최근 컨피커/다운애드업 웜의 새로운 변종이 나타났다는 보고서가 발표돼 우려를 낳고 있다. 미(美) 컴퓨터긴급대응팀은 최근 컨피커 B++ 변종이 MS08-067으로 패치된 취약점을 이용해 번식하고 있다고 발표했다. 지난 2월에는 국내에서도 한국정보보호진흥원이 “USB 등의 이동식 저장장치를 통해 전파되어 보안설정 변경, 인터넷 장애 등을 유발하는 컨피커의 신고가 급증하고 있다”며 주의를 당부했다. 이어 지난 3월 초에 다운애드업.C 혹은 컨피커.C로 명명된 소프트웨어 모듈이 발견되는 등 컨피커 웜은 이제 전 세계 보안 관계자들과 인터넷 이용자들을 위협하고 있다.

미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)은 최근 SRI 인터내셔널의 컨피커 관련 리포트를 인용, 컨피커/다운애드업 웜(Conficker/Downadup worm)의 새로운 변종이 나타났다며 사용자들과 관계자들의 주의를 당부했다.

US-CERT에 따르면 컨피커 B++(Conficker B++)라고 명명된 이 변종은 얼마 전  MS08-067 패치가 배포된 원인이었던 취약점을 익스플로이트하고 패스워드 추측, 이동 장치 감염 등 다양한 방법을 통해 자가 번식하는 것으로 알려졌다.

이와 관련해 마이크로소프트의 위협 연구 및 대응 블로그(Threat Research&Respponse Blog)는 “윈32/컨피커(Win32/Conficker), 혹은 컨피커 B++라는 이름의 새로운 변종에 대한 고객들의 질문이 이어지고 있다”며 “이 새로운 변종의 특징은 새로운 백도어 기능을 포함하고 있다는 것”이라고 밝혔다.

이 블로그의 설명에 따르면 기존의 컨피커 버전과 달리 B++변종은  유입되는 쉘코드의 특정한 패턴과 업데이트된 페이로드에 대한 URL을 분석한다.

이 페이로드는 맬웨어에 의해 성공적으로 인증되었을 경우에만 실행된다는 것이다.

다운애드업 또는 Kido로도 알려진 컨피커는 인터넷 전반에 걸친 그 번식력으로 많은 보안 전문가들을 놀라게 했다. 비영리 연구 협회 SRI 인터내셔널(SRI International)의 ‘손상된 인터넷 주소 통계’에 따르면 지난해 11월 처음 발견됐을 당시 이 웜은 최소 1,140만개의 컴퓨터 시스템을 감염시킨 것으로 추정된다.

이 웜의 최초 변종은 마이크로소프트의 윈도우 운영체계의 취약점을 이용해 취약한 컴퓨터에 전파됐다. 두 번째 변종은 오픈 네트워크 공유로 전파돼 240개의 일반적인 패스워드를 시도해 취약한 보안 시스템에 접근을 시도했다.

이른바 컨피커.B(Conficker.B)로 알려진 이 두 번째 변종은 특히 스스로를 USB 메모리에 복제하고 autorun.inf 파일을 감염시킴으로써 번식하고 있다.

컨피커 봇넷, 유연하게 우회해

외신 보도에 따르면 컨피커/다운애드업 웜을 분석하는 연구자들은 이 웜이 페이로드를 수신하는 기존의 방법을 우회할 수 있을 만큼 유연하다는 것을 발견했다.

또한 많은 연구자들은 이 웜의 작성자들이 가장 큰 이익을 얻는 방법은 봇넷을 분리해 최고 입찰자에게 판매하는 것이라는데 의견을 같이하고 있다.

이 경우, 새로운 봇넷 소유자는 특정한 분야를 더 나은 타겟으로 삼아 패스워드나 계좌 정보와 같은 데이터를 수집하도록 새로운 명령을 전달할 수 있게 된다.

비영리 연구 협회 SRI 인터내셔널의 필립 포래스(Phillip Porras)는 “컨피커의 배후에 숨어있는 사이버범죄자들이 인터넷 보안 또는 DNS 단체들의 협업으로 모니터 되거나 사전에 차단되는 도메인 생성 알고리즘보다는 백도어를 이용할 가능성이 있는 것으로 생각한다”고 말했다.

SRI 인터내셔널은 “컨피커는 매우 피하기 어려운 맬웨어 중 하나”로 “지난 몇 달간 이 웜은 모든 다른 감염 에이전트들을 밀어냈다”고 평가했다.

이러한 상황에서 해외 보안 업계와 보안 연구자들은 지난 2월 컨피커가 도메인을 통해 명령을 받는 것을 차단하기 위해 협업할 것을 발표했다. 이에 관해 외신은 도메인 네임을 생산하는 웜이 사용한 알고리즘을 분해한 후 이 웜이 어떤 도메인을 이용할 것인지 예측할 수 있게 됐다고 보도했다.

마이크로소프트를 주축으로 보안 업체와 도메인 등록업체들이 컨피커/다운애드업 바이러스와 맞서기 위한 파트너 십으로 구성한 ‘컨피커 카발(Conficker Cabal)’은 감염된 PC가 도메인들로부터 업데이트를 시도하는 것을 차단하기 위해 노력하고 있다. 

최근 컨피커 카발은 “모든 향후 컨피커 A와 B 도메인의 등록과 이용을 차단했다”고 발표했다. 이로써 컨피커와 관련된 악의적인 해커 그룹들이 향후 컨피커 인터넷 접촉 포인트를 전 세계적으로 모색하는 것을 방지하고 감염된 드론에 새로운 바이너리 업데이트를 배포하는 것을 방지할 수 있다고 카발은 설명했다. 그러나 이 방법이 특정 구역 내의 드론을 타겟으로 삼는 선택적인 DNS 포이즈닝을 방지하지는 못 한다고 덧붙였다.

항공사 웹사이트 등 노려...위협 가시화

지난 3월 초에는 미국의 가장 대표적인 저가 항공사 사우스웨스트 에어라인(Southwest airlines)의 웹사이트가 같은 달 말에 컨피커 웜의 타겟이 될 것이라는 예측이 제기되는 등 컨피커로 인한 위협이 증가하고 있다. 당시 사우스웨스트 측은 이 사이트가 3월 13일 컨피커의 타겟이 될 것으로 파악되자 이 웜을 차단하기 위해 해당 사이트를 닫아놓기도 했다.

소포스의 선임 기술 컨설턴트 그래험 크룰리(Graham Cluley)는 3월 중 컨피커 웜에 이용될만한 도메인을 조사하던 중 사우스웨스트 웹사이트를 발견했다며 컨피커가 페이로드를 다운로드하기 위해 3월 중에만 7,700개 이상의 도메인을 이용할 것이라고 주장했다.

타겟이 된 사우스웨스트 웹사이트는 wnsux.com으로, 이 사이트는 사우스웨스트의 메인 페이지로 리디렉트된다. 사우스웨스트 에어라인은 일시적으로 리디렉트 기능을 닫아 고객들에게 서비스를 계속할 수 있도록 할 것이라고 밝혔다.

아울러 사우스웨스트 웹사이트 외에도 컨피커에 타겟이 될 사이트로는 소셜 네트워크에 음악을 재생하는데 이용되는 위젯을 지닌 Jogli.com 사이트와 암스테르담 대학교 웹사이트 등이 지목돼 컨피커의 위협은 나날이 증가할 것으로 보인다고 외신은 전했다.

또한 외신 보도에 따르면 웜이 작성자의 지시를 받기 위해 합법적인 유명 웹사이트를 이용하려고 시도하는 것은 처음 있는 일로, 컨피커 웜은 인터넷 트래픽을 방해할 수도 있다. 명령을 기다리고 있는 모든 감염된 머신들이 웹사이트 핑을 시도할 수 있기 때문이다.

이와 관련해 트래픽의 증가는 잠재적으로 서비스 거부 공격을 야기하며 사실상 웹사이트를 무력하게 만든다고 크룰리는 말했다.

특히 지금까지 컨피커는 자체 페이로드를 받지 못 하고 있지만 그 뒤에 숨어있는 사이버범죄자들은 특정한 기업에 대한 서비스 거부 공격을 수행하거나 감염된 머신의 소유자들로부터 민감한 정보를 탈취하기 위해 봇넷을 이용할 수 있어 위협이 더욱 증가하고 있다.

또한 사이버범죄자들은 P2P 파일 공유를 통한 데이터 교환과 같은 명령을 업로드할 수 있는 백도어 방식으로 컨피커를 업데이트 한다.

보안 업체들의 공동 대응도 당해내기 어려워

불과 얼마 전까지 알려진 바로는 컨피커 웜은 매일 평균 250여개의 도메인을 체크해 업데이트를 시도하기 때문에 전문가들은 이에 대응하는 것이 쉽지 않다고 평가했다.

그러나 외신 보도에 따르면 지난 3월 초 발견된 다운애드업.C 혹은 컨피커.C로 명명된 소프트웨어 모듈은 컨피커에 감염된 컴퓨터가 매일 250개가 아니라 5만 개의 도메인을 검색해 업데이트 하는 것으로 확인됐다.

이와 관련해 시만텍의 보안 대응 사업부 부사장 빈센트 위퍼(Vincent Weafer)는 카발의 도메인 차단에 대해 ‘미봉책’에 불과하다고 지적하며 앞으로 이 그룹은 컨피커 웜에 대응하는데 상당한 어려움을 겪게 될 것이라고 말했다. 그는 특히 “도메인을 점유하는 것은 시간을 버는 것을 의미할 뿐”이라며 “그것은 결코 장기적인 방어 전략이 될 수 없다”고 말했다.

한편 시만텍은 기업들이 웜을 모니터할 때 이용하는 허니팟 시스템에서 컨피커 모듈을 발견했다고 밝혔다. 시만텍은 “카발이 컨피커 웜이 감염된 시스템에 업데이트 하기위해 이용하는 도메인을 차단하고 있기 때문에 이 모듈은 빠르게 전파되지는 않을 것으로 보인다”고 설명했다.

그러나 문제는 동일한 네트워크를 공유하는 호스트가 감염됐을 경우 2P2 기능을 이용해 모든 컴퓨터들이 업데이트 된다는 것. 따라서 만일 감염된 한 개의 시스템이 업데이트 되면 같은 네트워크상의 다른 모든 감염된 컴퓨터들 역시 새로운 코드를 업데이트하게 된다는 것이다.

이처럼 놀라운 번식력과 유연성으로 전 세계를 위협하고 있는 컨피커 웜은 현재까지 A, B, B++, C 등의 변종을 쏟아내고 있으며, 특히 이 변종들이 모두 마이크로소프트와 다른 많은 보안 업체들의 도메인을 블랙리스트로 설정함으로써 감염된 컴퓨터의 보안 업데이트 및 시스템 소프트웨어를 차단해 제거에 어려움을 주고 있다.

한편, US-CERT는 컨피커 B++와 관련해 마이크로소프트 보안 업데이트 MS08-067를 확인하고 패치되지 않은 시스템은 최대한 빨리 업데이트 할 것을 권장하는 한편 USB 등 이동 장치에 대한 주의를 당부했다.

<글 : 김동빈 기자(foregin@boannews.com)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>