원도우 서버 서비스 원격코드 실행 취약점을 이용해 전파되는 악성코드인 ‘컨피커웜(Win32/Conficker.worm)’이 현재에도 다수의 변형을 보이며 발견되고 있어 이에 대한 주의가 필요하겠다.

지난 4월 1일 무작위로 생성된 500여개 도메인으로 트래픽을 유발시키는 증상을 보이는 변형도 존재하는 것을 확인한 것은 물론 현재에도 다수의 변형이 발견되고 있어 주의를 늦추어 선 안된다는 내용으로 김지훈 안철수연구소 시큐리티대응센터 책임연구원이 11일 한국정보보호진흥원이 개최한 ‘제14회 정보보호 심포지움’에서 발표했다.

이날 김지훈 연구원은 “MS08-067 취약점을 이용해 지난해 10월에 처음으로 발견된 Gimmiv.A에서 단순하게 본 취약점을 이용해 나타난 컨피커 A가 한달 후 나타났고 이후 한달 주기로 업데이트돼 컨피커 B에서 올해 2월 20일에는 컨피커 C로 진화해 업데이되는 것을 확인했다”고 말했다.

이어 김지훈 연구원은 “컨피커 A가 단순히 MS08-067 취약점을 이용해 발생했다면 작년 연말 발생한 컨피커 B는 그 외에도 관리목적의 공유폴더, USB(오토런) 등을 이용한 진화양상을 보였다”며 “최근에는 컨피커가 셀코드(Shellcode Decryption) 패턴을 이용한 방법이 70% 이상을 차지하고 있다”고 발표했다.

또한 이러한 컨피커웜에 감염 시에는 “컨피커는 프로세스단에서 dll 인젝션 공격을 통해 실행은 가능하도록 하지만 읽기 쓰기 권한을 뺏는 등의 파일 진단을 무력화는 물론 ▲보안업데이트 무력화 ▲중복 감염 방지 ▲웹 서버 구축 ▲악성코드 전파 등의 특징을 보인다”고 설명하고 “특히 중복 감염을 방지하는 특징은 자기 외에 다른 이들이 이용할 수 없도록 하기 위한 조치이지만 이로 인해 컨피커 악성코드 감염만 이루어지는 것이 아니라 또다른 악성코드를 전파한다”고 김지훈 연구원은 말했다.

이후 김지훈 연구원은 이날 실제 해킹 시연 모습을 보여줘 이해를 돕는 한편 컨피커웜에 대해 “컨피커웜은 보안패치가 설치되지 않은 웹서버에서 악성코드를 실행시켜 감염되는 만큼 MS08-067 보안패치를 설치하고 실시간 감시가 가능한 백신 등을 이용하면 된다”고 조언했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>