트렌드마이크로는 2,997개의 트로이목마를 감지했으며, 이는 전체 악성 프로그램의 39%에 해당하고, 총 2,292개의 새로운 트로이목마가 감지되었으며, 이는 새로이 발견된 악성 프로그램의 47%에 해당하는 숫자이다. 트로이 목마의 성장이 의미하는 바는 결코 간과해서는 안된다. 비밀번호 또는 PIN 코드를 빼내가는 트로이 목마의 숫자가 빠르게 증가함에 따라, 이러한 성장은 인터넷 거래의 위험을 증가시키고 있기 때문이다.
예를 들어, TROJ_BANKER, TROJ_BANCOS 그리고 TROJ_BANCBAN은 무수한 기술(키로깅 및 피싱)을 사용해서 중요한 데이터를 빼낸다. 이는 트로이 목마가 악성 프로그램 제작자의 금전적인 이익을 목적으로 사용된다는 것을 의미한다.
또 주의를 기울여야 하는 것이 백도어 프로그램이다. 이는 총 악성 프로그램의 11%에 해당하며, 기본적으로 원격조정 트로이 목마에 해당된다. 따라서 총 3,831개의 악성 프로그램 중 50% 이상이 인터넷뱅킹으로 부터 불법적인 이익을 얻어내기 위해서 사용될 수 있다.
이동전화 겨냥한 악성 프로그램 증가세
이와 함께 1분기에 두드러진 것으로 총 10개의 이동전화를 목표로 하는 악성 프로그램이 발견되었으며, 지난 3월에만 4개가 발견됐다. 이는 단지 악성 프로그램의 증가를 나타낼 뿐만 아니라 사용된 기술이 진보했음을 의미한다. 기존의 바이러스 진화 패턴에 따르면, 새로운 악성 프로그램은 다른 해커들에 의해서 수정되고 더욱 강해진다. 블루투스가 장착된 이동전화는 이들의 다음 목표다.
다양한 기능을 가진 이동전화는, 그림, 문자 그리고 음성을 포함한 멀티미디어 정보를 보낼 수 있는 MMS(멀티미디어 메시지 서비스)를 이용해 전파되는 SYMBOS_COMWAR.B의 경우와 같이 악성 프로그램에 다양한 전파 경로를 제공한다. SYMBOS_COMWAR.B에 의해 보내진 23개의 메시지 중 대다수가 보안 서비스 업데이트나 심지어 성인용 그림의 공유를 수신자에게 알려주는 못된 장난이었다.
트렌드랩은 지난 3개월간 이동전화 웜을 관찰한 결과 이들이 단지 진보했을 뿐만 아니라 제거하기가 힘들어졌으며 쉽게 전파된다는 것을 확인할 수 있었다. 모바일 악성 프로그램은 대부분 사용자의 파일, 주소록을 삭제하거나 일부의 경우 전화의 사용을 어렵게 하기도 한다.
국내 신종 악성코드 발견 사상 최고치 기록
한편, 안철수연구소는 올해 1분기 국내에서 새로 발견된 악성코드가 1988년 이래 매해 1분기 수치 중 최고치를 기록했다고 지난달 발표했다. 피해 신고 측면에서는 2004년 최악의 웜인 넷스카이.29568이 올 1분기에도 가장 많은 피해를 일으켰으며, 윈도우즈 취약점을 통해 감염되는 새서 웜이 그간 수그러들었다가 올 1분기에 다시 급증했다.
이번 1분기의 주요 특징으로는 ▲여러 악성코드의 결합에 따른 보안 위협의 통합화 ▲스파이웨어와 악성 IRC봇 웜의 지속적 강세 ▲은폐형 악성코드, 스파이웨어 증가 ▲피해를 많이 준 악성코드가 특정 몇 개에 편중되던 과거와 달리 여러 개로 분산 등을 꼽을 수 있다.
신종 악성코드 수는 안철수연구소가 국내에서 집계를 시작한 1988년부터 현재까지의 통계를 보면 지속적으로 성장하다 2001~2002년에 감소하고 2003년부터 다시 상승하는 추세다. 올 1분기는 2004년 동기 대비 11% 증가해 사상 최고치를 기록했다.
사용자가 직접 신고한 건수를 기준으로 순위를 매긴 결과 넷스카이.29568 웜이 전체 악성코드(스파이웨어 제외) 신고 건수(6342건)의 24.3%(1539건)를 점유, 최악의 악성코드로 나타났다. 다음으로 넷스카이 변종 3개가 나란히 2위~4위를 차지했고, 새서.15872 웜이 공동 4위에 올랐다.
넷스카이 웜 변종들은 메일은 물론 카자(KaZaa) 등의 P2P 응용 프로그램을 통해 전파되며, 네트웍 폴더에도 웜 파일을 복사해두어 그 파일을 실행한 PC에도 감염되어 확산력이 큰 것이 특징이다. 메일에 첨부된 파일을 함부로 열어보지 않는 것이 안전하다.
2004년 5월부터 유포돼 많은 변종이 있는 새서.15872 웜은 윈도우즈 MS04-011 취약점을 이용해 전파되며, 감염되면 CPU 사용량이 100%까지 올라가 컴퓨터 속도가 현저히 느려지거나 시스템이 자동 종료되기도 하고 특정 포트가 오픈돼 해킹당할 우려가 있다. 한동안 잠잠하던 새서 웜이 높은 순위에 오른 것은 새해 들어 PC를 교체하거나 운영체계를 재설치하는 과정에서 취약점 패치가 안 된 PC가 많기 때문인 것으로 분석된다. 따라서 사용자는 PC를 새로 구입했거나 운영체계를 재설치할 경우 우선 백신을 설치한 후 취약점에 대한 패치를 적용하는 것이 안전하다.
보안 위협 요소 통합화 가속화 추세
웜, 바이러스, 스파이웨어, 트로이목마 등이 통합된 형태도 다수 등장했다. 특히 부베(Bube.4350) 바이러스는 스파이웨어에 의해 감염되고, 감염 후 또 다른 스파이웨어를 다운로드하는 첫 사례이다. 웜이나 스파이웨어 설치 시 트로이목마가 함께 설치되는 경우는 비일비재하며, 이에 따라 트로이목마의 피해가 15%나 증가했다. 트로이목마의 신규 발견도 늘어나 2004년 1분기에 22.1%에 그쳤으나 올해 27.2%로 증가했다.
올해 1분기 신종 악성코드를 종류별로 구분하면 웜이 503개로 가장 많고 이 중 악성 IRC봇 웜이 63%(317건)를 차지해 가장 비중이 높았다.
마이톱처럼 일반 웜이 악성 IRC봇의 기능을 일부 내포한 경우도 적지 않다. 악성 IRC봇 웜 제작자들이 커뮤니티를 통해 소스를 교환하고 조직적으로 변형을 제작하고 있어 지속적으로 강세를 보이고 있다. 이 웜은 외부의 특정 IRC 서버와 접속해서 웜 제작자(추정)의 원격 명령에 따라 웜 유포 등의 악의적인 행위를 하며, MS 윈도우즈의 보안 취약점이나 관리 목적의 공유 기능을 이용해 침투한다. 네트웍 트래픽의 과부하를 유발해 네트웍 망 전체의 속도를 떨어뜨리거나 다운시키기도 한다.
스파이웨어는 지난해에 이어 올해도 악명을 떨쳤다. 안철수연구소는 일반 악성코드보다 48% 더 많은 9407건의 문의/신고를 받았으며, 발견된 개수도 매달 증가해 2342건에 달했다.
3월에는 한글 키워드 서비스 업체 간 경쟁이 심해지면서 한글 키워드 플러그인을 설치하는 스파이웨어까지 등장해 많은 피해 신고가 있었다. 기존과 달리 플래시 파일을 이용해 배포되는 스파이웨어가 지난 2월에 처음 등장하기도 했다.
또한 은폐형 악성코드 및 스파이웨어도 증가하고 있다. 감염 사실을 숨기는 은폐 기법은 주로 트로이목마에 적용됐으나 올해 들어 웜이나 스파이웨어에도 확대 적용되고 있다. 악성 IRC 봇 웜뿐 아니라 최근 발견된 마이톱 웜 변형들 일부도 은폐 기법을 이용하고 있다.