안 연구소, “모바일 악성코드 대응방안 모색할 시점...”  

안철수연구소(대표 김철수 www.ahnlab.com)가 ‘2005년 3분기 악성코드/스파웨어 동향’분석 보고서를 발표했다. 이 보고서는 각종 교묘하고 다양한 장치로 끈질긴 생존력을 키워가고 있는 최근 악성코드 추세의 심각성을 경고했다.

이 기업 시큐리티대응센터(ASEC)의 분석에 따르면 2분기에 이어 3분기에도 온라인 게임 사용자 계정을 탈취하는 트로이목마가 맹위를 떨쳤고, 스파이웨어는 은폐형 스파이웨어가 늘고 정상적인 프로그램을 악용하는 형태도 급증했던 것으로 나타났다. 9월에는 심비안 OS용 악성코드가 세 개나 발견돼 모바일 보안 문제가 점차 대두되고 있음을 예고했다.

은폐기법도 점점 교묘해지고 있다. 자기 방어 기능의 경우 이제까지 은폐 기법을 쓰거나 보안 프로그램 실행 및 보안 사이트 접속을 막아 치료를 방해하는 형태가 있었지만 올해 3분기에는 더욱 다양하고 지능적인 기법이 적용된 한편 그 수도 대폭 늘었다는 게 특징이다.

‘다운로더’형 트로이목마 기승

일단 설치되면 특정 호스트에 접속해 다른 트로이목마를 내려받는다. 이런 종류를 특히 ‘다운로더’라고 하는데, 3분기에 전체 트로이목마 중 10%를 차지한다.

베이글 웜 변종가운데도 다운로더 트로이목마를 첨부해 전파하는 것이 있다. 이 트로이목마가 설치되면 보안 사이트에 접속을 차단해 해킹 무방비 상태로 만들어 버린다. 관계자는 “항상 새 대응 기술이 적용된 최신 버전의 백신을 사용하는 것이 안전하다”고 강조했다.

웜 제작자의 원격 지시 받는 ┖악성IRC봇 웜┖

악성IRC(Internet Relay Chatting; 일종의 채팅 서비스)봇 웜은 제작자들이 커뮤니티를 통해 소스를 교환하고 조직적으로 변형을 양산하고 있어 폭발적으로 증가했다. 3분기 전체 신종 웜 중 66%를 차지하며 피해 신고 상위에 있는 마이톱 변종이 가장 대표적이다. 악성IRC봇 웜의 피해를 줄이려면 “보안 패치에 신경을 쓰고 로그인 암호를 복잡하게 설정하는 등의 대책이 필요하다”고 밝혔다.

끊임없이 재생 반복 되는 웜과 트로이목마

다양한 방법으로 재실행함으로써 재생되는 웜이나 악성코드도 적지 않다. ‘IRCBot.48600 웜’의 경우 작동 상황을 중단할 수 없도록 ┖중지┖ 버튼을 비활성화하기도 하고 짧은 시간 내에 프로세스 시작과 종료를 반복해 종료할 수 있는 시간적 여유를 주지 않는 경우도 있으며, 자신 외에 다른 프로세스를 만들어 둘 중 하나를 강제 종료하면 다른 하나가 이를 감지해 종료된 프로세스를 재실행하도록 하는 경우도 있다.

한편 7, 8월에는 온라인 게임 계정을 탈취해가는 트로이목마 네 개가 피해 신고 순위 3~4위에 오르기도 했다. 

스파이웨어의 경우는 일반 악성코드보다 5배 가까운 신종이 발견됐다. 안티스파이웨어 제품이 진단하기 어렵게 은폐 기법을 사용하는 스파이웨어가 늘고 있으며 툴바.엘리트바(ToolBar.EliteBar)의 경우 피해가 많았다. 스타페이지.30720(StarPage.30720)의 경우 유명 검색 엔진에서 검색하면 엉뚱한 페이지로 연결되게 하는데, 이런 유형이 증가하고 있다.

또한 국내에서는 아직 피해가 발생하지 않았지만 외국에서는 둠부트(Doomboot), 카드트랩(Cardtrap), 카드블록(Cardblock) 등 심비안 OS(운영체계)용 모바일 악성코드가 꾸준히 등장하고 있다.

안철수연구소 시큐리티대응센터 강은성 상무는 "악성코드와 스파이웨어는 피해를 유발하는 기능이 악성화 할 뿐 아니라 자기 방어 기법도 갈수록 지능화하고 있다. 이에 대응하는 기술이 발전하고 있는 만큼 사용자의 보안 의식도 성숙해져야 한다. 항상 최신 기술이 적용된 보안 제품을 사용하는 등 지속적인 관심과 관리가 필요하다."라고 강조했다.[길민권 기자 (is21@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>