| [컬럼] 변화하는 모바일과 악성 프로그램 | 2006.03.02 | ||
<지오트 바이러스 분석실.>@보안뉴스 빠르게 변모하는 모바일 이동통신의 발달은 음악이나 무선인터넷, 이메일, 방송 등 다양한 컬러 동영상 콘텐츠의 주문형비디오(VOD) 서비스를 실시간으로 이용할 수 있도록 만들고 있다. 이미 우리주변에서는 많은 사람들이 버스나 길거리에서 휴대폰을 쳐다보면서 방송을 보거나, 대학캠퍼스에서 노트북 무선랜으로 인터넷을 즐기고, 인공위성(GPS)을 통한 차량용 네비게이션등 각종 위치기반 서비스등을 자유롭게 이용하고 있는것을 볼 수 있다. 또한 이동통신사업자들은 좀더 많은 고객을 확보하기 위하여 신개념 서비스와 시장선점을 놓고 각축전을 벌이고 있어 이로 인한 3세대(3Generation)이동통신 컨텐츠 서비스도 발전되고 있다. 최근에는 멀티미디어 신호를 디지털 신호방식으로 변환하여 수신단말기에 제공하는 DMB(Digital Multimedia Broadcasting)서비스를 이용하여 휴대폰에서도 지상파나 위성방송을 실시간으로 시청할 수 있고, 이동하면서 초고속 인터넷을 사용할 수 있는 무선 인터넷 서비스인 WIBRO(Wireless Broadband Internet)가 최대 관심사가 되고 있기도 하다. 그리고 내년 상반기까지 일부 지역과 지하철에서도 서비스가 가능하도록 망구축 상용화를 준비하고 있는 WCDMA(Wideband Code Division Multiple Access)는 화상통화와 고품질 데이터 서비스를 가능하게 하는 3G 이동통신 기술로 데이터 서비스에 활용될 수 있는 다양한 콘텐츠가 충분하게 확보되는 시점이 된다면 DMB 시장을 능가할 것으로 예상하고 있기도 하다. 이 처럼 많은 사람들이 상상해 오던 미래생활이 어느순간부터 빠르게 현실화가 되고 있는것이다. 2. 악성코드 도구에서 환경으로 진화 앞으로는 사용자가 네트워크나 컴퓨터를 의식하지 않고 장소에 구애받지 않으며, 자유롭게 네트워크에 접속할 수 있는 정보통신 환경인 유비쿼터스의 시대로 발전할 것이다. Ubiquitous 란 물이나 공기처럼 시공을 초월해 ┖신(神)이 언제나, 어디에나 존재한다┖는 뜻의 라틴어에서 유래된 말로서 미국 제록스 팔로알토 연구소의 마크 와이저 박사가 처음 사용한 용어로 "기술이 배경으로 사라진다"고 주장하면서 부터 사용된 후 IT 업계가 나아가야할 목표이며, 21세기 키워드등으로 사용되고 있다. 이런 환경의 변화는 컴퓨터를 무대로 하던 악성프로그램의 진화를 이끌어내고 있다. Gartner 의 연구원인 John Pescatore 와 John Girard 는 휴대폰을 공격대상으로 하는 악성 프로그램에 어떻게 대처해야 하는지를 주제로 하는 연구 논문을 발표한 바 있는데 이 논문내용에 의하면 급속도로 확산되는 모바일 바이러스나 웜은 적어도 2007년말까지는 나타나지 않을 것으로 추측하였다. John Pescatore 와 John Girard 는 현재 일부 보안업계와 미디어에서 모바일 위협에 대한 정보등을 내놓고 있고 이미 보고된 몇몇 실제 피해들이 있긴 하지만 기업용 모바일 휴대폰의 30% 이상이 동시에 감염될 수 있는 바이러스나 웜의 공격은 향후 2007년말까지는 불가능할 것이다라고 전했다. 그 이유에 대해서 아직 다량확산할 수 있는 조건이 충족되지 않았다는 것(스마트폰이 전체 모바일 기기의 1/3을 차지)과 실행파일을 주기적으로 상호교환하고 있지 않기 때문이라 하였다. 글을 작성하는 본인 역시 아직까지는 동시에 전 세계의 모바일기기 사용자를 대상으로 하는 대규모 공격은 없을 것으로 동의하지만 최근들어 여러 인터넷 사이트에서 모바일 악성프로그램의 정보를 공유하는 커뮤니티와 제작사이트, 심비안 모바일용 신종 악성프로그램들이 발견되고 있어 앞으로 새로운 보안위협 요소의 하나로 자리잡게 될 것으로 예측된다. 지오트 바이러스 분석실(GCERT)은 2006년 02월 03일에 마치 정상 프로그램처럼 위장한 3종의 새로운 심비안용 트로이목마 변종을 아래와 같이 추가 발견하였다.(일부명삭제) SeleQ******************.sis (389,517 바이트) Symantec****************.sis (408,304 바이트) Adobe Reader************.sis (531,820 바이트) 해당 파일에는 각각 Trojan-Dropper.Win32.QickBatch.f, Trojan-Dropper.Win32.QickBatch.d, Trojan.SymbOS.Skuller.gen 등이 포함되어 있다. 3. 악성코드 도구에서 환경으로 진화 최근까지 다양한 모바일 악성프로그램이 발견되었는데, 그중 일부 진단명(KAV 기준) 리스트는 아래와 같다. Worm.SymbOS.Cabir.a Worm.SymbOS.Cabir.b Worm.SymbOS.Cabir.c Worm.SymbOS.Cabir.d Worm.SymbOS.Cabir.e Worm.SymbOS.Cabir.f Worm.SymbOS.Cabir.g Worm.SymbOS.Cabir.h Worm.SymbOS.Cabir.i Worm.SymbOS.Cabir.j Worm.SymbOS.Cabir.k Worm.SymbOS.Cabir.l Worm.SymbOS.Cabir.m Worm.SymbOS.Cabir.n Trojan.SymbOS.Skuller.a Trojan.SymbOS.Skuller.b Trojan.SymbOS.Skuller.c Trojan.SymbOS.Skuller.d Trojan.SymbOS.Skuller.e Trojan.SymbOS.Skuller.f Trojan.SymbOS.Skuller.g Trojan.SymbOS.Skuller.gen Trojan.SymbOS.Skuller.h Trojan.SymbOS.Skuller.i Trojan.SymbOS.Skuller.k Trojan.SymbOS.Skuller.l Trojan.SymbOS.Skuller.m Trojan.SymbOS.Skuller.n Trojan.SymbOS.Skuller.o Trojan.SymbOS.Skuller.p Trojan.SymbOS.Skuller.q Trojan.SymbOS.Skuller.r Trojan.SymbOS.Skuller.s Trojan.SymbOS.Skuller.t Trojan.SymbOS.Skuller.u Trojan.SymbOS.Skuller.v Trojan.SymbOS.Skuller.w Trojan.SymbOS.Skuller.x Trojan.SymbOS.Skuller.y Worm.SymbOS.Comwar.a Worm.SymbOS.Comwar.b Worm.SymbOS.Comwar.c Worm.SymbOS.Lasco.a Trojan.SymbOS.Appdisabler.a Trojan.SymbOS.Appdisabler.d Trojan.SymbOS.Appdisabler.e Trojan.SymbOS.Blankfont.a Trojan.SymbOS.Bootton.a Trojan.SymbOS.Bootton.b Trojan.SymbOS.Cardblock.a Trojan.SymbOS.Cardtrap.a Trojan.SymbOS.Cardtrap.b Trojan.SymbOS.Cardtrap.c Trojan.SymbOS.Cardtrap.d Trojan.SymbOS.Cardtrap.e Trojan.SymbOS.Cardtrap.f Trojan.SymbOS.Cardtrap.g Trojan.SymbOS.Cardtrap.h Trojan.SymbOS.Cardtrap.i Trojan.SymbOS.Cardtrap.j Trojan.SymbOS.Cardtrap.l Trojan.SymbOS.Cardtrap.m Trojan.SymbOS.Cardtrap.n Trojan.SymbOS.Cardtrap.o Trojan.SymbOS.Dampig.a Trojan.SymbOS.Doombot.a Trojan.SymbOS.Doombot.b Trojan.SymbOS.Doombot.c Trojan.SymbOS.Doombot.d Trojan.SymbOS.Doombot.e Trojan.SymbOS.Doombot.f Trojan.SymbOS.Doombot.g Trojan.SymbOS.Doombot.h Trojan.SymbOS.Doombot.i Trojan.SymbOS.Doombot.j Trojan.SymbOS.Doombot.k Trojan.SymbOS.Doombot.l Trojan.SymbOS.Doombot.m Trojan.SymbOS.Doombot.n Trojan.SymbOS.Drever.a Trojan.SymbOS.Drever.b Trojan.SymbOS.Drever.c Trojan.SymbOS.Drever.d Trojan.SymbOS.Fontal.a Trojan.SymbOS.Fontal.b Trojan.SymbOS.Fontal.c Trojan.SymbOS.Fontal.d Trojan.SymbOS.Fontal.e Trojan.SymbOS.Fontal.f Trojan.SymbOS.Fontal.g Trojan.SymbOS.Fontal.h Trojan.SymbOS.Hobble.a Trojan.SymbOS.Locknut.a Trojan.SymbOS.Locknut.b Trojan.SymbOS.Mosquit.a Trojan.SymbOS.Onehop.a Trojan.SymbOS.Onehop.b Trojan.SymbOS.Skudoo.a Trojan.SymbOS.Skudoo.b Trojan.SymbOS.Skudoo.c Trojan-Dropper.SymbOS.Agent.a Trojan-Spy.SymbOS.Pbstealer.a Trojan-Spy.SymbOS.Pbstealer.b Trojan-Spy.SymbOS.Pbstealer.c Trojan-Spy.SymbOS.Pbstealer.d 이 처럼 다양한 심비안용 모바일 악성프로그램이 발견되고 있다는 점을 주목하고, 모바일 공격으로 인한 피해는 현재 PC를 노린 공격의 피해보다 광범위하게 나타날 수 있다는 보안 위협 가능성을 배제할 수는 없을 것이다. 물론 심비안(Symbian)운영체제용 악성프로그램으로 제한되어 발견되고 있어 국내 환경(WIPI)에서는 아직 구동할 수 없는 단계이기 때문에 상대적으로 안전하다고 말할 수 있다. 하지만 이미 CDMA(Code Division Multiple Access) 기반으로 개발된 WIPI(Wireless Internet Platform for Interoperability) 를 GSM(Global System for Mobile communication)망에서 사용할 수 있도록 하는 WIPI ON SYMBIAN 의 기술도 개발되고 있고, 3G에서 Wibro 를 중간지점(3.5G)으로 IT 비전은 4G에 있다고 할 수 있을것이다. 또한 심비안용 악성프로그램 내부에 윈도우용 웜이나 트로이목마들 추가로 설치하도록 제작되는것이 다수 발견되고 있는것도 주의할 부분중에 하나이다. 휴대폰과 PC, 메모리 카드등이 연결됨에 따라서 모바일폰을 통한 또 다른 전파경로가 될 수 있다는 점이다. 앞으로 모바일은 블루투스, 초광대역(UWB) 등 무선기술과 4G를 연계하고 세계가 하나의 통일된 표준규격을 목표로 함에 따라 인터넷처럼 발전할 것이며, 2007년 세계 공통 주파수가 확정되면 4G 이동통신부터는 전 세계 어느 곳이나 로밍(Roaming)없이 무선통화를 할 수 있는 글로벌 통신시대가 시작될 것이다. 이 때가 되면 악성프로그램의 제작자들은 좀더 적극적으로 공격환경의 변화를 시도할 것이며, 지금보다도 폭 넓은 보안위협과 사회환경의 부작용으로 나타날 수 있을 것으로 전망되기도 한다. 우리는 앞으로 변화하는 모바일 환경에 맞추어 악성프로그램 제작자들도 조금씩 활동반경을 넓혀가고 있다는 것을 인지하고, 유비무환의 자세로 능동적인 대처를 할 수 있어야 할 것이다. 요즘 WIBRO(Wireless Broadband Internet) 나 HSDPA(High Speed Downlink Packet Access) 의 서비스를 앞두고 많은 사람들이 높은 기대감과 관심에 약간은 들 떠 있는 모습을 볼 수 있다. 이런 때 일수록 한번쯤 보안 위협 요소들을 되짚어 보는 시간을 가져 보는 것도 의미 있는 일이 될 것이다. <지오트 바이러스 분석실(GCERT) 문종현 실장> [길민권 기자(boannews@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
|||
 |
