올해 상반기 악성코드 경향은…"옛 악당의 귀환"

올해 상반기 국내 온라인상에서는 새로운 악성코드가 등장하기보다 기존 악성코드의 '귀환' 현상이 두드러진 것으로 나타났다.

이미 잘 알려졌어도 조금이라도 변형되면 아예 새로운 공격이 돼버리는 악성코드의 성격상 방어하기가 어려워 이용자들의 주의가 요구된다.

12일 안랩[053800]에 따르면 올해 상반기 국내에서 가장 두드러졌던 악성코드는 랜섬웨어(Ransomware)다.

컴퓨터 이용자의 중요 자료나 개인정보를 암호화하고 이를 복구하는 조건으로 돈을 요구하는 유형으로, 2013년부터 해외에서 본격적으로 주목받았지만 국내에는 큰 영향을 미치지 않았다.

그러나 지난해 첫 PC 감염 사례가 보고된 이후 올해 4월 국내 대형 커뮤니티 사이트를 시작으로 랜섬웨어의 하나인 크립토락커(Cryptolocker)가 유포되면서 더는 안전지대가 아닌 상황이다.

지난달에는 이 같은 크립토락커에 과도한 트래픽을 일으켜 사이트를 마비시키는 디도스(DDoS; 분산서비스거부) 공격 기능까지 추가된 악성코드가 발견되기도 했다.

국내에서는 또 지난해 후반부터 올해 상반기까지 어파트레(Upatre)라는 악성코드를 첨부한 스팸메일이 계속해서 대량 유포되고 있다. 해외에서는 2013년 8월부터 본격 등장해 지속적인 증가세를 보이고 있다.'

어파트레는 스팸메일 내 첨부파일 실행 시 자기 복제본을 생성하고 C&C(명령&제어) 접속을 시도해 금융정보를 빼내거나 추가 악성코드를 내려받는 작업을 수행한다.

이 악성코드는 지금도 꾸준히 변형된 형태가 발견되고 있어 위험성이 더욱 크다.

화면보호기 확장자(SCR)로 위장한 악성코드는 이용자에게 생소하지만 지속적인 위협 요인이다.

그림 모양의 아이콘인 이 악성코드를 실행하면 광고나 문서, 캡처 등 그림 파일이 나타난다. 이어 해당 파일이 C드라이브 특정 경로에 실행파일(PE)을 생성해 사용자 정보를 유출한다.

안랩이 지난해부터 올해 상반기까지 화면보호기 악성코드를 파악한 결과 파일명이나 이를 실행했을 때 나타나는 그림 화면은 연하장, 레이싱걸 사진, 통계자료 등과 같이 다양했다.

1995년 등장해 오피스 사용자 사이에서 널리 퍼졌다가 2000년 초에 거의 사라진 매크로 악성코드도 올해 상반기 부활했다.

매크로는 이력서, 주문서 등을 가장한 메일을 보내 첨부 문서를 열게 한 뒤 이용자의 개인정보나 금융정보를 유출하거나 원격 제어하는 식으로 공격한다.'

안랩이 올해 1∼2월 고객으로부터 접수한 매크로 악성코드 수는 157개로 지난해를 통틀어 접수한 108개보다 많았다.

매일 1∼2개씩 발견되는 신종 매크로는 공격 기능을 막아놓은 오피스의 기본 설정을 뚫고 이용자가 기능을 활성화하도록 유도하는 새로운 기법까지 쓰고 있다.

안랩은 "백신 소프트웨어 설치와 운영체제의 보안패치 적용, 중요파일 백업 등과 같은 기본적인 보안수칙을 지키는 것은 물론 출처가 불분명하거나 스팸성으로 의심되는 메일과 첨부파일 실행을 자제해야 한다"고 조언했다