컨피커 웜이 변종을 쏟아내며 전 세계 보안 관계자들과 인터넷 이용자들을 위협하고 있다. 특히 나날이 업데이트를 시도하는 이 웜 때문에 공동 대응책 마련을 위해 구성된 보안 기업들의 조직이 보다 힘겨운 싸움을 하게 될 것이라는 주장이 제기돼 더 큰 우려를 낳고 있다.

불과 얼마 전까지 알려진 바로는 컨피커 웜은 매일 평균 250여개의 도메인을 체크해 업데이트를 시도하기 때문에 전문가들은 이에 대응하는 것이 쉽지 않다고 평가했다.

그러나 외신 보도에 따르면 지난 금요일(현지 시간) 발견된 다운애드업.C 혹은 컨피커.C로 명명된 소프트웨어 모듈은 컨피커에 감염된 컴퓨터가 매일 250개가 아니라 5만 개의 도메인을 검색해 업데이트 하는 것으로 확인됐다.

컨피커 웜과 관련해 지난 달 마이크로소프트는 보안 업체와 도메인 등록업체들로 구성된 그룹을 꾸려 웜이 기생하는 도메인들을 차단을 실시하고 있다. ‘컨피커 카발(Conficker Cabal)’이라고 불리는 이 그룹은 감염된 PC가 도메인들로부터 업데이트를 시도하는 것을 차단하기 위해 노력하고 있다. 

그러나 이와 같은 카발의 도메인 차단에 대해 시만텍의 보안 대응 사업부 부사장 빈센트 위퍼(Vincent Weafer)는 미봉책에 불과하다고 지적하며 앞으로 이 그룹은 컨피커 웜에 대응하는데 상당한 어려움을 겪게 될 것이라고 말했다. 그는 특히 “도메인을 점유하는 것은 시간을 버는 것을 의미할 뿐”이라며 “그것은 결코 장기적인 방어 전략이 될 수는 없다”고 말했다.

한편 시만텍은 기업들이 웜을 모니터할 때 이용하는 허니팟 시스템에서 컨피커 모듈을 발견했다고 밝혔다. 시만텍은 “카발이 컨피커 웜이 감염된 시스템에 업데이트 하기위해 이용하는 도메인을 차단하고 있기 때문에 이 모듈은 빠르게 전파되지는 않을 것으로 보인다”고 설명했다.

그러나 문제는 동일한 네트워크를 공유하는 호스트가 감염됐을 경우 2P2 기능을 이용해 모든 컴퓨터들이 업데이트 된다는 것. 따라서 만일 감염된 한 개의 시스템이 업데이트 되면 같은 네트워크상의 다른 모든 감염된 컴퓨터들 역시 새로운 코드를 업데이트하게 된다는 것이다.

지난 2008년 11월 처음 발견된 이래 놀라운 번식력으로 전 세계 보안 전문가들을 당황하게 만든 컨피커 웜은 현재까지 A, B, B++, C의 변종을 쏟아내고 있으며 국내에서도 한국정보보호진흥원이 “USB 등의 이동식 저장장치를 통해 전파되어 보안설정 변경, 인터넷 장애 등을 유발하는 컨피커의 신고가 급증하고 있다”며 주의를 당부하고 있는 상황이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>