특히 지난 2004년은 그 이전 연도와 비교했을 때 총 30건의 바이러스가 발생하는 기록을 세웠다.
지난해 1사분기에는 총 12건에 달하는 경보가 발생해 지난 3년 동안의 분기별 바이러스 발생 건수 중 가장 높은 수치를 기록했다. 분기별로 예상되는 바이러스 발생 평균 건수가 5건에 지나지 않는다는 사실을 고려했을 때 이는 놀라운 수치가 아닐 수 없다.
일반적으로 한 해의 처음 몇 달 동안 발생한 경보 수는 1년 동안 일어나는 총 바이러스 발생 수의 1/3 이상을 차지한다. 그러나 2004년의 경우, 이 비율은 실제로 45%에 근접했다. 이는 대부분 시스템 메모리에서 경쟁의 흔적을 삭제할 뿐만 아니라 운 나쁜 사용자의 단말기를 차지하기 위해 서로 치열한 경쟁을 벌이는 베이글, 마이둠 및 넷스카이의 여러 변종 사이에서 벌어진 ‘웜들의 전쟁’의 여파로 인한 것이다.
2004년 3월에는 베이글-넷스카이 간의 ‘단어 전쟁’이 절정에 달해 월별 기록 중 가장 높은 6건의 바이러스가 발생하였다. 2004년 첫 4개월 동안 발생했던 대량의 바이러스 경보 또한 이러한 ‘전쟁’에 의한 것이라고 추측할 수 있다.
그러나 2004년 6월에는 바이러스 발생이 급격히 감소되었다. 이는 지난 4월 31일, 악명 높은 사세르 웜 프로그램의 유포로 인해 실시된 유해 웜 프로그램 제작자에 대한 집중 단속과 그에 따른 범인 구속(2004년 5월 8일)으로 인한 것이다. 사세르 웜을 만든 해커는 넷스카이 웜 또한 만든 것으로 여겨지고 있다.
또한 지난 3년 간 바이러스 발생 수는1/4분기에 최고에 이른 뒤 뒤따르는 분기에서는 점차적으로 감소하는 것을 볼 수 있다. 9월에는 지속적으로 바이러스가 발생하지 않았다.
베이글, 넷스카이 및 마이둠은 2004년도 총 바이러스 발생 건수인 30건에서 25건이라는 커다란 비중을 차지하면서 지난해 바이러스 무대를 거의 독차지하다시피 했다. 세 웜 모두 1/4분기에 출현하였으며 계속적인 바이러스 발생을 일으켰던 단어 전쟁에도 참여하였다.
특히 베이글 및 마이둠 웜의 특정 변종은 zip 파일로 압축된 첨부 파일로 전송되며 암호(같은 전자 메일 메시지에서 제공된다)를 요구한다는 것이다. 이와 같은 방법이 웜 샘플의 분석 및 탐지를 더욱 어렵게 만들기는 하지만 시스템 감염 속도 또한 늦춰져 크게 확산됐다. 또한 감염의 관점에서 볼 때 넷스카이 변종은 가장 많은 감염 건수를 기록하였다. 경보를 발생시킨 변종이 단 3개뿐인 마이둠은 2백만이 넘는 감염 건수로 2위를 차지하였다. 베이글은 많은 경보를 일으켰던 변종의 수에도 불구하고 WTC 집계를 기준으로 대략 50만 건의 감염을 일으킨 것으로 나타났다.
사세르 네트웍 웜 및 제로데이 위협
2004년 4월 31일에 출현한 사세르 웜은 바이러스가 알려지지 않았거나 패치가 아직 마련되지 않은 소프트웨어의 취약성을 공격하여 님다, 슬래머 및 MSBLAST와 같은 교묘한 네트웍 웜이 기업에 큰 손실을 주었던 방법으로 엄청난 피해 및 재정적 손실을 일으키는 제로데이와 같은 상황이 재발하리라는 커다란 위협을 불러 일으켰다.
사세르의 전파 속도 및 그 변종의 지속적인 출현은 안티바이러스 기업으로 하여금 해당 바이러스의 확산을 알리는 적색경보(높은 위험 수준의 바이러스)를 발효하는 상황까지 초래했다.
사세르는 2003년 8월에 발견된 MS블레스트 웜과 같이 윈도우즈 취약성을 이용하여 대부분의 웜 프로그램이 일반적으로 이용하는 전자 메일, P2P 및 기타 전파 채널의 도움 없이 네트웍에 걸쳐 전파된다. 사세르는 임의 코드를 자동으로 실행하도록 하는 윈도우즈 LSASS(로컬 보안 관리 서브시스템 서비스, MS04-011) 구성 요소의 결함을 이용하는 등 제로데이의 공격이 점점 다가오고 있다.
보안을 위협하는 제로 데이 공격에 대한 가능성을 염두에 둔 채 네트웍 관리자 및 보안 전문가들은 긴장을 늦추지 않고 이러한 이벤트의 영향에 대항할 수 있는 방법을 모색하고 있다.
2004년 11월 8일, 보프라 웜이 출현하면서 제로데이 공격 가능성을 예견했다. 처음에는 마이둠의 또 다른 변종쯤으로 생각되었던 보프라 웜은 패치가 아직 준비되지 않았던 인터넷 익스플로러 IFRAME 보안 허점을 이용하여 전파하였다(관련 패치는 2004년 12월 1일부로 사용할 수 있게 되었다[MS04-040]).
보프라 웜은 경보 상황을 초래할 만한 대량 감염을 일으키는 데 실패하였지만, 상당히 복잡한 확산 기술 덕분에 언론의 주목을 받을 수 있었다.
트록이 목마 및 백도어
여전히 악성 프로그램에서 큰 비중
트렌드마이크로는 2004년 발견된 총 16,880건의 악성 프로그램을 정리한 결과 트로이 목마는 악성 프로그램 목록에서 33%라는 큰 비중을 차지한 것으로 나타났다.
2004년에는 5,000건 이상의 트로이 목마가 발견되었으며 이 중 45%가 실제 고객 등록에 의한 것이다(실시간 샘플 제출 및 사례 분석). 또한 근본적으로 원격 액세스 트로이 목마인 백도어 프로그램은 새로 발견된 악성 프로그램 중 22%를 차지하였다. 이는 13,000개(55%)에 이르는 악성 프로그램이 해당 제작자에 의해 이익이나 금전적인 보상을 목적으로 사용될 수 있다는 것을 의미한다.
웜은 발견된 악성 프로그램 중 1/4(26%) 이상을 차지한다. 이 숫자(3,132) 중 70% 이상은 실제 고객 신고에 의한 것이며 등록된 트로이 목마 샘플 수 보다 많다. 실제 샘플 등록과 사례를 통해 웜이 악성 프로그램의 가장 많은 부분을 차지하고 있다는 것을 알 수 있다.
트로이 목마는 1년 동안 발견된 새로운 악성프로그램의 주를 이어왔다. 그러나, 연말 무렵에는 실제 고객이 등록한 웜 수가 증가했으며 11월에는 웜이 새로운 악성 프로그램의 50%를 차지했다. 이를 통해, 발견되는 웜 수가 어느 정도 추가적으로 증가할 것이라는 예측과 함께 앞으로 수개월 동안 약간의 변화를 기대할 수 있을 것이다.
악성 프로그램 감지의 관점에서 8월은 가장 바쁜 달이었다. 트렌드마이크로는 8월에 발견된 총 3,809건의 악성 프로그램 중 1/5(23%) 이상을 문서화했다. 실제 고객 등록을 기반으로 한 새로운 악성 프로그램 측면에서 보면 8월은 9월 다음으로 바쁜 달이었다.
9월에는 총 994건의 악성 프로그램 샘플이 트렌드마이크로로 등록되었다. 월별 샘플 등록 수 중 가장 높은 기록이며 9월에 발견된 모든 악성 프로그램 중 67%를 차지한다.
지난 12개월 동안 트렌드마이크로는 월 평균 664건의 사례 등록을 수신했다. 2003년 12월부터 2004년 3월까지는 악성 프로그램의 등록 수가 월 평균 단 418건으로 가장 한가로운 기간이었던 반면 지난 4달 동안은 고객으로부터 월 평균 842개의 샘플을 수신함으로써 가장 바쁜 시기였다. 그림 10은 월별 악성 프로그램 발견 건수를 나타낸다.
발견된 총 악성 프로그램 수와 WTC에 의해 기록된 감염 수 사이의 상관관계는 매우 미약하다(0.29). 새롭게 발견된 악성 프로그램과 감염 수의 관계는 더욱 미약하다(0.26).
이는 새롭게 검출되거나 발견된 악성 프로그램은 감염 범위가 광범위하더라도 총 감염 수에는 거의 영향을 미치지 않는다는 사실을 나타내며, 또한 기존의 악성 프로그램이 감염 신고의 대부분을 차지한다는 것을 의미한다.
2004년 악성 프로그램 동향
지난 12개월 동안 몇 가지 주목할만한 사실들이 발견되었다. 64비트 윈도우에서 실행되는 최초의 악성 프로그램, W64_RUGRAT.A가 2004년 6월 1일 발견되었고, 2주 후인 6월 14일에는 모바일 장치에서 실행되는 최초의 악성 프로그램인 SYMBOS_CABIR.A가 발견되었다.
W64_RUGRAT.A는 호스트 PE(Portable Executable)형 파일에 자신의 코드를 추가하여 64비트의 .EXE파일을 감염시키는 직접 감염(direct-infector) 바이러스이다.
이 바이러스는 같은 제작자에 의해 개발된 것으로 추정되는 PE_SHRUG.A라는 이름의 이전 바이러스와 유사하게 쓰레드 로컬 스토리지(TLS)를 통해 진입점 은닉(EPO) 기술을 사용함으로써 호스트 프로그램의 진입점을 변경하지 않고도 호스트 파일에 첨부되어 코드를 실행할 수 있다.
이 개념 검증(proof of concept) 바이러스는 64비트 윈도우즈 운영 시스템(IA64)에서만 실행된다. 32비트 파일에는 영향을 주지 않으며 64비트 프로그램을 지원하도록 하는 소프트웨어가 없이는 32비트 프로세서에서 실행되지 않는다.
현재까지 64비트 윈도우에서 작동하는 또 다른 악성 프로그램은 발견되지 않고 있다.
반면, SYMBOS_CABIR.A는 모바일 장치를 통해 확산되는 개념 검증 바이러스다. 이 바이러스는 블루투스 장치를 통해 복제되며 심비안 시리즈 60 모바일 장치에서 작동한다. .SIS 파일로 수신되며 APPS 폴더에 자신을 설치하고, 9.1미터 이내의 블루투스 장치로 자신을 전송한다.
SYMBOS_CABIR.A는 9.1미터의 범위 내에서 블루투스 장치가 발견되면 자신을 전송하여 블루투스를 통해 전화기에 메시지 수신을 요청하는 메시지를 표시하도록 한다. 사용자가 파일 수신을 선택하면 웜이 활성화되어 장치에 여러 파일을 설치한다.
SYMBOS_CABIR.A는 계속적으로 블루투스 장치를 검색함으로써 발생하는 배터리 소모를 제외하고는, 페이로드를 주거나 기타 다른 피해를 주지 않는다.
W64_RUGRAT.A와 같이 SYMBOS_ CABIR.A는 단순한 개념 검증 악성 프로그램에 불과하다. 그러나, 심비안 플랫폼에서 작동하는 몇몇 다른 악성 프로그램들이 발견되었다. 이러한 악성 프로그램으로는 SYMBOS_ CABIR.A 변종(페이로드 없음)외에도, SYMBOS_QDIAL.A 및 SYMBOS_ SKULLS의 두 가지 변종이 있다.
SYMBOS_QDIAL.A는 인기있는 모바일 게임 모스키토의 크랙 버전으로 수신되는 트로이 목마로 프리미엄 회원에게 SMS 메시지를 전송하여, 감염된 휴대폰 사용자들은 알지 못하는 사이에 SMS 메시지 비용을 부담하게 된다. 스스로 전파되지 않으며 인터넷 또는 P2P 네트웍에서 수동으로 설치해야 한다. 발견 일자는 8월12일이다.
11월 21일 발견된 SYMBOS_SKULLS.A는 노키아 7610 휴대폰의 테마 관리자로 위장한다. 일단 휴대 전화에 설치되면 애플리케이션이 마비되고 애플리케이션 아이콘이 해골 모양의 그림으로 바뀐다. 12월1일, 그 첫 번째 변종 SYMBOS_SKULLS.B이 발견되었다. 이 변종은 원래의 SYMBOS_SKULLS처럼 페이로드 외에도 감염 시스템에 SYMBOS_CABIR.A를 복사한다. 두 가지 모두 인터넷에서 다운로드되며 수동으로 시스템에 설치해야 한다.
2004년 11월, 무선 장치로 전파되는 또 다른 악성 프로그램이 나타났다. 2004년 11월 11일에 발견된 TROJ_DELF.HA는 감염된 시스템을 플랫폼으로 사용하여 SMS(단문서비스)를 통해 휴대폰으로 스팸 메시지를 전송한다.
실행될 경우 이 트로이 목마는 인터넷 연결을 확인한 후 러시아 모바일 네트웍 웹 사이트 목록에 액세스를 시도하고, 이러한 웹 사이트를 사용하여 007 또는 +7로 시작하는 임의의 전화 번호로 SMS를 통해 메시지 전송을 시도한다. 또한 감염된 시스템에 SMS 메시지 사본을 남긴다.
불법적인 이익 획득을 위한 공격
2004년에는 봇프로그램, 피싱발생, 스팸 수의 증가 등의 금전적 이익을 추가하는 공격이 크게 증가했다.
봇프로그램 증가
먼저 봇프로그램이 확산돼 좀비 네트웍이 확대됐다.
트렌드마이크로는 2004년 총 2,830개의 봇 프로그램을 발표했는데, 이는 트렌드마이크로가 1년 동안 새롭게 발견한 총 악성 프로그램의 35%에 해당한다. 봇 ‘좀비’ 네트웍의 확대와 네트웍에서의 봇 소스 코드의 급증은, 원격 시스템 제어에 관심을 가지는 해커 수를 증가시킬 수 있다.
봇 프로그램은 시스템 침투를 위해 흔히 직접 공격하거나 몰래 침입한다. 또한 효과적인 네트웍 전파 경로로 알려진 보안 허점을 이용하기도 한다. 성공률이 높은 사세르 및MSBLAST 웜이 이용하는 윈도우즈 LSASS 결함(MS04-011) 및 RPC DCOM 버퍼 오버런(MS03-026)은 이러한 봇 프로그램이 가장 많이 이용하는 것으로 알려진 취약성 중 두 가지 예에 불과하다. 이러한 봇 프로그램은 일반적으로 IRC 채널을 이용하여 손상된 시스템에 대한 원격 액세스를 제공함으로써 공격자가 애플리케이션 CD키를 훔치고, 프로세스를 종료시킬 수 있다. 또한 서비스 거부 공격 실행, 원격 연결 설정, 파일 업로드/다운로드, 개방 포트 검색 및 시스템 보안에 심각한 손상을 주는 기타 다수의 백도어 루틴을 실행할 수 있다.
공격자가 원격으로 제어하는 봇 프로그램에 의해 손상된 시스템은 봇 또는 ‘좀비’ 네트웍(알려지지 않은 호스트 시스템으로 구성된 그룹)을 구성한다. 이러한 네트웍은 분산 서비스 거부(DDoS) 공격 및 새로운 공격 코드를 위한 잠재적인 기반이 된다. 또한 일시적인 스팸 릴레이로 사용될 수 있으며, 제어 공격자가 지시하는 모든 명령을 실제로 수행할 수 있다.
스팸증가
지난 3년 동안 스팸 또는 불필요한 정크 메일의 수는 매년 거의 2배씩 증가했다. 2002년에는 전체 전자 메일 메시지의 25%를 차지했지만 2003년에는 40%로 증가하였으며 2004년 중반 현재, 전체 전자 메일 메시지의 60%에 이르렀다.
대부분의 기업 네트웍에게 스팸은 단순한 방해물 수준을 떠나 커다란 문제가 되고 있으며, 기업들에게 막대한 손실을 주고 있다. 엄청난 스팸 양은 보다 생산적인 추구에 투자될 수 있는 귀중한 대역폭 및 값비싼 시간을 소비함으로써 생산성에 직접 영향을 준다.
피싱 증가
2004년 급격하게 늘어난 피싱 공격은 날로 확산되는 전자상거래 및 인터넷 뱅킹의 기류에 편승한 가장 심각한 위협 중 하나가 됐다. 피싱 공격은 은행의 공지 사항으로 그럴듯하게 위장한 전자 메일 형식으로 ‘미끼’를 전송한다. 이 사기 메일은 사회 공학적인 방법으로 설계되어 수신자들이 신용 카드 번호, PIN, 주민등록번호 및 기타 민감한 정보를 누설하도록 한다.
일부 피싱 메일은 합법적으로 보이지만 실제적으로 피싱 URL을 감추고 있는 URL, 또는 훔친 정보를 저장하는 사이트를 포함하며 또 다른 일부 피싱 메일에는 클릭할 경우 사용자들을 피싱 사이트로 안내하는 이미지가 포함되어 있다.
2004년 5월부터 2004년 11월까지 트렌드마이크로는 총 9,709건의 피싱 메일을 등록했다. 2,932개의 샘플을 받은 7월은 가장 많은 피싱 메일 수를 기록하였으며, 총 104개의 피싱 메일이 기록된 5월에 비해 급격하게 증가한 양이다.
보안 회사들은 증가하는 피싱 공격에 대항하기 위해 필요한 솔루션을 구축하고 있다. 이러한 문제가 쉽게 사라질 것으로 보이지는 않지만 특정 조치를 취해 피싱 신용 사기 사건에 휘말리는 것을 최소화하거나 방지할 수 있다.
2005년 : 예측되는 공격 동향 및 대응 조치
2004년은 연속적인 바이러스 비상 발생으로 바쁜 한 해였다. 스파이웨어 및 애드웨어의 증가와 함께 봇 프로그램, 스팸 및 피싱 발생이 증가했다. 이는 대부분의 공격자들이 유명한 인터넷 애플리케이션 및 장치를 통해 금전적인 이익을 추구하고, 가능한 모든 보안 허점을 이용하는 방향으로 움직이고 있다는 것을 나타낸다. 오래된 공격 양식 및 방법은 보다 넓은 영역에, 보다 효율적으로 더 큰 이익을 보장할 수 있는 더욱 새롭고 효과적인 방법으로 빠르게 대체되고 있다.
2004년 악성 코드 및 인터넷 기반 공격의 일반적인 동향을 기반으로 트렌드마이크로는 다음과 같은 2005년 예측 및 이에 대한 대응 방법을 제공한다.