윈도우 보안 기능 정지시키는 멀웨어 증가세...로피안 웜 두드러져

[보안뉴스 호애진] 윈도우의 보안 기능인 사용자 계정 컨트롤(User Account Control, UAC)을 정지시키는 멀웨어가 최근 증가하고 있다. 마이크로소프트(이하 MS)는 5일 이같이 밝히고 보안을 강화하기 위해선 UAC를 항상 켜둬야 한다고 주의를 당부했다.

UAC는 비스타에서 처음 도입됐던 기능으로 “계속 사용하려면 사용 권한이 필요합니다” 혹은 “알 수 없는 프로그램이 컴퓨터에 액세스하려고 합니다”라는 메시지를 내보내 권한이 없는 응용 프로그램의 자동 설치를 중지하고 시스템 설정에 대한 원하지 않는 변경을 방지하는 기능이다.

MS의 멀웨어 보호 센터(MMPC)는 최근 많은 멀웨어가 감염 PC에서 자신의 존재를 감추기 위해 UAC 기능을 정지시키고 있다고 지적했다. 멀웨어는 관리자 권한을 얻을 수 있게 해주는 버그를 이용하거나 아니면 사람들을 속여 UAC 메시지에서 ‘확인(OK)’을 클릭하도록 유도해 UAC 기능이 작동하지 못하도록 하고 있다.

MMPC의 조 폴허버(Joe Faulhaber)는 MS 블로그를 통해 샐러티 바이러스 계열(Sality virus family), 앨루리온 루트킷(Alureon rootkits), 뱅코스 뱅킹 트로잔(Bancos banking Trojan), 허위 안티바이러스 소프트웨어 등 요즈음 가장 흔히 발견되는 위협들에는 UAC의 기능을 정지시키는 변종이 있다고 경고했다.

특히 ‘로피안(Rorpian)’이라고 부르는 웜은 UAC 차단 전략을 빈번하게 사용한다. MMPC는 로피안 연관 사례 중 90% 이상에서 로피안이 윈도우의 4년 된 한 취약점을 이용하며 UAC의 기능을 정지시키는 것을 발견했다.

또한 멀웨어가 감지됐다고 MS에 신고된 4대의 PC 중 1대에서 UAC 기능이 꺼져 있었다. 이는 멀웨어 때문이거나 사용자가 이를 직접 정지시킨 경우였다.

사용자가 직접 정지시키는 이유는 불편하기 때문이다. 2년 전 존 페스카토(John Pescatore) 가트너 보안 애널리스트는 대부분의 사람들이 UAC를 불편해하고 있고 이는 그다지 성공적이지 못했던 비스타 OS의 주요 불만거리였다고 지적한 바 있다.

MS는 해당 메시지가 하루에 2회 이상 나오면 사용자들이 짜증을 낸다는 데이터를 바탕으로 UAC에 대한 불만을 겸허히 수용해 윈도우 7에서 이를 축소했다. 비스타와 달리 더 적은 프로그램에서만 변경사항에 대해 확인을 하도록 해 알림 창이 중요한 변경에만 표시될 수 있도록 했다.

UAC 자체도 기술적으로 전혀 문제가 없었던 것은 아니다. 윈도우 7이 출시되기 몇 달 전에 윈도우 7에서 모든 권한을 멀웨어에게 부여하도록 하는데 이용할 수 있는 버그가 UAC에서 발견된 바 있다. 이후 MS는 UAC를 수정했다.

MS 관계자는 “윈도우 7의 UAC는 총 4 단계로 설정돼 사용자는 컴퓨터의 사용 용도에 따라 설정을 달리 해 불편함을 최소화 할 수 있다”며 “여러 새로운 프로그램을 설치해야 하는 사용자라면 UAC 설정을 ‘항상 알림’으로 해 혹시 모를 보안 위협에 대비할 수 있으며, 업무용으로 일정한 프로그램만 사용하는 사람은 단계를 낮춰 업무 효율을 높일 수 있다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>