금전적인 목적을 위해 유포되는 악성코드가 크게 늘고 있다. 특히, PC내부에 깔려 보안 프로그램이 탐지할 수 없도록 자신을 은폐하거나 백신을 우회하는 수법의 악성코드도 크게 증가하고 있는 것으로 나타났다.
안철수연구소는 최근 ‘시큐리티대응센터 리포트 3월호’에서 올해 1분기 보안이슈의 특징을 이같이 분석했다.
지난 1분기에 이 회사가 새로 발견한 악성코드 및 스파이웨어는 모두 2160개로, 이 중 트로이목마의 비중이 55.4%로 가장 높았다. 또한 트로이목마 중 온라인 게임 사용자 계정을 탈취하는 것의 비중이 42.4%로 여전히 맹위를 떨치고 있는 것으로 나타났다.
◇금전 취득 목적의 바이러스 급증
지난해에 이어 올해도 전통적 바이러스가 기승을 부렸다. 델보이(Dellboy) 바이러스 변형은 1분기에 약 25종이, 바이럿(Virut) 바이러스도 올해 1분기까지 3종의 변형이 출현했다. 이 바이러스들은 감염 후 특정 웹사이트에 접속해 온라인 게임 계정을 빼가는 트로이목마나 스팸 메일 발송 시 발신자를 감추는 트로이목마, 팝업 광고를 보여주는 애드웨어 등을 추가 설치해 금전적 이익을 취하는 수단으로 이용되고 있다.
사양세에 있던 전통적 바이러스가 다시 기승을 부리는 이유는 기업 내부 네트워크에 있는 파일들을 손쉽게 감염시켜 피해 범위를 확대하기 위한 것이라고 안철수연구소측은 추정했다.
◇인터넷 전송과정의 데이터 가로채고..실제 '돈'도 탈취한다
인터넷으로 송수신되는 데이터를 가로채 국내 온라인 게임 계정을 빼내는 스파이웨어 ‘코게임(KorGame)’ 변형들 지난 2월 첫 발견됐다.
그동안에는 키보드 입력 단계에서 ID와 패스워드를 가로챘으나 ‘코게임(KorGame)’ 변형들은 인터넷 전송 단계에서 데이터를 유출하기 때문에 고성능 보안 제품이 아니면 이를 차단하기 어렵다. 더욱이 해당 파일만 제거할 경우, 정상적으로 인터넷을 사용할 수 없게 되어 많은 사용자이 피해를 입었다.
실제 돈을 탈취해가는 악성코드도 등장했다. 그동안 중국산 악성코드의 상당수는 국내 온라인 게임의 사용자 계정을 빼내 아이템이나 사이버 머니를 탈취하는 등의 피해를 주었다.
그러나 뱅키(Banki) 트로이목마는 국내 유명 은행의 인터넷 뱅킹 접속 사이트로 가장해 사용자의 공인 인증서까지 빼돌렸다. 공인 인증서는 복사만 하면 다른 곳에서도 사용할 수 있어 상당히 위험하다.
◇보안프로그램에 자신을 숨긴다..우회기법 사용
악성코드는 좀더 오래 PC내부에 생존하기 위해 보안 프로그램의 실행을 종료하거나 파일을 삭제하곤 해왔는데, 최근에는 더욱 교묘하고 지능적인 기법이 동원되고 있다.
보안 프로그램이 탐지하는 것을 우회하는 방법으로 진단을 피하는 것이다. 은폐형 스팸 메일러인 ‘러스톡’은 보안 프로그램이 실행되는 순간 이를 탐지하여 우회한다. 또한 온라인 게임 계정을 탈취하는 일부 트로이목마는 안티바이러스의 진단 화면과 음향을 꺼버리는 수법으로 우회한다.
스파이웨어의 경우, 루트킷 프로그램을 사용해 자신을 보호하는 국산 스파이웨어가 작년에 3종, 올해 1분기에 2종이 발견됐다. 루트킷은 원래 해커가 네트워크에 몰래 들어가 관리자 접근 권한을 획득해 정보 유출, 컴퓨터 공격 등을 하는 데 사용되던 것. 작년부터 루트킷이 악성 툴바 등에 원하는 프로그램 설치나 삭제 방지, 은폐 등에 이용되기 시작한 것이다. 허위 안티스파이웨어 프로그램인 씨씨(CC)의 경우 프로세스 및 설치 폴더를 은폐하기 위해 루트킷 드라이버를 설치하는데 제거 방법을 제공하지 않아 감염 피해가 다수 접수됐다.
◇혼자 돌아다니는 스파이웨어도 등장
올해 3월 발견된 다운로더인 '코게임.48019'는 기존 스파이웨어 다운로드 기능에 윈도 취약점을 공격하고 자신을 전파하는 웜의 기능도 가지고 있다.
이미 웜이나 바이러스가 다른 악성코드를 설치하거나 트로미목마를 이용해 스팸 메일을 발송하는 사례는 널리 알려져 있는 상황. 그러나 앞으로는 '코게임.48019'와 같이 스파이웨어와 웜, 스파이웨어와 바이러스가 결합된 복합적 악성코드가 증가할 것으로 예상된다.
안철수연구소 강은성 상무는 “악성코드가 부당한 방법으로 금전을 취하기 위한 도구로 이용되고 있다"며 "컴퓨터 보안이 정보뿐 아니라 재산을 지키는 길임을 인식해야 한다”고 당부했다.
이를 위해 예방하기 위해서는 보안 패치를 반드시 적용해야 하며, 최신 백신의 실시간 감시기능을 켜두고 최신 버전을 유지하는 것이 안전하다. 특히 보안 취약점을 노리는 악성코드의 경우, 웹사이트에 접속하거나 워드프로세서 파일이 메일로 첨부해서 오는 경우 주의해야 한다고 안철수연구소는 강조했다
