최근 컨피커 웜과 그 변종이 심각한 위협이 되고 있는 상황에서 바로 어제, 컨피커에 손상된 컴퓨터들을 탐지해 2차 피해를 막을 수 있는 방법이 발견됐다는 소식이 전해져 이용자들뿐만 아니라 보안 업계 관계자들이 반색하고 있다.

시큐리티포커스(SecurityFocus), 서치시큐리티닷컴(SearchSecurity.com), e-위크(eWeek) 등 해외 IT 보안 전문 매체들이 지난 30일(현지 시간) ‘보안 연구자들이 컨피커 탐지의 방법을 찾아냈다’, ‘보안 연구자들, 컨피커 웜에 승리했다’며 컨피커에 손상된 컴퓨터를 탐지하는 방법의 발견을 앞 다퉈 전했다.

이들 외신 보도에 따르면 비영리 보안 연구 단체 허니넷 프로젝트(Honeynet Project)의 멤버 두 명이 컨피커 웜에 손상된 컴퓨터들을 탐지하는 방법을 발견했으며 이에 일부 네트워크 스캐닝 업체들은 즉시 자사 제품에 이 기술을 추가했다.

서치시큐리티닷컴은 지금까지 컨피커를 탐지하는 것은 시간 소모적인 작업이었으나 허니넷 프로젝트가 발표한 POC(proof-of-concept) 스캐너로 신속하게 컨피커를 차단할 수 있게 됐다고 전했다.

또한 시큐리티포커스지는 유명 보안 연구자 댄 카민스키(Dan Kaminsky)의 말을 인용해 두 명의 보안 연구자, 펠릭스 레더(Felix Leder)와 틸만 워너(Tillmann Werner)가 아직 발표되지 않은 보고서에 감염된 시스템을 변경하는 과정에서의 컨피커의 취약점에 대해 설명했다고 전했다.

카민스키는 블로그를 통해 “우리는 지난 토요일 이를 발견했으며 월요일 내내 함께 코드를 짰다”고 밝히고 “기술적인 내용은 복잡하지 않다. 모든 버전의 컨피커는 ‘NetpwPathCanonicalize’를 조금 다르게 작동하게 한다”고 설명했으나 자세한 내용은 허니넷 프로젝트의 두 연구자들이 발표할 보고서 “네 적을 알라 : 컨피커 억제하기(Know Your Enemy: Containing Conficker)”를 참고하는 것이 좋겠다고 덧붙였다.

허니넷프로젝트 역시 홈페이지를 통해 카민스키와 공동으로 힘든 작업을 마쳤다고 전하고 “네트워크의 컨피커 감염된 시스템을 원격으로 탐지하기 위해 (엔맵을 포함한) 가장 취약한 스캐닝 툴들은 이제 플로그인 또는 시그니처를 갖춰야만 한다”고 강조했다. 또한 해당 기술 보고서(Know Your Enemy: Containing Conficker)를 이번 주 중으로 발표할 예정이라고 전했다.

한편, 허니넷 프로젝트의 설명에 따르면 이 툴은 컨피커가 관리자들이 시스템 감염 여부를 확인할 수 없게 하기 위해 디플로이하는 수정된 MS08-067 패치의 취약점을 이용하며 이를 통해 다른 사이버 범죄자들이 마이크로소프트 취약점을 익스플로이트하는 것으로부터 보호한다.

이러한 스캐닝 기술을 즉시 자사 제품에 편입시킨 보안 업체들은 지난 주말 엔지니어들이 코드 탑재 작업을 실시한 퀄리스(Qualys)를 비롯해 맥아피(McAfee), 네터블(Tenable/Nessus), 엔서클(nCircle) 등이며 오픈소스 엔맵(NMap) 스캐너 또한 이 기술을 추가한 것으로 알려졌다.

한편, 보안 업체에 따라 컨피커.C, 다운애드업.C 또는 컨피커.D(마이크로소프트)라고 불리는 최신 변종인 C 버전에 감염된 컴퓨터들은 4월 1일을 기해 일부 선택적인 도메인을 이용했던 이전의 변종들과는 달리 매일 5만개의 psuedo-random 도메인 네임의 리스트를 생성해 이 중 500개의 도메인으로부터 명령을 다운로드 하게 될 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>