EZ EZViwe

트로이목마 급증, 콘피커웜은 변종 위협

2009’ 상반기 국내 악성코드 동향분석 발표

박광선 기자 기자  2009.07.03 09:34:41

기사프린트

[프라임경제]안전한 PC 활용을 막는 악성코드는 여전히 증가하고 있는 것으로 나타났다. 에스지어드밴텍(대표 은유진, www.viruschaser.com)은 3일, ‘상반기 악성코드 동향 보고서’를 통해 2009년 상반기 악성코드에 감염된 컴퓨터 수는 924,918대(바이러스체이서 백신이 설치된 모집단 기준)로 콘피커 웜과 트로이목마에 의한 감염이 지속적으로 증가하는 등 개인 및 기업의 정보 보안 문제가 심각한 것으로 나타났다.

올해 상반기 대표 악성코드는 트로이목마가 56%, 콘피커웜으로 대표되는 네트워크웜이 17%로 꾸준히 증가하는 형태로 나타났다. 트로이목마의 증가 원인은 트로이목마 중 감염되면 자신 이외 악성코드들을 다운로드 받아 설치하는 Download나 MulDrop 계열의 트로이목마가 증가했기 때문이며, 콘피커웜의 증가 원인은 USB와 윈도우 보안 취약점, 네트워크 공유폴더 등 다양한 확산방법을 이용하고 스스로 전파하는 웜의 특징과 변종에 의한 감염의 증가가 맞물린 현상으로 분석된다.

에스지어드밴텍은 또한 하반기에는 사용자의 시스템에 감염돼 시스템을 장악한 후 광고 목적이나 금전 목적으로 이용하기 위한 형태로의 Agent 형 악성코드가 많아질 것으로 예상했다. 최근 발생하는 웜이나 트로이목마는 감염된 상태에서 DDoS 공격을 수행하거나 스팸메일을 발송, 또는 광고성 프로그램을 다운로드 받아 수행하는 등의 에이전트의 기능을 수행하는 추세이기 때문.

상반기 주요 이슈는 ◇콘피커웜의 기승, ◇ 대중성 높은 응용프로그램의 취약점을 이용하는 악성코드의 증가, ◇ 수십 개의 악성코드를 생성하는 트로이목마, ◇ 시스템 날짜 변경 - 2090 바이러스 등을 꼽았다.

▶ 콘피커 웜 기승 - Win32.HLLW.Shadow 웜의 지속적인 변종들이 발견되고 있고 웜에 취약한 시스템은 여전히 존재한다. Shadow웜(Conficker)은 이동식 저장매체의 자동실행 기능과 윈도우 보안 취약점(MS08-067, MS09-001), 취약한 암호를 설정한 시스템의 관리목적 공유폴더를 통해 단순 암호사전 대입만으로도 전파되므로 액티브 디렉토리와 같은 시스템으로 구성된 기업 환경에서 계정이 잠기는 현상이나 웜에 감염된 시스템에 의해 발생하는 트래픽으로 네트워크 장애 등이 발생하기도 했다.

▶ 대중성 높은 응용프로그램의 취약점을 이용하는 악성코드들의 증가 - MS 파워포인트 취약점(CVE-2009-0556)을 이용하는 Exploit.PowerPoint 나 PDF등을 읽을 때 사용되는 Adobe 취약점을 이용하는 Trojan.AuxSpy.19 처럼 윈도우 운영체제만이 아닌 사용자들이 많이 사용하는 응용 프로그램에 대한 취약점을 이용하는 악성코드들이 증가했다. 국내에서 드물게 엑셀 매크로를 활용해 오후 4시44분44초에 파일 내용을 변조시키는 과장된 바이러스도 나타났다.

▶ 수십 개의 악성코드들을 생성하는 트로이목마 - Trojan.DownLoad.Based, Trojan.MulDrop 등 한번 감염되면 수십 개의 악성코드들을 다운로드 받아 설치하는 형태의 트로이목마이며, 다운로드되는 악성코드에는 사용자의 정보를 빼가기 위한 스파이웨어나 광고를 목적으로 하는 애드웨어나 가짜백신을 설치하고, 시스템에 여러 가지 장애나 이상증상을 초래한다. 이러한 형태로 감염된 시스템은 설치된 다양한 악성코드들로 인해 치료 또한 힘들게 하므로 주의를 기울여야 한다.

▶ 시스템 날짜 변경 - 2090 바이러스
시스템의 시간을 2090년 1월 1일로 변경하는 증상을 보인 이 트로이목마는 그 피해나 영향이 그리 크지 않았으나, 내부 버그에 의한 시스템 재부팅 등의 현상이나 2090으로 언론에 이슈화되면서, 많은 인터넷 사용자들에게 치료 불가능하거나 악질적인 바이러스로 과대 인식되어 사용자의 불안감을 높이고 정확하지 않은 조치를 유도했던 바이러스였다.

올해 상반기에는 바이러스를 전파시키는 주요 기법도 다양해졌다. 백신을 무력화 시키거나 패턴 업데이트 및 실행을 방해하는 형태가 증가했고, 기존부터 알려진 취약점이나 기법들을 모아 단일한 방법이 아닌 다양한 시도를 통한 바이러스 전파 방법도 늘었다. 또한 해킹된 웹페이지를 통해 감염되는 게임 정보 유출형 악성코드는 상반기 악성코드 Top 20 중 6건을 차지하며 해킹으로 변조된 웹페이지에 의한 사용자 시스템 감염이 많았다.

또한, Adobe Acrobat Reader 나 MS Office의 엑셀 또는 파워포인트의 취약점, 플래쉬 플레이어 취약점 등 사용자가 많이 이용하는 문서나 동영상 플레이어 응용프로그램에 대한 취약점을 이용하는 악성코드가 증가한 것도 올 상반기의 특징이다. 사회공학적 기법으로 얼마 전 이슈화 되었던 노무현 대통령 서거나 신종 플루, 마이클 잭슨 죽음 등 사회적 이벤트를 이용해 사용자의 무의식적인 행동을 유도하는 악성코드도 증가했다.

최재혁 에스지어드밴텍 연구소 팀장은 “최근 악성코드 동향은 나날이 복잡하고 정교해지고 있으나 PC 사용자가 MS 보안패치와 윈도 관리자 암호 변경, 이동식 저장장치에 대한 주의를 기울이는 것 만으로도 전파를 억제하는 방안이 될 수 있다”고 말했다. 또한 그는 “자체 전파 기능이 없는 트로이목마가 많이 감염된 원인은 웹 해킹을 통한 웹페이지 변조이므로 백신 및 운영체제에 대한 최신 업데이트 유지가 필요하고, 웹서비스를 공급하는 업체에서는 웹해킹에 대하여 DB의 SQL 인젝션과 웹 프로그램 소스(웹 페이지)에 대한 안전한 관리가 필요할 것”이라고 강조했다.