우려했던 만우절 대란이 일어나지 않았다고 안심하려는 찰나에 컨피커가 마치 ‘시간차 공격’이라도 하려는 듯 한 박자 쉬고 움직이기 시작했다.

미(美) 네트워크 보안 업체 웹센스(Websense)의 시큐리티랩(Security Labs)은 지난 8일(현지 시간) 홈페이지를 통해 컨피커가 P2P를 통해 다운로드했다는 증거를 확보했다고 밝혔다. 이는 지난 4월 1일 이후 처음으로 나타난 컨피커 업데이트라고 웹센스는 덧붙였다.

이와 관련해 미(美) IT 전문 미디어 시큐리티포커스(SecurityFocus)는 “결국 컨피커 웜의 배후에 있는 사이버범죄자들은 악성 프로그램을 업데이트하기 위해 단지 일주일을 기다렸을 뿐”이라고 전했다.

웹센스는 지난 4월 1일 이후 약 1주일간 업데이트를 하지 않던 컨피커가 지난 7일(현지 시간) 바이너리 파일을 수신했다고 설명했다. 감염된 컴퓨터들이 새로운 명령을 다운로드해 컨피커가 기능하는 방법을 수정하기 시작했다고 주장했다. 특히 waledac과 컨피커가 현재 리소스를 공유하고 있는 경향을 보이고 있다며 좀더 뚜렷한 세부 사항이 밝혀지면 추가적으로 내용을 밝히겠다고 덧붙였다.

이 업체의 보안 연구팀 매니저 스티븐 체네트(Stephan Chenette)는 컨피커 웜이 마이크로소프트 윈도우의 취약점을 이용해 번식하기 위해 프로그램 최신 수정을 재개했으며 대부분의 통신을 프로그램의 P2P 네트워크를 통해 리디렉트하고 있다고 설명했다.

그는 또한 이번 최신 컨피커 업데이트가 Waledac이라는 악성 프로그램을 호스트하는 것으로 알려진 도메인으로 유도하고 있다며 Waledac과 그와 유사 계열인 스톰 웜(Storm Worm)의 특징적인 기능인 P2P 네트워킹 추가는 이 프로그램의 작성자가 동일하거나 또는 작성자들이 어떤 종류의 관계를 맺고 있다는 것을 암시한다고 주장했다.

그는 “P2P는 컨피커가 업데이트와 명령 및 통제하는데 있어 절대적인 비중을 차지하게 될 것”이라며 “이는 스톰 웜이나 Waledac이 그랬던 것과 똑같다”고 지적했다.

현재 컨피커 카발로 불리기도 했던 컨피커 워킹 그룹의 연구자들은 업체들에 따라 다운애드(Downad), 다운애드업(Downadup), 또는 키도(Kido)라고 불리고 있는 컨피커 웜과 관련해 지속적으로 컨피커 프로세스뿐만 아니라 통신 채널도 모니터하고 있는 것으로 알려졌다.

이와 관련해 웹센스의 체네트는 “우리는 여전히 새로운 컨피커 바이너리의 모든 구체적인 것을 알아내기 위해 노력하고 있다”며 “(새로운 컨피커가) 방법을 바꾸면 우리도 이를 분석하는 방법을 바꿔야만 할 것이다. 다소 시간은 걸리겠지만 우리는 제때에 자세한 내용을 알아낼 수 있을 것이다”고 자신을 표했다.

그러나 현 컨피커 버전도 만기일이 있어 번식이 중단될 것으로 보이기는 하지만 앞으로도 P2P 네트워크를 통해 전달되는 명령에는 반응할 수도 있다며 주의를 당부했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>