트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs)의 2004년 11월 바이러스 분석 자료에 따르면, 넷스카이가 계속해서 WTC 순위에서 위세를 떨쳐 상위 3위를 모두 넷스카이의 변종이 차지했으며 여섯 개의 변종 바이러스가 ‘이 달의 10대 바이러스’ 안에 들었다. 넷스카이.P 변종 바이러스는 총 885,159대의 시스템을 감염시켜 다른 바이러스를 당당히 따돌리고 차트에서 1위를 차지했다.
지난 7~9월 동안 1위를 기록했던 새서 웜은 상위 10대 목록에서 완전히 자취를 감추었다. 현재 주요 경쟁자 사이인 베이글은 지난 10월 29일 두 개의 최신 변종 웜 출현과 달리 넷스카이 웜은 바이러스 발생 전선에서 휴면 상태였으며 웜_넷스카이.AB(지난 4월 28일 발견) 이후 새로운 변종 바이러스가 나오진 않았다.
넷스카이 웜은 2004년 5월 8일에 해당 제작자가 구속된 이후 지난 7개월 간 바이러스 발생 전선에 모습을 드러내지 않고 있는 분위기다. 그러나 이번 바이러스 동향에서 나타난 바와 같이 지난 11개월 동안 넷스카이 웜의 우세는 변함없이 지속되고 있다. 1년 중 겨우 한 달만이 남은 지금 다른 바이러스가 넷스카이를 추월하기는 힘들 것으로 보인다.
상위 10대 목록에서 4위에 오른 베이글.AT는 지난 10월 29일에 출현했으며, 5시간 후 연이어 다른 베이글 변종인 베이글.AU가 출현했다. 두 개의 베이글 변종은 바이러스 보안 업체로 하여금 두 개의 중간 등급 위협 경보를 몇 시간 간격으로 발령하게 했으나 연이은 출현에도 불구하고 지난 10월 29일의 신종 베이글 바이러스의 발생은 그다지 놀랄 만한 일이 아니었다.
지난 5개월 동안의 사건에서 주목해야 할 점은 경보 발생 후 연이어 신종 베이글 변형을 배포시키는 새로운 활동을 볼 수 있었다는 것이다.
신종 웜 소버 변형이 이 달 바이러스 발생을 일으킨 후 곧이어 다른 변종인 웜_소버.G가 WTC의 10대 바이러스 목록에서 순위를 기록했다. 지난 7개월간 변형을 계속하면서 지난2004년 5월 13일에 발견된 소버 바이러스는 총 29,158대의 컴퓨터를 감염시키면서 10위를 차지했다.
대량으로 메일을 발송하는 소버 웜의 예기치 못한 재출현은 이 달 바이러스 발생 시나리오에 대반전을 불러왔다. 5개월 간의 잠복기를 마친 후 소버는 9번째 변종인 소버.I를 2004년 11월 19일에 배포시켰다. 소버.I는 주로 독일어로 된 이메일 메시지를 전송한다는 점을 제외하면 이전의 다른 변종과 유사하며, 독일, 오스트리아 및 프랑스에서 급속히 퍼져 바이러스 보안 회사들이 확산을 저지하기 위해 중간 등급의 위험 경보를 발령하도록 했다. 상위 10대 바이러스 목록의 다른 단골인 PE_자피.B는 드세 높던 6개월 전의 출현 이후 상위 10대 목록에서 6위를 고수하고 있다.
11월의 최대 바이러스 유형
: 봇 프로그램 및 트로이목마
지난 11월 한 달 동안 총 1,564개의 악성 프로그램이 나타났으며, 이는 이전 달에 비해 14% 가량 감소한 것이다. <그림>에는 11월에 배포된 악성 프로그램 유형을 나타낸 것으로 감염 수에 있어 웜과 트로이목마가 선두를 차지하고 있음을 여실히 보여준다. 이 달의 주류 웜은 봇 프로그램 범주에 속한다.
트로이목마는 전체의 42%를 차지했으며 백도어 프로그램과 함께 전체 웜의 절반을 차지했다. 최근 몇 달의 동향은 이러하지만 다음 분기 중에 감지 횟수에 약간의 변동이 있을 것으로 예상된다. 물론 트로이목마가 계속해서 악성 프로그램 감지 수에서 우위를 유지하고 있지만, 지난 달 감지된 총 악성 프로그램 중 1/3만을 차지했던 웜이 지금은 무려 40%를 점하고 있다. 지난달의 점유율과 비교할 때 이러한 급상승은 고객들의 실제 웜 샘플 제출 비율이 15% 증가한 것에 기인하는 것으로 풀이되며 그 결과 이 달의 웜 비율이 40%를 차지하게 됐다.
봇·트로이목마 및 백도어 프로그램, 점유율 우위 유지
무대의 새로운 주자인 봇 프로그램이 발견된 웜의 70%를 구성하면서, 이번 달에 탐지된 총 913개의 새로운 악성 프로그램 위협 중 웜 종류가 47%까지 증가하는 기록을 세웠다. 게다가 트로이목마와 백도어 프로그램이 함께 새로 발견된 악성 프로그램의 1/3을 구성했다. 트렌드마이크로는 “웜이 거의 트로이목마의 자리를 차지할 정도로 최근 재부상한 것은 새로운 봇 프로그램 범주에 속하는 웜의 중요성을 시사한다.”라며, “악성 프로그램을 제작 및 유포하는 이들의 주 동기가 금전적인 수익을 위한 것으로 사용하고 있어 예전보다도 훨씬 웜이 교묘하면서도 신속히 배포되고 있어 주의가 요망된다.”고 지적했다.
봇 프로그램은 11월 총 감염 건수의 1/3을 차지했고 이 중 AGOBOT과 RBOT이 각각 24%를, SDBOT이 16%를, WOOTBOT이 10%를 구성했다. 이러한 혼합 위협 웜 군은 이미 웜 범주에서 선두주자가 됐다.
트렌드마이크로는 봇 프로그램의 부상이 지속될 것이며 향후 몇 달간 감염을 야기시키는 악성 프로그램 유형에서 선두를 차지할 것으로 전망하고 있다. 대부분의 봇 프로그램에는 한 가지 공통점이 있는데 바로 감염된 컴퓨터에 설치된 소프트웨어에서 일련 키를 훔치려고 시도한다는 점이다. 트렌드마이크로는 WOOTBOT, AGOBOT, SDBOT, SPYBOT 및 ROBOT 등과 같은 봇 프로그램이 시스템상에 설치된 게임에서 등록 키를 훔치려고 시도하지만 감염된 시스템 전체를 완전히 통제할 수도 있다고 경고했다.
감염된 시스템의 레지스트리에 게임 라이선스 키가 있다면 봇 프로그램은 즉시 모든 키를 훔칠 수 있다. 물론 이러한 프로그램은 다른 종류의 악성 활동도 실행할 수 있다.
게임의 일련 번호 이외에도 상당수의 바이러스는 윈도우즈 제품의 등록 번호를 훔치려고 시도한다. 인스턴트 메시징 프로그램도 흔한 목표물로, WOOTBOT과 같은 봇 프로그램은 야후 메신저, MSN 메신저 및 AIM 등의 유명 인스턴트 메시징 프로그램에서 사용자 이름과 암호를 캐내려고 한다.
SPYBOT.X역시 AIM을 목표물로 한다. 그러므로 인스턴트 메시징의 사용자는 대화를 나누고 있는 상대가 실재로 생각하는 이가 아닐 수 있다는 사실을 염두에 두고 각별한 주의를 기울여야 한다.
11월의 새 위협 유형
: 제로데이 공격 및 무선 위협
처음에는 마이둠(MYDOOM)의 또 다른 변종이라고 생각됐던 최초의 보프라 웜은 2004년 11월 8일 그 모습을 요란하게 드러냈다. 보프라 웜은 확산을 위해 패치가 제공되지 않은 인터넷 익스플로어의 IFRAME 보안 허점을 이용하는 제로데이 공격 가능성의 첫 신호가 됐다.
보프라 웜은 경보 상황을 초래할 만한 대량 감염피해를 주지는 않았지만, 상당히 복잡한 확산 기술 덕분에 눈길을 끌었다. 보프라 웜은 전자 메일을 통해 도착한다. 그러나 자신의 복제 파일을 전자 메일에 직접 첨부하여 보내는 일반적인 방법을 쓰는 대신 이 웜은 “웹캠으로 찍은 새 동영상과 사진을 제 웹 사이트에서 보세요!” 또는 “무료 성인 비디오! 지금 등록하세요!”라는 제목의 전자 메일을 전송하여 사용자를 유혹한다. 이러한 전자 메일은 사용자를 IFRAME 공격이 포함되어 있는 감염된 웹 사이트로 이동시킨다. 이 공격은 원격 사용자가 손상된 시스템에서 악의적인 작업을 수행할 수 있도록 허용한다.
이와 함께 새로운 무선 공격으로 지난해 11월 11일, 트렌드마이크로는 무선 네트웍을 공격하는 트로이목마를 감지했다. TROJ_DELF.HA는 SMS(단문 메시징 서비스)를 제공하는 러시아 모바일 네트웍을 목표물로 한다. 이 웜은 컴퓨터가 바이러스에 감염되면 여러 웹 사이트에서 SMS.txt 파일을 자동으로 다운로드한 후 러시아SMS 서비스를 통해 스팸 SMS 메시지를 무작위로 배포한다. 트렌드마이크로는 다행히도 공격 목표물이 제한되어 있기 때문에 영향력 범위는 그다지 크지 않았다고 밝혔다.
개인을 위한 것이건 업무를 위한 것이건 간에 무선 기기는 현대인의 삶에 필수 요소로 자리잡았다. CellularOnline(www. cellular.co.za)에 따르면 현재 전세계적으로 15억 2천만의 모바일 사용자가 있으며, 이중 98%가 디지털 폰을 사용하고 있다고 한다. 모바일 기기 사용자가 급증함에 따라 제 3의 애플리케이션 시장이 나타났으며, 이와 동시에 악의적인 사용 가능성의 무한한 문이 열렸다.
우연하게도 11월에 웹에서 SMS 메시지 전송 서비스를 시작한 SMS.AC 웹 사이트는 사용자가 원치 않는 초청 전자 메일을 회원의 연락처 목록에 전송하는 방법에 대해 심하게 비난받고 있다. 67개국에 하루 5개의 무료 SMS 메시지를 보낼 수 있다는 SMS.ac사이트의 유혹이 많은 사용자를 끌어들였다.
트렌드마이크로는 사용자들에게 웹 사이트에서 전자 메일 계정이나 다른 개인 정보를 입력하도록 요구할 때 주의하도록 당부한다. 이는 단순히 스패머가 전자 메일 주소를 수집하는 방법일 뿐만 아니라 무료 SMS 스패머가 스팸 메시지를 모바일 폰에 전송하는 데 사용하는 방법이 되어가고 있다. 이 서비스에 이미 등록하였다면 전자 메일 계정 이름과 암호를 가능한 빨리 바꾸는 것을 고려해야 한다.
국내 웜 바이러스 피해건수 11% 감소
11월 국내 사용자로부터 신고, 탐지된 웜 바이러스는 총 2,551건으로 전월 대비 10.9%감소했다.(2,862->2,551건) 이러한 추세는 지난 10월에 이어 최근 전파력이 강한 웜, 바이러스가 출현하지 않아 기타 웜, 바이러스 건수가 전반적으로 감소한 것이 원인으로 추정된다.이는 인터넷 침해사고 대응지원센터(www.krcert.or.kr)가 조사한 11월 바이러스 통계 자료에 따른 것이다.
이와 함께 아고봇이나 IRC봇 등과 같은 봇 변종의 탐지 건수는 총 226건으로 전체 건수 중 8.8%로 꾸준히 증가하고 있는 추세이다.
10월에 신고된 봇 계열 웜이 총 213건으로 전월의 362건에 비해 41%이 상이 감소했으나 전 세계 총 감염 추정 PC 대비 국내 감염율은 전월과 비슷한 수준이므로 지속적인 사용자의 주의가 요구된다.
알 수없는 파일이나 메일 주의 요망
트렌드마이크로는 트로이목마의 공격 범위가 제한적이었지만 가중하는 무선 보안에 대한 위협은 심각한 문제가 되고 있다고 지적했다. 메모리에 상주하는 트로이목마는 다른 악성 프로그램에 업혀오거나 부주의한 사용자에 의해 직접 설치되는 방법으로 시스템에 침입한다. 또 알 수 없는 파일을 다운로드할 때 조심해야하며, 다양한 스파이웨어, 애드웨어 및 악성 쿠키를 감지 및 제거해주는 보안 소프트웨어를 사용해야 한다.
메신저 바이러스
트렌드마이크로는 최근 사용자들에게 MSN상에서 보내진 발신인이 불분명한 프로그램을 실행하지 말 것과, 설령 비교적 잘 아는 친구가 보내온 프로그램도 조심해야 한다고 당부했다.
지난 2002년 원_SURNOVA.A가 MSN을 통해 바이러스 파일을 전파하기 시작했으며, 2003년에는 ‘아이 러브 유 MSN 네트웍 버전’이 수시로 애정을 드러내며, 많은 미혼 남녀를 속였다.
지난해에는 MSN에 중문 메시지의 바이러스가 나타났는데, 예를 들어, 지난해 7월 ‘MSN 결혼 바이러스’는 “나 내일 결혼해”라는 거짓 메시지를 발송해, 많은 사람들이 폭탄선언을 받은 것으로 여기도록 했다. 또한 일찍이 사용자가 MSN을 사용하면서 불명확한 사이트에 접속하거나, 혹은 이름 모를 사람이 발송한 간단한 프로그램을 이를 실행한 후에 인터넷 속도가 아주 느려지기도 했다. 이 외에, 일부 사용자는 “오늘 저녁에 내가 한턱 쏠게” 등등과 같은 가짜 메시지를 자주 받는데, 그 후에 컴퓨터 운행이 비정상적이 됐다고 한다.
이러한 것 모두가 각종 MSN 바이러스의 ‘작품’인 것이다. 이미 바이러스에 감염된 네티즌이라도 너무 당황할 필요는 없다. MSN을 종료하고, 바이러스 방역 소프트웨어로 검색하여 제거하면 컴퓨터를 정상적으로 회복시킬 수 있다. 파워 유저의 경우 안전 모드로 부팅한 다음 수동으로 바이러스 파일을 삭제할 수도 있다. 여러 MSN 바이러스의 침입을 효과적으로 방지하려면, 사용자가 일상적으로 컴퓨터를 사용하는 과정에서 몇 가지만 주의하면 된다.
우선 경계를 늦추지 않는 것으로서, 바이러스 방역에 대한 인식을 가지고, 발신인이 불분명한 어떠한 문서나 프로그램도 받지 말아야 한다. 또한 자신의 컴퓨터에 정품 전문 바이러스 방역 소프트웨어를 설치하는 한편 수시로 업데이트하여 소프트웨어를 최신 상태로 유지해야 하는데, 자주 업데이트하지 않을 경우 설치했다 하더라도 무용지물이라고 경고했다. 마지막으로 운영체계 관련 응용 프로그램의 보안 업데이트 알림에 관심을 가지고, 해당 패치 프로그램을 즉시 다운로드하여 시스템 버그를 막아야 한다.