악성 코드 전년 대비 2.6배…외산 가짜 백신 100여 개로 증가

악성 코드란 컴퓨터 사용자가 컴퓨터를 원만하게 사용하는 일을 방해하기 위해 만들어낸 프로그램 또는 컴퓨터 사용자에게 피해를 주기 위해 만들어낸 모든 종류의 프로그램을 통틀어 이르는 말이다. 주로 웹페이지를 검색할 때, P2P 서비스를 이용할 때, 셰어웨어를 사용할 때, 불법복제 프로그램을 사용할 때, 내부자(해커)가 직접 설치할 때, 전자우편의 첨부 파일 또는 메신저 파일을 열 때 침투한다. 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동발송, 개인정보 유출, 원격 제어 등의 피해를 입힌다. 악성 코드는 바이러스, 웜바이러스(worm virus), 트로이목마(Trojan horse)로 분류된다. 악성 코드의 대표격인 바이러스는 프로그램, 실행 가능한 어느 일부분 혹은 데이터에 자기 자신 혹은 변형된 자신을 복사하는 명령어들의 조합이라고 정의된다. 감염 대상 프로그램 혹은 코드를 변형해 바이러스 코드 혹은 일부 코드를 복제하여 감염시키고 다른 대상을 감염시킴으로써 확산된다. 컴퓨터 사용자들의 공공의 적인 악성 코드가 전년 대비 2.6배 증가했으며, 해킹용 트로이목마 또한 2.8배 급증했다. 또 외산 가짜 백신과 스파이웨어 등 해외에서 제작된 악성 프로그램이 기승을 부리고 있다. 아울러, 올해 초부터 본격적으로 시작된 중국발 웹사이트 공격이 지속되고 있고, 새로운 취약점 발견과 함께 공격방식이 더욱 다양해지고 있는 것으로 나타났다. 안철수연구소는 ‘ASEC(시큐리티대응센터) 리포트’를 통해 올 3분기 보안 이슈를 발표하며 이같이 밝혔다. 이 보고서는 올해 3분기까지 새로운 악성 코드·스파이웨어는 1만6,768개가 발견되어 전년 동기 대비 2.6배 증가했다고 설명했다. 이렇게 급증한 이유에 대해 연구소는 “악성 코드를 손쉽게 제작하고, 만들어진 악성 코드로 자동 공격할 수 있는 툴들이 지속적으로 제작·공유됨에 따른 것”이라고 분석했다. 외산 가짜 백신 100여 개로 급증 = 안철수연구소 리포트에 따르면, 백신 프로그램으로 위장해 설치된 후 스팸 메일을 발송하거나 다른 악성 코드를 설치하는 ‘가짜 백신’이 올해 초부터 조금씩 발견되다 3분기 들어 급증했다. 외국산 가짜 백신은 상반기까지 25개에 불과했지만, 3분기에만 75개가 발견되어 총 100개에 이르는 것으로 조사됐다. 이들 가짜 백신은 AntivirusXP 2008, AntivirusXP 2009, VistaAntivirus 2008, WinXSecurityCenter, XPProtector2009 등의 이름으로 마치 정상 백신처럼 사용자를 속이고 있어 각별한 주의가 필요하다. 이러한 가짜 백신은 악성 코드, 가짜 코덱 프로그램 등을 통해 허위 보안경고 창을 띄우거나, 팝업 창으로 떠서 악성 코드가 발견됐다고 허위 진단해 설치를 유도한다. 불규칙하게 경로명을 바꿔 설치되기 때문에 진단하기 어렵고, 삭제한 후에도 다른 악성 코드에 의해 재감염되는 경우가 많다. ' 스파이웨어 국산 줄고 외산 늘어 = 하반기 들어 국내에서 제작·배포되는 스파이웨어는 줄어든 반면, 외산 스파이웨어는 급증했다. 안철수연구소 집계에 따르면, 1월에 국산의 비율이 60%였으나, 점차 줄어 9월에는 11%에 그쳤다. 국내 스파이웨어가 줄어든 이유는, 올해 상반기에 국내 스파이웨어 제작사 단속이 있었고, 2007년 말부터 사용자 동의 없이 액티브X로 설치되는 것을 모두 스파이웨어로 분류했기 때문으로 보인다. 외산 스파이웨어는 성인 사이트, 스팸 메일을 통해 국내에 유입돼 많은 피해를 입히기도 했다. 이러한 악성 프로그램은 가짜 동영상 코덱 설치를 유도하며, 이를 설치할 경우 여러 개의 가짜 백신과 허위 안티스파이웨어가 사용자 동의 없이 설치된다. 상용 프로그램을 변조한 프로그램으로 위장해 설치되거나, 응용 프로그램의 취약점을 이용해 설치되기도 한다. 이들 스파이웨어에 감염된 시스템은 스팸 메일을 대량 발송해 다른 사용자에게 피해를 입힐 수도 있다. 웹사이트 공격 갈수록 지능화 = 올해 초부터 본격적으로 시작된 중국발 웹사이트 공격이 지속되고 있다. 새로운 취약점 발견과 함께 공격방식도 더욱 다양해지고 있다. 웹사이트가 해킹돼 악성 코드를 유포하거나 경유지로 이용된 수치는 3분기까지 2,876건으로, 2007년 한 해 전체 수치인 2,183건을 이미 앞지른 상태이다. 무료 위험 사이트 차단 서비스인 ‘사이트가드’의 집계 결과, 10월 9일 현재 위험에 노출된 웹사이트는 1만2,236개에 달한다. 대중적인 애플리케이션 악용 증가 등 = 안철수연구소는 이 밖에도, 최근 보고되는 취약점은 서비스나 시스템보다는 PDF나DOC, PPT, HWP 같은 대중적인 애플리케이션에서 많이 발견되고 있다는 점을 보안 이슈로 꼽았다. 이러한 취약점을 이용해 정상 파일을 악용한 악성 파일들이 속속 등장하고 있다. 8월에는 어도비 PDF 리더의 취약점을 악용하는 PDF 파일, 아래아한글 2007의 일부 기능을 악용하는 HWP 파일, MS 워드 및 파워포인트 취약점을 악용하는 오피스 파일이 신고됐다. 이 파일들을 실행하면 가짜 백신이 설치되거나 ARP 스푸핑 공격을 받게 된다. 그리고 DDoS(분산 서비스 거부) 공격을 유발하거나 스팸 메일 발송에 이용되는 봇넷의 활동력도 지속적으로 증가하고 있다는 점도 주목된다. 봇넷은 봇(Bots)이라는 악성 코드에 감염된 여러 컴퓨터가 연결된 네트워크를 말한다. 안철수연구소 시큐리티대응센터는 “악성 코드는 자신을 위장하기 위해 다양한 지능적인 방법을 사용하는데, 올해 등장한 기법이 백신으로 위장하는 것”이라며, “나날이 지능화하는 보안 위협으로부터 정보를 보호하려면 개인 및 기업 사용자와 인터넷 서비스 제공자, 보안업계, 정부 등 각계각층의 노력이 필요하다”고 강조했다. ■ 한국, 전세계 스팸 발생국 4위 우리나라가 전 세계 스팸 발생 국가 중 4위를 차지하는 불명예를 안았다. 시만텍의 ‘월간 스팸 보고서 10월호’에 따르면, 9월 한 달간 전 세계 스팸 발생국가 중 한국이 미국·터키·러시아에 이어 4번째로 스팸 발생 비중이 높았던 것으로 조사됐다. 미국은 스팸 발생 비중이 29%를 차지해 여전히 압도적인 1위를 기록했으며, 터키와 러시아가 각각 8%와 7%로 2, 3위를 기록했다. 한국의 지난 9월 스팸 발생 비중은 전달에 비해 1% 오른 4%를 기록했지만, 순위는 10위에서 4위로 급상승했다. 스팸을 주제별로 분류하면, 지난 9월에는 인터넷 또는 컴퓨터(24%), 투자·부동산·대출(20%), 일반 제품(18%), 약품·의료(17%) 관련 내용이 주를 이룬 것으로 나타났다. 특히, 투자·대출 등 경제 관련 스팸은 미국의 주택금융 침체와 불안정한 경제 상황으로 인해 전월대비 3%포인트 증가한 수치를 보였다. 이 외에, 미국 대선이 다가오면서 전월에는 보고되지 않았던 정치 관련 스팸도 2%를 차지했다. 한편, 한국은 이번 조사에서 지난 9월 스패머의 원격조정에 이용될 수 있는 좀비PC 증가율이 전달 대비 4,236%를 차지해, 전 세계 국가 중 좀비PC가 가장 급증한 국가로 지목받았다.