세상에서 가장 안전한 이름, 안철수연구소

 100 퍼센트 완벽한 백신은 없다  

 

첫째, 어떤 백신 프로그램도 모든 악성코드를 진단하지 못한다. 백신 프로그램은 새롭게 발견된 악성코드의 고유 시그니처를 추가해서 진단/치료하는 프로그램이다.

신종 악성코드에는 취약하다는 단점에 유사 변형을 진단하는 특성진단(Generic detection) 및 의심스러운 코드를 진단하는 휴리스틱 진단(Heuristic detection) 등으로 알려지지 않은 악성코드를 진단할 수 있다.
 
하지만, 악성코드 제작자 역시 백신 프로그램으로 테스트하며 진단 회피 방안을 계속 마련하고 있으므로 이들 기술로도 완벽하지 않다.

둘째, 신종 악성코드에 대비하기 위해 꾸준한 업데이트가 필요하다. 백신 프로그램은 새로운 악성코드를 진단할 수 없기 때문에 꾸준한 업데이트가 필요하다.

1991년에는 일년에 4차례 업데이트가 이뤄졌다. 1996년에는 한 달에 한번 업데이트를 권했으며 1998년에는 매주 업데이트를 권했다. 하지만, 1999년에는 매일 업데이트를 진행한 업체가 등장했으며 2004년에는 매시간, 2008년에는 매 5-15분 업데이트 주기 제품이 등장했다.  

셋째, 악성코드 위협과 대응 시간에 격차가 존재한다. 악성코드 수가 증가함에 따라 백신 업체는 업데이트 주기를 단축하기 위해 노력하고 있다.

하지만, 현재와 같은 ‘접수’ –> ‘분석’ –> ‘시그니처 작성’ –> ‘테스트’ –> ‘배포’ 과정까지 빠르면 3시간 정도에서 늦으면 하루에서 며칠씩 걸릴 수 있다. 새로운 시그니처 작성 시간 동안 사용자의 컴퓨터는 신종 악성코드에 감염되어 피해를 당할 수 있다.

넷째, 정상 파일을 악성코드로 진단하는 오진이 발생할 수 있다. 잘 알려지지 않은 프로그램에서 시스템의 중요 파일을 악성코드로 오인해 삭제할 수 있다.

백신 업체에서는 오진을 줄이기 위해 노력하고 있지만 사용자들 역시 평소 잘 사용하던 프로그램이 악성코드로 진단되면 오진을 의심해 봐야 한다.

다섯째, 치료 후 감염 파일이나 시스템이 악성코드 감염 이전과 동일하지 않을 수 있다. 정상 파일에 바이러스가 감염되면 파일 내용 중 일부가 변하는데 감염 되기 전 데이터를 보관하지 않을 경우 치료 후에도 이전 값으로 동일하게 돌아가지 않을 수 있다.
또, 악성코드에 감염되면서 변경하거나 추가한 레지스트리나 파일 내용이 남아 있을 수 있다. 이런 특히 쓰레기 파일이 완전히 복원되지 않아 악성코드를 치료한 후에 에러 메시지가 뜨거나 파일이 정상적으로 실행되지 않을 수 있다.

백신 프로그램은 이렇게 몇 가지 한계가 있지만 초보자부터 파워 유저까지 악성코드에 감염된 시스템과 파일을 진단/치료하는데 큰 도움을 주는 프로그램이다.

다만, 백신 프로그램만 너무 맹신하는 것보다 백신 프로그램의 한계를 잘 이해하고 평소 보안 습관을 잘 지키는 것이 안전한 컴퓨터 사용을 위해 무엇보다 중요할 것이다.


글 : 악성코드 분석가 차민석

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D

국내 신종(변형) 악성코드 발견 피해 통계

11월 한 달 동안 접수된 신종 (변형) 악성코드의 건수 및 유형은 [표 1]과 같다.

지난 달에 이어서 신종 및 변형 악성코드 수가 다시 증가하고 있는 추세이다. 이 번 달은 전월 대비 27% 정도 증가하였다. 특히 트로이목마와 드롭퍼류가 크게 상승하였다. 또한 실행파일을 감염시키는 바이러스들도 증가 하였다.

트로이목마 유형은 전월 대비 29% 가량 증가하였고, 드롭퍼 유형은 52% 증가하였다. 특히 온라인 게임의 사용자 계정을 탈취하는 형태의 악성코드가 다시 증가를 하기 시작하여, 해당 유형의 악성코드의 트로이목마와 드롭퍼 유형이 전월대비 증가하여 전체적으로 악성코드 증가에 영향을 주었다. 

웜 유형중에서는 AutoRun 웜이 가장 많은 비중을 차지하고 있으며, 외산 안티바이러스 업체의 블로그에서도 해당 유형의 악성코드가 증가하고 있다는 글이 포스팅되었는데 이는 어제 오늘의 일이 아니다.

[그림 2]에서 지난 4개월간의 해당 유형의 악성코드의 추세를 보면 11월에 감소한 것으로 나오지만, 이는 해당 진단명으로 분류된 것으로 기준으로 했기 때문이고, 일반적인 트로이목마에서도 같은 기법으로 자신을 실행 하도록 하는 형태나 autorun 관련 진단 함수에서 사전에 진단되어 접수되지 않은 관련 유형의 악성코드를 감안하면 이보다 훨씬 많은 관련 유형의 악성코드가 제작되고 있다..

[그림 2] AutoRun 관련 악성코드 추세

 파일 바이러스중에서는 Win32/Dzan.E, Win32/Golem, Win32/Vimes.B 가 주로 사용자들로부터 보고가 되었다. 이외의 바이러스는 주로 국외의 사용자로부터 감염 신고가 접수되어 엔진에 반영 되었다. 

출처 : 안철수연구소 ASEC리포트 11월호

- promotion.zip 파일 열지 마세요~
   
안철수연구소(대표 김홍선, www.ahnlab.com)는 크리스마스 시즌을 앞두고 코카콜라, 맥도날드 등 기업의 판촉 이벤트를 가장한 웜이 외국에서 유포되고 있어 사용자의 유의가 필요하다고 밝혔다.
 
이 웜은 메일로 전파되며, 첨부된 ZIP 파일의 압축을 풀고 생성된 파일을 실행할 경우 감염된다. 발신자 주소는 noreply@coca-cola.com, giveaway@mcdonalds.com, postcards@hallmark.com 중 하나이며, 수신자 주소는 감염된 컴퓨터에 저장된 주소록에서 임의로 선택된다. 메일 제목은 ‘Mcdonalds wishes you Merry Christmas!’, ‘Coca Cola is proud to accounce our new Christmas Promotion.’, ‘You've received A Hallmark E-Card!’ 중 하나이며, 첨부 파일명은 coupon.zip, promotion.zip, postcard.zip 중 하나이다. 첨부 파일의 압축을 풀면 postcard.exe, coupon.exe, promotion.exe 등 7개 중 한 개의 파일이 생성되고, 아이콘은 눈사람 모양이다.
 
이 EXE 파일을 실행하면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 vxworks.exe로 자신의 복사본을 생성하고, 다른 변형인 qnx.exe(Win32/Ceein.worm.157184) 파일을 생성한다. 그리고 콜라 값을 할인해준다는 내용의 팝업 창을 생성해서 컴퓨터 사용자를 정상 파일로 착각하게 만든다.
 
그리고 인터넷 익스플로러를 실행해서 특정 주소로 접속해 감염된 컴퓨터의 IP를 조회한다. 그 후 레지스트리에 특정 키 값을 생성해 윈도 운영체제에 탑재된 방화벽을 우회한다.
 
안철수연구소의 무료 백신 ‘V3 Lite’와 PC주치의 개념 고품격 유료 보안 서비스인 ‘V3 365 클리닉’ 등의 V3 제품군은 이 악성코드를 ‘씨인.449024(Win32/Ceein.worm.449024)’ 웜으로 진단하며 최신 버전으로 진단/삭제할 수 있다.
 
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “크리스마스와 연말연시를 맞아 사용자를 현혹하는 악성코드가 잇달아 등장할 것이다. 이메일에 첨부된 파일을 함부로 열지 말고 백신 프로그램을 설치해 최신 버전으로 유지하는 동시에 실시간 감시 기능을 항상 켜두는 것이 안전하다. 아울러 윈도 운영체제의 보안 패치를 모두 적용해야 한다.”라고 강조했다.