2007년에 엄청난 악성코드가 발견된다. 집계 방법이나 업체 통계에 따라 다르지만 2006년까지 발견된 악성코드가 약 23만개 정도로 추정되는데 2007년에만 50만개 이상 발견되어 지난 20년간 발견된 모든 악성코드보다 2007년 한해 발견된 악성코드가 많은 것으로 보고되고 있다.
악성코드 배포 방법도 웹사이트 해킹 후 악성코드를 숨겨두고 사용자가 해당 웹사이트를 접속할 때 설치되도록 하는 방법이 대세를 이룬다. 이동 저장 매체(Removable Storage Media)인 USB 플래쉬메모리, 외장형 하드디스크 등이 널리 사용되면서 이를 통해 전파하는 악성코드도 증가한다.
악성코드 제작이 금전적 목적으로 바뀌면서 사이버 블랙 마켓을 통해 악성코드 소스나 알려지지 않은 취약점이 고가에 거래 되기도 한다. 악성코드의 은폐 기법도 고도화되며 애플리케이션 취약점 공격도 다양화 된다.
1월 윈도우 비스타(Windows Vista)가 출시된다. 윈도우 비스타는 향상된 보안 기능으로 더 이상 백신 프로그램이 필요 없을 수 있다고도 얘기되었지만 윈도우 비스타의 보안 기능 무력화에 대한 악성코드 연구도 활발하게 진행된다. 윈도우 비스타용 악성코드 제작이 드문 건 기존 악성코드 중 상당수가 윈도우 비스타에서 문제 없이 실행되는 것 뿐 아니라 윈도우 비스타의 더딘 보급으로 악성코드 제작자들이 윈도우 비스타에서만 활동하는 악성코드 제작에 큰 흥미를 못 느낀 점도 영향이 있는 것으로 보인다.
미국 40세 여교사인 줄리 아메로(Julie Amero)가 수업 시간 7학년(한국의 중 1) 학생들에게 포르노 사이트가 노출된 걸 방치했다는 혐의로 재판을 받았다. 그녀는 어린이를 타락 시킨 사람, 컴퓨터나 모니터 전원도 못 끄는 바보, 교육 위원회의 희생양이라는 논쟁이 있었다. 2007년 3월 2일 유죄 판결을 받았지만 여교사는 애드웨어(스파이웨어)가 설치되어 발생한 일이라고 주장했고 실제 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다. 결국 이 사건은 여름에 무죄로 최종 판결 났다. 성인 광고를 노출하는 애드웨어가 어떤 영향을 끼칠 수 있는지 보여주는 사건이라고 할 수 있다.
2월 독일에서 범죄자들의 혐의 증거를 찾기 위해 키로거 등의 프로그램을 이용하는 안이 정부에서 시작된다. 이미 2001년 미국 FBI는 범죄자들의 컴퓨터에 키로거 등의 프로그램을 설치해 증거를 수집하려는 마법 등불 (Magic Lantern) 프로젝트가 진행된 바 있다. 이에 미국 정부와 연관되는 해당 국가 보안 업체들은 수사 목적의 해당 프로그램 진단을 제외하기로 결정했었다.
하지만, 이해관계가 다른 업체에서는 악성코드나 유해가능 프로그램과 구별이 되지 않으므로 계속 진단하는 정책을 취하기로 했다. 이미 경찰 등 국가기관에서 증거 수집을 위해 백도어, 키로거 기능이 있는 프로그램을 이용할 수 있는 법률이 스웨덴, 네덜란드, 덴마크, 미국에서 통과된다. 정부에서 특정 목적으로 제작하는 이런 류의 프로그램을 진단해야 하는가 하는 문제를 업계에 고민을 안겨 주고 있다.
악성코드 제작자들에게 법적 제재는 계속되는데 네덜란드 법정에서 900 억 통 이상의 스팸 메일을 발송한 스패머에게 97,000 달러의 벌금형을 선고하고 미국 로스엔젤레스 법정은 마이스페이스(MySpace)를 통해 웜을 전파시킨 사미 캄카르(Samy Kamkar)에게 집행유예 3년 형과 90일의 사회 봉사 명령을 내린다.
중국에서도 2월 12일 판다 바이러스 또는 델보이 바이러스(Win32/Dellboy virus)로 알려진 바이러스의 제작자 일당이 검거 되었다. 이들은 모두 8명으로 그 중 바이러스 제작과 관계가 깊은 사람은 당시 25세의 중국 호북성 무한시(WuHan City)에 사는 ‘리준’이다. 바이러스에 감염된 파일의 끝 부분에 ‘WhBoy’ 이 추가되는데 이는 무한시에 사는 소년을 뜻하고 있는 것으로 알려졌다. 그는 2003년부터 악성코드를 제작했고 일부는 소스를 팔아서 돈을 벌기도 하였으며 약 100여명에서 판매했다고 알려졌다.
3월 미국 하원의회에서 안티 스파이웨어와 관련된 세 번째 법률이 의결되었다. 제안된 스파이액트(Spy Act, Securely Protect Yourself Against Cyber Trespass Act)는 정보 수집, 모니터링, 광고 기능, 웹 브라우저 수정 등에는 법률이 정한 바에 따라야 한다는 내용이며 이를 위한할 경우 300만 달러의 벌금에 처하게 된다. 하지만, 2004년, 2005년 관련 법률이 하원에서 통과되었지만 미국 상원의회에서 통과하지 못했다.
3월말 새로운 제로데이(Zero-day) 공격인 ANI 파일 취약점(Animated Cursor Handling)을 악용한 악성코드 유포가 발생한다. 2006년에도 WMF 제로데이 취약점이 이용되었다. WMF 파일 취약점, ANI 파일 취약점과 같은 그래픽 랜더링 취약점을 공격하는 악의적인 파일들은 그 사이즈가 작고 메일, 웹사이트, 메신저 등 다양한 경로로 공격이 가능하다. 애플리케이션취약점을 이용한 시도는 계속되어 7월 10일에는 플래시 플레이어가 가지는 취약점과 8월에 새로운 WMF(Windows Meta File) 관련 취약점이 발표된다.
4월 아이팟(iPod) 리눅스에서 활동하는 팟로소 바이러스(Podloso virus)가 발견된다. 애플사의 아이팟은 전 세계적으로 1천 만대 이상 팔린 제품으로 사용자들이 리눅스를 제작해 배포했으며 이 새로운 플랫폼에 활동하는 악성코드가 제작된 것이다. 전형적인 개념 증명 바이러스(proof of concept virus)로 실제 보고되지 않았고 실제로 퍼질 가능성이 낮다.
5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진했다.
5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 발견된다. 하지만, 배드버니 (BadBunny)는 버그가 존재가 제대로 실행되지 않는다.
5월 15일, 16일 아이스랜드(Iceland) 레이캬비크(Reykjavik)에서 국제 안티바이러스 테스팅 워크숍(International Antivirus Testing Workshop)이 열린다. 백신 프로그램에 대한 테스트가 이뤄지고 있지만 공정성 등을 위해 논의가 있었다. 이 아이디어는 11월 한국에서 열린 AVAR에서 테스트기구를 만들자는 논의로 2008년 초 스페인에서 첫 모임을 가진 후 테스트 표준화 방안을 위한 AMTSO(http://www.amtso.org)를 설립한다.
과거 180솔루션(180 Solutions)로 알려진 애드웨어 제작 업체인 장고(Zango)사가 스파이웨어 닥터(Spyware Doctor) 제작사인 피씨 툴즈(PC Tools)와 컴퓨터 보안 회사인 카스퍼스키 연구소(Kaspersky Lab)의 보안 제품이 자사의 소프트웨어를 진단 및 제거 한다는 이유로 소송을 제기했다. 이후 카스퍼스키 연구소가 승소했으며 장고 사는 피씨 툴즈 사에 제기한 소송을 취하했다. 판결의 주요 요지는 보안 회사는 사용자가 잠재적으로 원하지 않은 소프트웨어나 위험성이 있는 소프트웨어에 대해 확인할 수 있게 할 의무가 있으며, 사용자가 자신의 컴퓨터에서 허용할 소프트웨어를 직접 선택할 수 있게 해야 한다는 것이다.
6월 중순 이탈리아와 러시아 웹사이트를 대상으로 대규모 공격이 발생했다. 이미 한국 등 아시아에서는 많이 발생했지만 유럽에서 발생해 눈길을 끌었다. 이들 국가를 시작으로 전 유럽으로 퍼져나갔으며 이탈리안 잡(Italian Job)으로 불리는 이 공격 뒤에는 다양한 공격 익스플로잇(Exploit)을 포함하는 ‘종합선물세트’, ‘맥가이버칼’ 이라 평을 받는 엠팩(MPack)이란 취약점 공격 도구가 사용되었다. 이 취약점 공격 도구는 금전적으로 거래되었다.
10월 애플 매킨토시의 새로운 운영체제인 OS X 레오파드(Leopard)가 출시 되고 매킨토시 사용자가 증가하면서 매킨토시 제품의 보안 위협도 커진다. 11월 14일 애플 컴퓨터사는 맥 OS X 및 관련 응용 프로그램 취약점 41 개에 대한 패치를 발표했으며 OS X 악성코드도 조금씩 증가한다.
악성코드 제작자들의 패커 사용과 자체 제작 패커 사용이 증가하면서 안티 바이러스 제품들이 패커 자체를 진단하기 시작한다. 하지만, 패커는 정상 프로그램에서도 사용될 수 있으므로 오진의 가능성이 있다.
11월 중순, 웹브라우저의 시작페이지가 “www.3929.cn”으로 고정된다는 신고가 다수의 고객으로부터 다량 접수되었다. 시작페이지 고정의 원인은 BHO(Browser Helper Object)로 설치된 중국산 애드웨어로 인한 것이었다.
[그림 1-1] 3929.cn으로 고정된 시작페이지
이 애드웨어는 해킹된 웹사이트에 삽입되어 있는 Adobe Flash Player의 SWF 취약점을 이용하는 악성 스크립트에 의해 사용자의 PC에 설치되는데, 국내 유명 웹사이트를 포함한 다수의 웹사이트가 해킹되어 애드웨어의 악성코드 유포 경로로 이용되어 국내 고객의 피해 수준은 심각하였으며, ㈜안철수연구소에서는 보안 위협등급을 3단계로 상향 조정하여 대응하였다.
그런데 이번 사건의 SWF 취약점은 사고 발생 이전에 이미 패치가 존재하였으며, 사용자가 미리 Adobe Flash Player의 업데이트만 실시하였다면 충분히 예방할 수 있는 사고였다.
국산 보안 제품을 제거하는 국산 애드웨어 - Win-Adware/NeSearch
바이러스나 웜, 트로이목마 등의 악성코드가 보안제품의 실행을 중지시키거나 삭제하는 경우는 많이 발견되고 있다. 이러한 악성코드의 대부분은 외국에서 제작된 것들이고, 보안제품의 실행을 중지시킨 뒤 시스템에 큰 문제를 일으키거나 게임의 계정정보를 탈취한다. 그런데 최근 국내에서 제작된 리워드 프로그램이 이와 같이 동작하는 것이 발견되었다. 진단명이 Win-Adware/NeSearch인 애드웨어는 다른 애드웨어의 번들 형태로 사용자의 적절한 동의 절차 없이 설치되어, Internet Explorer의 주소표시줄에 입력되는 키워드를 감시하고, 키워드와 관련한 광고를 노출하며, 쇼핑몰 등에 접속시 제휴마케팅 코드를 삽입하여 구매 수익의 일부를 얻는 리워드 프로그램이다.
Win-Adware/NeSearch는 국내 보안제품이 자신을 사용자의 시스템에서 제거하는 것을 막기 위하여 사용자 동의 없이 ㈜안철수연구소의 V3를 비롯한 국내 주요 백신들의 프로세스를 중지시키고 제거하려는 시도를 한다. 물론 V3의 경우 자체 보호 기능이 탑재되어 있기 때문에 해당 애드웨어의 의도와는 달리 중지되거나 제거되지 않는다. 그러나 일부 자체 보호 기능이 미비한 보안 제품의 경우, 이 애드웨어의 의도대로 사용자의 PC에서 보안제품이 중지 혹은 제거되며, 이렇게 될 경우 사용자의 PC가 악성코드로부터의 보안위협에 그대로 노출되기 때문에 매우 심각한 문제를 야기할 수 있다.
지속적으로 Win-Adware/NeSearch에 대하여 모니터링한 결과, 더 이상 배포되지 않고 있는 것으로 추정되며 V3나 스파이제로를 통해 전부 진단 치료가 가능하다. 그러나 앞으로 이와 같은 악성 프로그램이 계속해서 나올 것으로 예상되며 보안업체뿐만 아니라 사용자의 각별한 주의가 요구된다.
적절하지 못한 사용자 동의로 설치된 프로그램으로 인한 피해 증가
PC에 특정 프로그램이 설치되어 불편을 야기하게 될 경우, 해결법을 찾기 위해 인터넷 검색을 해보면 동일한 피해로 인한 사용자의 불만 글을 쉽게 찾아볼 수 있다. 최근에는 리워드 프로그램의 설치로 인한 피해와 이에 대한 해결 방안들이 많이 보고된다.
리워드 프로그램은 사용자가 제휴 쇼핑몰에서 물건을 구매하는 경우 추가 적립금을 지급해 주는 하나의 비즈니스 모델로서 사용자에게 많은 이득을 줄 것 같지만, 엄밀하게 따져보면 사용자에게 주는 혜택은 전혀 없이 해당 프로그램 배포자만이 이득을 보는 경우가 대부분이다.
대부분의 리워드 프로그램이 설치되어 불편을 겪고 있는 PC 사용자들이 자신이 모르는 사이 프로그램이 설치되었다고 주장한다. 반면 리워드 프로그램 제작사는 합법적으로 자신의 프로그램을 배포한다고 말하고 있다. 이 이유는 리워드 프로그램이 불법이라고 단정할 수 없는 방법으로 사용자가 쉽게 인지하지 못하는 방법으로 배포되고 있기 때문이다. 리워드 프로그램과 문제점이 발생하는 원인에 대해서는 ‘ASEC Report 11월 첫번째 컬럼’에서 자세히 소개한다.
지난 10월 MS08-067 서버 서비스 취약점이 공개된 후, 이를 악용한 사례가 지속적으로 보고되고 있다. 원격에서 공격이 가능한 유형의 취약점은 악성코드에서 취약한 시스템을 찾는데 애용되고 있으며, 이러한 유형에는 대표적으로 DCOM, LSASS 취약점 등이 있다. 이에 대한 근본적인 대응책은 사용자들이 자신의 윈도우 시스템에 보안업데이트를 철저하게 하는 것이다.
방화벽, 안티바이러스 제품과 같은 보안제품에만 의존할 것이 아니라 주기적인 보안 업데이트, 강력한 패스워드 사용, 공유폴더 사용하지 않기 등의 기본적인 수칙만 지켜준다면 보다 안전한 인터넷 사용이 가능할 것이다. 더불어, MS 관련 취약점뿐만 아니라 시스템에 설치된 다른 소프트웨어의 취약점은 없는지도 살펴보아야 한다. 이번에 알려진 어도비(Adobe)사의 PDF Reader 프로그램의 취약점을 이용한 공격이 써드 파티 소프트웨어 위협의 좋은 예라고 할 수 있을 것이다. ‘보안’이라는 것은 언뜻 보면 해야 할 것도 많아 귀찮은 일이 될 수도 있겠지만 이 작은 노력이 컴퓨터를 안전하게 지킬 수 있는 최선의 길이다.
PDF 취약점을 이용한 문서 자주 발견
전자문서로 유명한 어도비사의 PDF Reader에서 또 다른 취약점이 공개되어 사용자들의 주의가 요구된다. 이번 취약점뿐만 아니라 이전에도 몇 차례 관련 취약점들이 공개되어 악의적으로 이용되었는데, 이렇게 어도비사의 취약점이 주목받는 이유는 전세계적으로 PDF (Portable Document Format)라는 포맷이 공용화 되었고 사용자층이 매우 두텁기 때문이다.
최근에 공개된 취약점은 PDF 파일에 삽입되어 실행되는 자바 스크립트 코드 중 “util.printf()” 처리 과정에서 입력 값이 제대로 검증되지 않아 발생하는 스택 오버플로우(Stack Overflow) 취약점이다. 조작된 PDF 파일을 사용자가 열어보는 순간, 해당 취약점을 이용하여 악의적인 코드가 실행될 수 있으며 사용자 권한을 획득할 수도 있다. 해당 취약점에 영향을 받는 소프트웨어는 8.1.2 버전이며, 8.1.3 과 9 버전은 영향을 받지 않는다.
해당 취약점을 좀더 자세히 살펴보면, 숫자나 날짜를 포맷 형태로 출력하고 파싱하는 기능에서 발생한 것으로 다음과 같이 Utils 오브젝트에서 지원하는 printf 메소드에 넘겨지는 인자값이 체크되지 않아 발생하는 것이다.
공격자가 PDF 문서에 취약점을 발생시킬 수 있는 Util.printf를 내포한 JavaScript 코드를 삽입함으로써 악용할 수 있게 된다. 취약점은 EScript.api 에서 발생되는 것으로 실제 코드를 보면 아래와 같다.
취약점 공개와 함께 이를 이용할 수 있는 공격코드(PoC)가 이미 공개되어 있으므로, 이를 악용할 가능성은 더욱 높아진 상태이다. 따라서, PDF 문서 사용자는 해당 취약점에 해당하는 업데이트를 반드시 확인하고 출처를 알 수 없는 PDF 파일을 열어보지 않아야 한다. 만약, 업데이트가 힘든 사용자라면 PDF Reader 옵션 중 자바스크립트 기능을 해제하는 설정을 Enable 하여 스크립트 코드의 실행을 막는 것도 하나의 방법이 될 수 있다.
윈도우 비스타 TCP/IP 스택 취약점 존재
최근 윈도우 비스타에서 임의의 코드를 실행할 수 있는 취약점이 오스트리아의 한 연구자에 의해 발견되었다. 이번 취약점은 비스타의 네트워크 입/출력 서브시스템에서 발견된 것이며 특정 요청이 iphlpapi.dll에 전달되면 버퍼 오버플로우가 발생되어 커널 메모리를 망가뜨리고 이로 인해 블루스크린이 나타날 수 있다고 보고하였다. 해당 취약점은 현재 주로 사용되고 있는 Windows XP 시스템에는 영향이 없는 것으로 알려져 있다 현재 마이크로소프트사와 이번 문제를 해결하기 위한 작업을 진행하고 있으며 다음 번 윈도우 비스타 서비스팩에 포함될 것이라고 한다. 이 글을 쓰는 시점에서 비스타 서비스팩 2 번째 베타 버전이 공개되었다.
비즈니스를 위협하는 보안 문제
비즈니스와 IT 인프라의 의존성이 높아지면서 보안에 대한 관심 또한 나날이 높아지고 있다. 이것은 우리가 즐겨 이용하고 있는 대중교통만 보아도 알 수 있다. 버스와 지하철의 요금 처리, 티켓 구매, 버스 도착안내 이 모든 것이 IT 인프라에 의존하여 운영되고 있다. 어느 날 이런 시스템이 단지 몇 킬로바이트의 악성코드에 의해 감염되어 혼란을 줄 수 있다는 우려가 현실로 나타나고 있다. 이런 일이 일어나서도 안 되겠고, 일어나지 않도록 철저한 준비를 하고 있겠지만, 복잡한 IT 환경에서 이런 가능성은 언제나 존재한다.
최근 11월 18일(화)에 런던의 몇 개의 병원에서 악성코드가 감염되어 몇일 동안 시스템이 다운되는 사태가 실제로 발생했다. St Bartholomew’s(Barts), Whitechapel의 로얄 런던 병원 그리고 Bethnal Green의 London Chest 병원에서 마이톱(Mytob) 웜에 감염되었다. 감염으로 인하여 병원의 시스템에 장애가 발생하여, 최첨단 IT 기술을 활용할 수 없게 되어 의사들은 손으로 기록을 하였고, 앰블런스는 임시적으로 근처 병원으로 이동하여야만 했다. 병원 운영상 긴급한 수술의 취소 등과 같은 큰 문제점은 야기시키지 않았으나 일부 작업은 연기되거나 스케쥴이 재조정된 것으로 알려져 있다.
이번 사건은 고의적으로 병원을 대상으로 공격이 이뤄진 것이 아닌 것으로 알려져 있으며, 악성코드로 인해 환자의 개인 정보 유출 등은 없었고 단순한 감염사고로 추정된다. 하지만, 며칠 동안 병원은 과거로의 회귀를 경험하였고 업무 전반에 불편함을 끼쳤을 것이다. 만약 더욱 악의적인 악성코드였다면 보다 큰 피해를 입혔을 수도 있고, 더 나아가 환자의 생명과 직결되는 기계에도 영향을 줄 수 있었을지도 모른다. 이번 병원의 사례와 같이 이것이 여러분들의 비즈니스에도 영향을 줄 수 있다고 생각되거나 IT 인프라에 의존적이라면 단순히 하나의 이야기 거리로 넘겨서는 안될 것이다. 지금 당신의 사업에 이런 일이 발생할 수 있다는 가정하에 “차선의 선택(Plan B)”를 준비해 놓아야 할 것이다.
안철수연구소(대표 김홍선, www.ahnlab.com)는 크리스마스 시즌을 앞두고 코카콜라, 맥도날드 등 기업의 판촉 이벤트를 가장한 웜이 외국에서 유포되고 있어 사용자의 유의가 필요하다고 밝혔다.
이 웜은 메일로 전파되며, 첨부된 ZIP 파일의 압축을 풀고 생성된 파일을 실행할 경우 감염된다. 발신자 주소는 noreply@coca-cola.com, giveaway@mcdonalds.com, postcards@hallmark.com 중 하나이며, 수신자 주소는 감염된 컴퓨터에 저장된 주소록에서 임의로 선택된다. 메일 제목은 ‘Mcdonalds wishes you Merry Christmas!’, ‘Coca Cola is proud to accounce our new Christmas Promotion.’, ‘You've received A Hallmark E-Card!’ 중 하나이며, 첨부 파일명은 coupon.zip, promotion.zip, postcard.zip 중 하나이다. 첨부 파일의 압축을 풀면 postcard.exe, coupon.exe, promotion.exe 등 7개 중 한 개의 파일이 생성되고, 아이콘은 눈사람 모양이다.
이 EXE 파일을 실행하면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 vxworks.exe로 자신의 복사본을 생성하고, 다른 변형인 qnx.exe(Win32/Ceein.worm.157184) 파일을 생성한다. 그리고 콜라 값을 할인해준다는 내용의 팝업 창을 생성해서 컴퓨터 사용자를 정상 파일로 착각하게 만든다.
그리고 인터넷 익스플로러를 실행해서 특정 주소로 접속해 감염된 컴퓨터의 IP를 조회한다. 그 후 레지스트리에 특정 키 값을 생성해 윈도 운영체제에 탑재된 방화벽을 우회한다.
안철수연구소의 무료 백신 ‘V3 Lite’와 PC주치의 개념 고품격 유료 보안 서비스인 ‘V3 365 클리닉’ 등의 V3 제품군은 이 악성코드를 ‘씨인.449024(Win32/Ceein.worm.449024)’ 웜으로 진단하며 최신 버전으로 진단/삭제할 수 있다.
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “크리스마스와 연말연시를 맞아 사용자를 현혹하는 악성코드가 잇달아 등장할 것이다. 이메일에 첨부된 파일을 함부로 열지 말고 백신 프로그램을 설치해 최신 버전으로 유지하는 동시에 실시간 감시 기능을 항상 켜두는 것이 안전하다. 아울러 윈도 운영체제의 보안 패치를 모두 적용해야 한다.”라고 강조했다.
