웹2.0 시대, 악성코드도 지능화 되고 있다

안철수硏, 상반기 10대 보안 이슈 발표

웹2.0 시대에 맞춰 악성코드가 지능화 되고 있으며, 새로운 악성코드가 크게 증가하고 있는 것으로 나타났다.

안철수연구소가 올 상반기 보안 동향을 분석해 발표한 10대 이슈 보고서에 따르면, 올해 상반기에 새로 발견된 악성코드는 3306개로 지난해 상반기 1531개 대비 2배 이상 급증했다.

반면, 스파이웨어는 1070개로 전년 동기(3160개)에 비해 3분의 1로 줄었다. 스파이웨어의 경우 신종 발견 숫자는 줄었지만 UCC(사용자제작콘텐츠)를 이용한 스파이웨어 유포 급증, 스파이웨어와 허위 안티스파이웨어 기승 등 위협은 확대되고 있는 상황이다.

◆ UCC 이용한 스파이웨어 유포 급증

UCC를 이용한 스파이웨어 배포가 증가했다. 동영상 또는 플래쉬(Flash) 파일에 스파이웨어 설치를 유도하는 코드가 삽입되는 경우는 지난 2005년부터 발견됐으나 올해부터 공략 대상 UCC가 더 다양해졌다. 동영상을 보기 위한 필수 프로그램이라고 속이거나 미니 홈피 방문자 추적용 프로그램이라고 속이는 UCS(사용자제작소프트웨어)들이 스파이웨어를 설치하는 도구가 되고 있다.

◆ 블로그도 해킹 대상으로 부상

다양한 툴이 제공됨에 따라 블로그를 개설 및 운영하기가 수월해져 블로그 수가 급증하고 있는 가운데 블로그 관리용 아이디, 비밀번호가 쉽거나 여러 군데에 같은 것으로 사용할 경우 아이디, 비밀번호가 유출돼 피해를 당하는 경우가 늘고 있다.

보안에 허술한 웹사이트에 개설한 블로그의 경우도 그 웹사이트 서버가 해킹을 당하면 관리자 권한을 잃는 일이 발생한다. 이는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다. 오랫동안 휴면 상태로 방치된 블로그는 피해를 당하고도 모르는 경우가 많다.

◆ 메신저 통한 웜 유포 급증

연초부터 메신저를 통해 유포되는 악성코드가 자주 출현했다. 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 필두로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다.

해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는, 광고성 메시지까지 등장했다.

◆ 윈도우 비스타 취약점 노린 제로 데이 공격 첫 등장

윈도우 비스타와 인터넷 익스플로러 7에도 존재하는 ANI(Animated Cursor) 파일의 취약점을 노린 제로 데이 공격이 처음 등장했다. ANI 취약점은 윈도 애니메이션 커서와 아이콘 파일에 존재하며, 이 취약점을 공격하는 코드가 알려지자마자 국내 웹사이트에서 악성코드를 전파하는 데 악용됐다.

◆ 파밍 공격 국내 첫 발생

뱅키(Banki) 트로이목마는 국내 최초로 PC에 있는 호스트(hosts) 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도하는 파밍 공격을 했다. 이로 인해 일부 사용자가 개인 정보는 물론 공인 인증서까지 탈취당했다. 파밍 공격은 피싱 공격보다 사용자가 알아차리기 더욱 어렵다는 점에서 사용자와 해당 기관의 주의가 필요하다.

◆ ARP 스푸핑 공격 통한 악성코드 유포 첫 발생

올해 상반기에 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜인 ARP(주소결정 프로토콜) 스푸핑(위장) 공격을 이용한 악성코드 유포 기법이 처음 나타났다. 과거에 해커는 유명한 웹 서버 자체를 공격해 악성코드 경유지로 활용했지만 웹 서버 보안이 강화되자 네트워크의 서브넷 내에 침투해 ARP 위장으로 해당 서브넷 내의 PC들을 감염시키는 기법을 쓰게 된 것이다.

어떤 시스템에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성코드가 설치될 수 있다. 이는 종전과 달리 사용자가 해킹된 웹사이트를 방문하지 않더라도 악성코드에 감염될 수 있다는 것을 의미한다.

◆ 백신 제작 방해하는 바이러스 기승

지난해 바이킹(Viking) 바이러스가 국내외에 심각한 피해를 준 데 이어 올해는 델보이(DellBoy), 바이럿(Virut), 알만.C(Alman.C) 바이러스의 변형이 다수 발견돼 심각한 위협을 줬다. 이 바이러스들은 분석 및 백신 제작을 지연시킬 목적으로 자신을 은폐하거나 암호화했다는 점에서 이전보다 더 지능화했다.

◆ 온라인 게임 계정 유출 스파이웨어 강세

지난해 하반기부터 증가하기 시작한 온라인 게임 계정 유출 스파이웨어의 피해는 최근까지 이어지고 있으며, 올 1월에는 최고조에 달했다. 중국발 해킹에 의해 보안에 취약한 웹사이트가 변조되고, 여기에 악성코드가 삽입되면, 취약점 패치를 하지 않은 인터넷 익스플로러 사용자가 해당 웹사이트에 방문하는 것만으로 쉽게 감염된다. 일부 변형은 네트워크로 전파돼 여러 사용자에게 피해를 줬다.

◆ 스파이웨어 및 허위 안티스파이웨어 기승

스파이웨어 제작사와, 이를 배포하는 업자 간 제휴가 증가함에 따라 스파이웨어 및 허위 안티파이웨어가 여전히 기승을 부렸다. 이것들은 광고, 유료 사용자 확보 및 설치 배당금 등의 금전적인 이익을 목적으로 한다. 무차별적으로 배포되는 스파이웨어나 허위 안티스파이웨어는 악성코드에 감염된 채로 배포되거나 악성코드 감염의 매개체가 되는 경우가 적지 않다.

◆ 윈도 애플리케이션 취약점 위협 증가

올해 상반기에 발표된 MS 윈도 관련 애플리케이션 취약점은 총 26개로 전년 동기(19개) 대비 26.3% 증가했다. 인터넷 익스플로러와 오피스의 취약점이 절반을 차지했다. 애플리케이션 취약점은 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 문서 파일 등을 메일로 유포하는 데 이용된다.

또한 국내 인터넷 사이트에서 많이 사용되는 액티브X 애플리케이션의 취약점도 속속 발견되고 있다. 수상한 발신인이 보낸 문서 파일이 포함된 메일을 유의해서 읽어야 하며, 매월 발표되는 보안 패치를 반드시 적용해야 안전하다.

안철수연구소 강은성 상무는 “웹2.0의 개방, 공유, 참여의 철학은 보안 대책이 뒷받침될 때 빛을 발할 수 있으며, 기술의 발전은 일반 사용자는 물론 악성코드 제작자에게도 기회이므로 항상 보안 측면을 동시에 고려해야 한다”며 “안전을 위해서는 보안 패치 적용을 비롯해 V3, 빛자루 등 통합 보안 제품의 실시간 감시 및 업데이트 등 기본적인 수칙을 습관화하는 것이 필수”라고 말했다.