‘2090 바이러스’에서 마이클 잭슨 동영상으로 현혹한 악성코드까지

올해 상반기에는 ‘포맷을 해도 제거되지 않는 등’의 위협적인 기능을 가지고 있는 것처럼 과장 해석돼 언론화돼 문제가 된 ‘2090 바이러스’를 비롯해 최근에는 마이클 잭슨의 사망 동영상이라는 내용으로 사용자들을 현혹해 감염되도록 유도하는 형태의 악성코드 등이 대두됐다. 올해 상반기를 마무리되는 시점에서, 올해 상반기에 나타났던 악성코드에 대해 살펴본다.

또한 이번 동향 보고서는 잉카인터넷 시큐리티 대응센터(ISARC)의 도움을 받아 2009년 상반기에 출현했던 대표적인 악성코드들의 발생 동향을 되짚어보고, 차후 분기별 보안 위협에 대한 전망과 하반기에 출현 가능한 위협 요소를 예측해 보고 그 대응방안에 대해서도 알아본다.

■ 온라인 게임 계정 탈취 목적의 웹 해킹 여전히 기승

유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용해 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 발생하는 다량의 웹 사이트 불법 변조(Exploit Code 삽입)와 게임 계정 탈취 기능(Password Stealer)을 가진 악성코드 유포가 연일 기승을 부리고 있다.

특히 신종 악성코드 유포를 국지적으로 좀더 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도되었는데, 그 중 2009년 상반기에는 네이트온(Nate On) 메신저와 쪽지 등을 통한 한국적 공격 방식이 활발히 도입돼 지속적으로 사용되고 있는 것이 특징이라 말할 수 있고, 이동식 저장 매체를 통한 감염기법(Autorun.inf)도 꾸준히 성행하고 있다.

■ MS08-067 취약점을 이용한 Kido(Conficker) 웜의 다변화

Kido(Conficker) 네트워크 웜의 변종이 지속적으로 발견돼 개인 및 기업에 많은 피해를 입혔으며, 특히 다양한 방식을 통한 전파방식을 사용함으로써 재감염되는 사례가 속출하는 양상을 보이기도 했다.

Kido 네트워크 웜은 ▲이동식 저장 매체의 자동 삽입 실행 기법과 난독화된 Autorun.inf 파일을 이용한 전파 ▲취약한 단순 암호 사전 대입법을 통한 전파 ▲MS08-067 취약점 등을 통한 방식으로 전파됐다.

이 웜의 근본적인 차단을 위해서는 마이크로 소프트사의 보안 업데이트가 중요하다.

■ 사회공학적 기법의 악성코드 수시 등장

오바마 미국 대통령과 관련된 허위 웹 페이지를 이용하거나, 연말연시 새해 축하 카드, 발렌타인 데이 카드, 허위 테러 공격 뉴스, SMS Spy 등을 이용하는 등 사회적으로 이슈화되고 있거나 관심이 있는 내용들을 통해서 변종 Iksmas(Waledac) 웜을 지속적으로 유포하는 사례가 발견됐다.

인터넷 사용자들을 현혹시켜 악성코드에 노출되도록 만든 후 감염된 사용자들의 컴퓨터를 봇넷(Bot Net) 등으로 활용하고, 좀비 PC를 경유지로 하여 비아그라 제품 판매 등의 광고성 스팸 메일을 보내는데 악용하는 사례가 다수 발견됐다.

악성코드 유포를 통해서 불특정 다수에게 특정 광고 메일을 보낼 수 있도록 만들고, 이를 통해서 발생된 수익금을 모으기 위한 지능화된 사이버 범죄의 한 형태라 말할 수 있다.

최근에는 마이클 잭슨의 사망 동영상 이라는 내용으로 사용자들을 현혹해 악성코드에 감염되도록 유도하는 형태도 다수 발견되고 있다.

■ Adobe Reader, PowerPoint 등 Zero-Day취약점 공격 보고

보안 패치가 발표되지 않은 새로운 취약점을 이용한 원격코드 실행 기법이 등장해 어도비 리더와 파워포인트 프로그램을 이용하고 있는 사용자들에게 새로운 위협 요소로 작용했다.

근래에는 PDF, SWF, Office 파일의 취약점을 악용한 Exploit Code 공격이 활발히 사용되고 있기 때문에 윈도우 운영체제의 보안패치 뿐만 아니라, 주요 응용 프로그램의 보안패치도 꾸준히 설치해 주어야 한다.

■ 시스템 날짜를 2090년으로 변경하는 악성코드 이슈

MS08-067 취약점을 이용·확산한 악성코드로 감염시 시스템 날짜를 2090년으로 변경하는 증상 때문에 일명 ‘2090 바이러스’라는 이름으로 이슈화됐다.

확인되지 않은 일부 게시글 등을 통해서 ‘포맷을 하여도 제거되지 않는 등’의 위협적인 기능을 가지고 있는 것처럼 과장 해석돼 언론화되는 문제도 있었는데, 이러한 악성코드가 출현할 경우 전문 보안업체의 신뢰할 수 있는 분석자료를 통해서 알려지도록 하는 필요성도 대두되기도 했다.

■ Virut 바이러스 변종 피해 증가

EXE, SCR 등의 실행파일을 감염시키는 Virut 바이러스 변종이 지속적으로 발견 보고 되고 있으며, 최근에는 mIRC 명령을 통해서 허위 Anti-Virus 제품 유포 등을 하는 행동도 포착된 바 있다.

Virut (변종) 바이러스를 제작하고 유포한 사람 역시 감염된 사용자들로 하여금 불법적으로 돈을 벌기 위한 목적을 가지고 있었다는 것을 증명한 사례라 할 수 있다.

이렇듯 최근의 악성코드는 기존 첨부파일을 열어 보거나 SW를 다운로드해 설치해야 감염되던 형태에서 벗어나 단순히 검색 페이지의 링크나 이미지 등을 클릭하는 것만으로도 원하지 않는 SW를 설치하는 등 감염이 될 수 있어 주의가 필요하다.

특히 유명 온라인 게임 사용자들의 개인정보를 불법적으로 탈취해 해당정보를 도용해 금전적인 수익을 챙기는 등의 사이버 범죄가 끊이지 않았던 바, 시스템이 하이재킹 당하지 않도록 하는데 주의를 기울여야 한다.

이에 잉카인터넷 시큐리티 대응센터에서는 이러한 악성코드의 예방을 위해서는 “의심스러운 웹사이트 방문은 자제하고, 잘 모르는 사람이 보냈거나 수상한 이메일은 결코 열어서는 안되며, 메신저를 통한 인터넷 주소나 첨부파일에 대해 무의식적으로 접속하거나 열지 않는 것이 좋다”며 “또한 보안등급을 설정하고, 실시간 감시 기능이 되는 통합 보안 프로그램을 설치해 항상 최신 버전으로 유지할 것”을 당부했다.

또한 잉카인터넷 시큐리티 대응센터는 “이처럼 2009년 상반기의 악성코드 동향은 공격 형태가 점차 지능화되고 있으며, 불특정 다수와 특정 대상을 겨냥한 국지성 공격이 함께 증가하고 있기 때문에 전문 보안 업체의 역할은 더욱 더 중요한 시점”이라며 “앞으로도 전문적이고 체계적인 대응조직을 통한 신속하고 정확한 보안 서비스가 필요하다”고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>