하우리, 악성코드 분류에 따른 주요특징 및 보안Tip 제시

2009년은 다양한 악성코드 및 지속적인 변종바이러스의 출현으로 인해 PC 사용자들이 백신 제품의 필요성을 몸소 체감할 수 있었던 한해로 기억될 것 같다. 그런 측면에서 2010년, 보다 안전한 PC 생활을 위해 2009년 한해 동안 발생했던 주요 악성코드를 살펴보고 그 특징 등을 살펴볼 필요가 있겠다.

 

 

이에 국내 안티-바이러스 전문업체인 하우리(대표 김희천)의 도움으로 올 한해 동안 발생했던 주요 악성코드를 살펴보고, 일반사용자를 위해 ‘악성코드의 분류에 따른 주요특징’과 ‘보안Tip’을 다음과 같이 살펴보도록 한다. 아울러 다음 언급되는 악성코드 분류 및 최초 발견일자 등은 하우리 측의 기준이며, 최초 발견일자는 샘플의 종류에 따라 달라질 수 있음을 밝힌다.

[Worm.Win32.Conficker.169360]

2008년 10월부터 발견되기 시작해, 2009년에 많은 컨피커 변종 악성코드들이 제작돼 윈도우 시스템에 많은 피해를 주었다. 윈도우 ‘MS08-067’ 보안취약점, 이동식 저장 매체(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파된다. 악성코드는 감염PC의 IP 정보를 서버에 저장하고, 특정 웹 페이지에 접속을 시도한다. 감염시스템의 보안을 취약하게 하기 위해 DNS 관련 API를 후킹해 MS와 안티-바이러스 업체 사이트의 특정 문자열이 들어간 웹사이트에 접근하지 못하게 하는 특징을 가지고 있다.

 악성코드 분류 : 바이러스

 최초 발견일자 : 2009-01-21

보안Tip 전세계적으로 대부분의 PC사용자들은 MS 운영체제를 사용하고 있다. 많은 사용자를 확보하고 있는 만큼, 이를 노리는 악성코드 제작자는 끊임없이 생겨나고 있다. 이를 대비하기 위해서는 수시로 MS 보안패치를 적용해 악성코드에 감염되지 않도록 주의해야 한다.

[I-Worm.Win32.Waledac.411136]

2월 14일 발견되기 시작했으며, ‘발렌타인데이 웜’이라고도 불린다. 이메일을 통해 전파되며, 감염시스템에서 스팸 메일을 대량으로 발송해 트래픽 과부하를 일으키기도 한다. “You have a A Valentine┖s Day Greeting!”이라는 메일 제목을 사용하며, 메일 내용의 해당 주소를 클릭하면 이미지와 함께 ‘click here’를 유도한다. 변종 ‘Waledac’ 웜의 경우 발렌타인데이, 오바마 대통령 등 사회적 이슈를 이용해서 메일 수신자의 클릭을 유도해 악성코드를 설치하는 특징이 있다.

 악성코드 분류 : I-Worm

 최초 발견일자 : 2009-02-14

보안Tip 특정일의 이슈를 이용한 바이러스는 해마다 증가하고 있으며, 해를 거듭할수록 이미지나 링크를 이용한 위장메일 또한 진화를 거듭하고 있다. 그러므로 특정일을 기념하는 제목으로 수신된 메일 중, 신뢰하지 않는 메일은 바로 삭제해야 한다.

[Backdoor.Win32.IRCBot.15872.I]

2월 11일 발견되기 시작했으며, 시스템 날짜를 2090년으로 바꾸는 일명 ‘2090 바이러스’ 알려진 악성코드의 변종으로 감염 시스템의 날짜를 2070년 1월 1일 오전 10시로 변경해서 2070 바이러스로 불리기도 한다. 윈도우 ‘MS08-067’ 취약점, 네트워크 공유폴더 및 이동식 저장매체(USB)를 통해 전파된다. 특정 IRC 채널에 접속을 시도하며, 트로이 목마를 다운로드 받기도 한다. 시스템 날짜의 변경으로 인해 감염시스템에서 서비스에 문제가 발생하기도 한다.

 악성코드 분류 : 백도어

 최초 발견일자 : 2009-02-11

보안Tip 개인PC 보안이 아무리 뛰어나도 공유폴더나 이동식 저장매체를 사용하는 경우에는 보안의 경계가 약해지기 때문에, 백신S/W 설치 및 최신 업데이트를 통해 이를 예방하고, 오토런(AutoRun) 바이러스에 감염 예방을 위해 이동식 저장매체는 자동실행 설정을 해제한 후 사용할 것을 권장한다.

[Spyware.NateOn.Dr]

과거 2001년부터 유행하던 MSN 바이러스와 비슷한 형태의 악성코드로써, 국내에서 많이 사용되는 네이트온(Nateon) 메신저를 통해 전파된다. 2009년 한해 동안 꾸준히 변종이 보고됐고, 변종에 따라 여러 종류의 사진을 보여주는 한편 유명 온라인 게임의 계정정보를 훔쳐내며 다른 악성코드를 감염 시키는 특징을 가지고 있다.

 제작국가 : 중국

 악성코드 분류 : Spyware

 최초 발견일자 : 2008년 7월

보안Tip 메신저는 24시간 대화가 가능하며, 파일을 주고 받는데도 용이하다. 편리한 만큼 악성코드에 의한 침해사고도 쉽게 이루어지므로, 백신S/W의 실시간감시기를 켜두어 악성코드의 감염으로부터 PC를 보호하는 것이 현명하다.

[Trojan.Win32.DDoS-Agent.Gen]

국내에서는 7월 7일 공격이 시작되었으며 7.7 DDoS 대란이라고 불릴 정도로 국가 공공기관, 금융권과 주요 포털사이트 등이 DDoS 공격에 의해 접속 지연 또는 서비스 중지 등이 발생했다. DDoS 공격에 대응하기 위해 모든 사용자들을 위해 전용백신을 무료로 배포하던 안티-바이러스 업체의 홈페이지도 공격당할 정도로 사회적으로 문제가 되었던 악성코드이다.

 악성코드 분류 : 트로이목마

 최초 발견일자 : 2009-07-06

보안Tip 사이버공격으로부터 보호받기 위해서는 공격을 감지할 수 있어야 한다. 최소한의 대응을 위해서는 1PC 1백신을 설치하고 최신 엔진 업데이트를 유지해야 한다.

[X97M.Joker]

5월부터 발견되기 시작해 매크로 바이러스의 특성상 변형하기가 쉬워 계속해서 변종이 발생하고 있다. 엑셀 파일을 실행할 때마다 다른 엑셀 문서를 감염시킨다. 초기 악성코드는 오후 4시 44분 44초가 되면 특정 파일을 삭제한 것처럼 메시지를 보여준 후 ‘뻥임’이라는 메시지 창을 보여주지만 변종에 따라서 증상이 다르게 나타나기도 한다.

 악성코드 분류 : 조크

 최초 발견일자 : 2009년 5월

보안Tip 매크로 바이러스에 감염되면, 감염된 문서를 사용하는 동안 열려있는 중요한 문서들이 영향을 받는다. 따라서 중요한 문서는 별도로 보관해 두고 저장하기 전에 반드시 백신S/W로 감염여부를 확인할 후 저장하는 습관을 가지도록 하는 노력이 필요하다.

[Trojan.Win32.Clampi.513024]

주로 소셜 네트워크 사이트나 메신저를 통해서 전파 된다. 국내는 9월 21일에 발견되었으며 주로 영어 사용국의 은행이 표적이 됐으며, 사용자가 금융사이트에 접속해서 인터넷 뱅킹 시도 시 로그인 정보를 가로채가는 악성코드다. 클램피 악성코드로 인해서 아이디나 패스워드 등 개인정보가 노출돼 많은 금융거래 범죄에 이용되기도 했다.

 악성코드 분류 : 트로이목마

 최초 발견일자 : 2009-09-21

보안Tip 금융거래는 인터넷 메신저나 모바일, 전화 등의 간접매체를 통해서 요청하는 경우, 신뢰할 수 없는 경우가 많으니 주의하도록 하자.

[Trojan.Win32.Delf.15872.O]

델프(Delf) 악성코드는 어도비(Adobe) 취약점을 이용해서 악성 PDF 파일을 생성한 후 이를 통해 전파되는 바이러스로 ‘다오놀(Daonol)’로 불리기도 한다. 국내에서는 10월 14일에 발견돼 계속해서 변종 바이러스가 발생하고 있다. 어도비 취약점을 이용해 전파되므로, 관련 제품의 최신 업데이트에 주의를 기해야 한다. 감염 후 재부팅 시 검은 화면에 마우스만 나타나며, 정상적으로 부팅이 이루어지지 않는 부팅 장애를 일으키는 특징이 있다.

 악성코드분류 : 트로이목마

 최초 발견일자 : 2009-10-14

보안Tip 주로 사용하는 프로그램 목록을 확인하고, 불필요한 프로그램은 제어판의 ‘프로그램추가/제거’를 통해 프로그램을 제거한다. 설치된 프로그램은 취약점을 보완할 수 있는 최신 업데이트 목록을 다운로드 받아 적용한 후 사용하도록 한다.

[Spyware.Zbot]

스파이웨어 Zbot의 변종 중 가장 이슈가 된 ‘Trojan.Win32.Scar’은 신종플루 관련 스팸메일 또는 해킹 당한 사이트를 통해 감염시킨다. 아크로뱃 리더(Acrobat Reader)의 파일 포멧 PDF의 취약점을 이용하며, 다른 악성코드를 다운로드해 추가 감염 시킨다.

 악성코드 분류 : Spyware

 최초 발견일자 : 2009-03-02 / 2009-12-02 (2008년 후반기부터 다양한 변종이 지속적으로 접수됨)

보안Tip 사회적 이슈는 악성코드 제작자의 좋은 표적이 되기 때문에, 이와 관련된 메일이나 사이트에 접속할 경우에는 각별히 주의해야 한다.

[Adware.SecurityTool.R]

허위 Anti-Spyware(Rogue) 즉, 허위백신으로 Win32.Mndis.A 등에 의해 윈도우 시스템의 주요 파일을 패치 한 뒤 허위 안티스파이웨어 제품을 감염시키고 사용자에게 요금 결재를 유도한다. 변종에 따라 바탕화면의 아이콘을 보이지 않게 하거나 블루스크린과 유사한 화면을 보여주고 강제로 재부팅 시킨다.

 악성코드 분류 : Adware

 최초 발견일자 : 2009년 11월

보안Tip 허위백신의 진단결과는 신뢰하지 않도록 주의한다. 허위백신의 경우에는 허위 감염정보를 보여주고 사용자의 결재를 유도하는 것이 주된 특징이다.

한편 이와 관련 김정수 하우리 보안대응센터 선임연구원은  “네트워크 환경에 있는 PC사용자가 인터넷 사용 시 조금만 주의하면, 안전한 PC환경을 만들 수 있다”고 말하고 “그러나 대부분의 PC사용자들은 백신 제품을 설치해 놓을 뿐 최신 업데이트를 하지 않거나 MS 최신 보안패치를 받지 않는 등 사용자의 부주의로 악성코드에 감염되는 사례가 발생하곤 한다”고 지적했다.

또한 김정수 선임연구원은 “국내의 경우 무료백신 제품은 개인사용자에 국한된 것임을 알고, 기업에서는 기업용 백신 제품을 설치해 기업의 중요한 파일이나 정보가 악성코드에 감염되지 않도록 백신 제품을 업데이트와 MS 최신 보안패치를 생활화하도록 해야 한다”고 권고했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>