금전적 이익 노리는 전통적 바이러스 급증

금전적 이익을 취하기 위한 전통적인 바이러스가 급증한 것으로 나타났다.

안철수연구소가 최근 발행한 ‘시큐리티대응센터 리포트 3월호’에 따르면 올해 1분기에는 금전적 이익을 취하기 위한 기법과 자신을 은폐하거나 보안 제품의 탐지를 우회하는 기법 등 다양하고 지능적인 수법의 바이러스가 등장했다.

또한 올해 1분기에 새로 발견된 악성코드 및 스파이웨어는 2160개이며, 이 중 트로이목마의 비중이 55.4%로 가장 높았다.

이와 함께 트로이목마 중 온라인 게임 사용자 계정을 탈취하는 것의 비중이 42.4%로 여전히 맹위를 떨치고 있는 것으로 나타났다.

◆전통적인 바이러스 기승

지난해에 이어 올해도 전통적 바이러스가 기승을 부렸다.

델보이(Dellboy) 바이러스 변형은 1분기에 약 25종이, 바이럿(Virut) 바이러스도 올해 1분기까지 3종의 변형이 출현했다. 이 바이러스들은 감염 후 특정 웹사이트에 접속해 온라인 게임 계정을 빼가는 트로이목마나 스팸 메일 발송 시 발신자를 감추는 트로이목마, 팝업 광고를 보여주는 애드웨어 등을 추가 설치해 금전적 이익을 취하는 수단으로 이용되고 있다.

안철수연구소는 사양세에 있던 전통적 바이러스가 다시 기승을 부리는 이유에 대해 기업 내부 네트워크에 있는 파일들을 손쉽게 감염시켜 피해 범위를 확대하기 위한 것이라고 추정했다.

◆인터넷 송수신 데이터 가로채는 트로이목마 첫 출현

인터넷으로 송수신되는 데이터를 가로채 국내 온라인 게임 계정을 빼내는 스파이웨어 ‘코게임(KorGame)’ 변형들이 2월 첫 등장했다.

이제까지는 키보드 입력 단계에서 ID와 패스워드를 가로챘으나 ‘코게임’ 변형들은 인터넷 전송 단계에서 데이터를 유출하기 때문에 고성능 보안 제품이 아니면 이를 차단하기 어렵다. 더욱이 해당 파일만 제거할 경우 정상적으로 인터넷을 사용할 수 없게 되어 많은 사용자에게 큰 피해를 줬다.

◆실제 돈 탈취하는 트로이목마 등장

그 동안 중국산 악성코드의 상당수는 국내 온라인 게임의 사용자 계정을 빼내어 아이템이나 사이버 머니를 탈취하는 등의 피해를 줬다.

뱅키(Banki) 트로이목마는 국내 유명 은행의 인터넷 뱅킹 접속 사이트로 가장해 사용자의 공인 인증서까지 빼돌렸다. 공인 인증서는 복사만 하면 다른 곳에서도 사용할 수 있어 매우 큰 위험성을 내포하고 있다.

◆보안 프로그램 진단 우회하는 자기 보호 기법 동원

악성코드는 좀더 오래 생존하기 위해 보안 프로그램의 실행을 종료하거나 파일을 삭제하곤 하는데 최근에는 더욱 교묘하고 지능적인 기법이 동원되고 있다. 보안 프로그램이 탐지하는 것을 우회하는 방법으로 진단을 피하는 것이다.

은폐형 스팸 메일러인 ‘러스톡’은 보안 프로그램이 실행되는 순간 이를 탐지하여 우회한다. 또한 온라인 게임 계정을 탈취하는 일부 트로이목마는 안티바이러스의 진단 화면과 음향을 꺼버리는 수법으로 우회한다.

스파이웨어의 경우는 루트킷 프로그램을 사용해 자신을 보호하는 국산 스파이웨어가 작년에 3종, 올해 1분기에 2종이 발견됐다.

루트킷은 원래 해커가 네트워크에 몰래 들어가 관리자 접근 권한을 획득해 정보 유출, 컴퓨터 공격 등을 하는 데 사용되던 것이다.

지난해부터 루트킷이 악성 툴바 등에 원하는 프로그램 설치나 삭제 방지, 은폐 등에 이용되기 시작했다. 허위 안티스파이웨어 프로그램인 씨씨(CC)의 경우 프로세스 및 설치 폴더를 은폐하기 위해 루트킷 드라이버를 설치하는데 제거 방법을 제공하지 않아 감염 피해가 다수 접수됐다.

◆자체 전파력 보유한 스파이웨어 등장

웜이나 바이러스가 다른 악성코드를 설치하거나 트로미목마를 이용해 스팸 메일을 발송하는 사례는 널리 알려져 있다.

올해 3월 발견된 다운로더인 코게임.48019는 기존 스파이웨어 다운로드 기능에 윈도 취약점을 공격하고 자신을 전파하는 웜의 기능도 가지고 있다.

이처럼 스파이웨어와 웜, 스파이웨어와 바이러스가 결합된 복합적 악성코드가 증가할 것으로 예상된다.

◆MS 보안 취약점 전년 동기 대비 3배 이상 증가

마이크로소프트 윈도 관련 취약점은 총 16개로 전년 동기 대비 3배 이상 증가했다. 취약점을 이용한 공격은 주로 웹사이트 해킹 후 악성코드를 배포하거나 악성코드가 포함된 워드프로세서 파일 등을 메일로 보내는 방식으로 이뤄진다.

안철수연구소 강은성 상무는 “악성코드가 부당한 방법으로 금전을 취하기 위한 도구로 이용되고 있고 컴퓨터 보안이 정보뿐 아니라 재산을 지키는 길임을 인식해야 한다”며 “예방을 위해서는 보안 패치를 반드시 적용해야 하며, ‘V3’나 ‘빛자루’ 같은 통합 보안 제품을 사용하되 항상 실시간 감시 기능을 켜두고 최신 버전을 유지하는 것이 안전하다"고 말했다.

강 상무는 또 "보안 취약점을 노리는 악성코드의 경우 웹사이트에 접속하거나 워드프로세서 파일이 메일로 첨부해서 오는 경우 주의해야 한다”고 덧붙였다.