• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모바일 바이러스의 사례와 대응(1) 2005.11.08

연재1-바이러스의 형태와 사례

연재2-바이러스 유형의 전망과 대응

 

휴대폰 악성 프로그램, 컴퓨터까지 확산 우려


이제 모바일도 바이러스의 안전지대가 아니다.

아직 국내에서는 모바일바이러스라고 할 만한 감염 유형이 나타나지는 않았지만, 해외에서는 이미 다양한 형태의 바이러스가 존재해 큰 혼란을 야기 시키기도 했다. 한국 역시, 정부차원에서 한국정보보호진흥원(KISA)을 주축으로 이동통신 3사와 백신관련 기업이 함께 ‘휴대폰 바이러스 대응 협의체’를 만들겠다고 발표해 앞으로 다가올 모바일 바이러스의 위협을 사전에 방지하겠다는 의지를 표명하기도 했다.

현재까지 밝혀져 있는 해외 모바일 바이러스의 종류와 사례를 열거하고, 이러한 바이러스의 대책은 무엇인지 살펴보자.


트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)이 발표한 2005년 5월 바이러스 분석 자료에 따르면 컴퓨터 악성 프로그램의 파괴적 방식을 모방하는 휴대 전화 악성 프로그램이 나날이 증가하고 있다.

크래시, 프로그램 종료, 변종, 무선 공격, 무료 소프트웨어로 위장, 데이터 도용 등과 함께 악성 프로그램도 날로 증가가 최근 큰 이슈였으나 이 악성코드가  심지어 휴대전화와 컴퓨터를 동시에 감염시킬 가능성이 높아짐에 따라 대책이 요구되고 있다.

트렌드마이크로 트렌드랩의 최근 보고에 따르면 모바일 악성 프로그램은 기술 및 감염 범위면에서 놀라운 속도로 발전했으며, 제거하기가 대단히 어려운 수준까지 이르렀다. 이러한 악성 프로그램은 전화 파일, 주소록, 메시지, 그림은 물론 기본적인 전화 사용에도 장애를 일으킬 수 있기 때문에 새로운 모바일 위협에 신중하게 대응해야 할 필요가 있다.


3개월만에 10개의 신종 악성프로그램 등장

휴대전화도 악성 프로그램의 공격 대상에서 예외가 아님을 처음 발견한 것은 지난 2004년 6월 트랜드 랩에 의해서였다.

최초의 휴대전화 악성 프로그램인 SYMBOS_CABIR.A는 블루투스 기기를 통해서만 확산됐으며, 이 개념증명(PoC) 방식의 웜은 크게 주목받지 못했다.

그로부터 6개월이 지난 2005년 1사분기 현재 악성 프로그램은 신기술 추세에 맞춰 변화하기 시작했으며, 단 3개월만에 혁신적 기술을 자랑하는 10개의 신종 모바일 악성 프로그램이 등장했다. 현재 휴대전화 업체에서는 전화 기능 복구 서비스를 제공하고 있지만 트로이 목마 제거 서비스는 없는 실정이다. 그 결과 안티바이러스 소프트웨어가 없는 전화기, 특히 블루투스 기능의 전화기는 나날이 더욱 심각한 위험에 직면하고 있다. 모바일 악성 프로그램의 동향을 살펴보면 무선 도메인이 악성 프로그램의 전쟁터가 되고 있음을 알 수 있다. 최근에는 무료 다운로드를 제공하는 웹 사이트에 안티바이러스 소프트웨어를 차단하는 최초의 모바일 트로이 목마까지 등장했다.

안티바이러스 프로그램을 삭제하는 SYMBOS_DREVER.A와 ┖레트로 바이러스┖의 휴대전화 공격도 시작했다.

지난 3월에 나타난 SYMBOS_DREVER.A는 F-Secure 및 SimWorks 소프트웨어와 같은 몇몇 안티바이러스 애플리케이션을 덮어쓰는 최초의 휴대전화 악성 프로그램이다.


바이러스의 다양한 사례

▲컴퓨터와 휴대전화의 동시 감염=이와 함께 최근 PE_VLASCO.A 및 SYMBOS_VLASCO.A, 일부 휴대전화 애플리케이션에서 장애 유발시켰다.

지난 1월 10일, PE_VLASCO.A는 컴퓨터 시스템과 무선 장치를 동시에 공격하는 최초의 악성 프로그램으로 기록되었다. 이 바이러스는 Series 60 휴대전화 뿐 아니라 Windows 시스템에 영향을 준다. 일단 Windows 시스템이 감염되면 PE_VLASCO.A의 부가 바이러스인 SYMBOS_VLASCO.A가 Series 60 플랫폼을 실행하는 휴대전화를 공격할 수 있다. 이 악성 프로그램은 일부 기존 애플리케이션을 새로운 것으로 대체하고 정상적인 작동을 방해한다.

▲전화기 작동불량, 버튼 고장=또한 SYMBOS_LOCKNUT 다운로드 후 전화기 작동하지 못하도록 버튼을 고장시키는 일도 발생했다.

2월 초에는 트렌드마이크로가 SYMBOS_LOCKNUT이라고 이름 붙인 두 개의 파괴적 악성 프로그램을 발견했다.

첫 번째 변종 SYMBOS_LOCKNUT.A는 Symbian OS v7.0이 설치된 휴대전화를 감염시켜 일부 키의 작동을 방해하고 심지어 전화기의 고장을 유도한다. 다행스럽게도SYMBOS_LOCKNUT.A는 스스로 전파되지 않는다.

그러나 이 바이러스 제작자는 그의 명성에 만족하지 않고 파괴력과 감염력이 향상된 SYMBOS_LOCKNUT.B 버전을 내놓았다. 이 변종은 블루투스를 통해 전파되는 최초의 모바일 악성 프로그램 SYMBOS_CABIR.A를 모방한 것이다. 이것은 정상 파일로 위장하여 확산되고 전화기의 블루투스 통신 기능을 통해 목표를 탐지하며, 유해 파일을 수락하는 즉시 새로 감염된 전화는 작동불량을 일으키고 잠겨버린다. (계속)

[정재형기자(is21@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>