바이러스와 악성코드, 도전과 응전의 역사

2009.01.04

 

[기획 특집]악성코드의 역사

모든 분야에는 역사가 존재한다. 바이러스, 웜, 트로이목마를 통칭하는 악성 코드도 결코 짧지 않은 시간이 지나면서 과거와 현재를 통해 미래의 악성 코드를 예측해 보기로 하자.

[1] 1980년대 중반까지 – 게임의 준비
[2] 1986년 - 최초의 MS-도스 바이러스 출현
[3] 1987년 - 초기 바이러스 등장
[4] 1988년 – 일반 사용자에게 바이러스가 널리 퍼짐
[5] 1989년 - 본격적인 피해 발생
[6] 1990년 - 바이러스제작소 불가리아
[7] 1991년 – 연결형 바이러스 Dir-II 바이러스
[8] 1992년 - 미켈란젤로 바이러스 신드롬
[9] 1993년 - MSAV
[10] 1994년 - 인터넷을 이용한 유포 시작
[11] 1995년 - 매크로 바이러스 출현
[12] 1996년 - 새로운 환경으로의 이동
[13] 1997년 - 오피스 97 등장과 보다 안정된 윈도우 바이러스
[14] 1998년 - 백오리피스 등장과 매크로, 윈도우 바이러스 극성
[15] 1999년 - 메일을 통한 급속한 확산 시작
[16] 2000년 - I love you
[17] 2001년 – 악성코드와 해킹의 만남
[18] 2002년 – 매스 메일 웜의 발전
[19] 2003년 – 1.25 인터넷 대란
[20] 2004년 – 악성 IRC봇
[21] 2005년 – 금전적 이득을 위한 제작 동기의 변화
[22] 2006년 – 물량공세와 지역화의 시작
[23] 2007년 – 악성코드 전파는 웹사이트로

2007년에 엄청난 악성코드가 발견된다. 집계 방법이나 업체 통계에 따라 다르지만 2006년까지 발견된 악성코드가 약 23만개 정도로 추정되는데 2007년에만 50만개 이상 발견되어 지난 20년간 발견된 모든 악성코드보다 2007년 한해 발견된 악성코드가 많은 것으로 보고되고 있다.

악성코드 배포 방법도 웹사이트 해킹 후 악성코드를 숨겨두고 사용자가 해당 웹사이트를 접속할 때 설치되도록 하는 방법이 대세를 이룬다. 이동 저장 매체(Removable Storage Media)인 USB 플래쉬메모리, 외장형 하드디스크 등이 널리 사용되면서 이를 통해 전파하는 악성코드도 증가한다.

악성코드 제작이 금전적 목적으로 바뀌면서 사이버 블랙 마켓을 통해 악성코드 소스나 알려지지 않은 취약점이 고가에 거래 되기도 한다. 악성코드의 은폐 기법도 고도화되며 애플리케이션 취약점 공격도 다양화 된다.

1월 윈도우 비스타(Windows Vista)가 출시된다. 윈도우 비스타는 향상된 보안 기능으로 더 이상 백신 프로그램이 필요 없을 수 있다고도 얘기되었지만 윈도우 비스타의 보안 기능 무력화에 대한 악성코드 연구도 활발하게 진행된다. 윈도우 비스타용 악성코드 제작이 드문 건 기존 악성코드 중 상당수가 윈도우 비스타에서 문제 없이 실행되는 것 뿐 아니라 윈도우 비스타의 더딘 보급으로 악성코드 제작자들이 윈도우 비스타에서만 활동하는 악성코드 제작에 큰 흥미를 못 느낀 점도 영향이 있는 것으로 보인다.

 

미국 40세 여교사인 줄리 아메로(Julie Amero)가 수업 시간 7학년(한국의 중 1) 학생들에게 포르노 사이트가 노출된 걸 방치했다는 혐의로 재판을 받았다. 그녀는 어린이를 타락 시킨 사람, 컴퓨터나 모니터 전원도 못 끄는 바보, 교육 위원회의 희생양이라는 논쟁이 있었다. 2007년 3월 2일 유죄 판결을 받았지만 여교사는 애드웨어(스파이웨어)가 설치되어 발생한 일이라고 주장했고 실제 시스템에서 성인 광고를 띄우는 애드웨어가 발견되었다고 한다. 결국 이 사건은 여름에 무죄로 최종 판결 났다. 성인 광고를 노출하는 애드웨어가 어떤 영향을 끼칠 수 있는지 보여주는 사건이라고 할 수 있다.

 

2월 독일에서 범죄자들의 혐의 증거를 찾기 위해 키로거 등의 프로그램을 이용하는 안이 정부에서 시작된다. 이미 2001년 미국 FBI는 범죄자들의 컴퓨터에 키로거 등의 프로그램을 설치해 증거를 수집하려는 마법 등불 (Magic Lantern) 프로젝트가 진행된 바 있다. 이에 미국 정부와 연관되는 해당 국가 보안 업체들은 수사 목적의 해당 프로그램 진단을 제외하기로 결정했었다.

하지만, 이해관계가 다른 업체에서는 악성코드나 유해가능 프로그램과 구별이 되지 않으므로 계속 진단하는 정책을 취하기로 했다. 이미 경찰 등 국가기관에서 증거 수집을 위해 백도어, 키로거 기능이 있는 프로그램을 이용할 수 있는 법률이 스웨덴, 네덜란드, 덴마크, 미국에서 통과된다. 정부에서 특정 목적으로 제작하는 이런 류의 프로그램을 진단해야 하는가 하는 문제를 업계에 고민을 안겨 주고 있다.

악성코드 제작자들에게 법적 제재는 계속되는데 네덜란드 법정에서 900 억 통 이상의 스팸 메일을 발송한 스패머에게 97,000 달러의 벌금형을 선고하고 미국 로스엔젤레스 법정은 마이스페이스(MySpace)를 통해 웜을 전파시킨 사미 캄카르(Samy Kamkar)에게 집행유예 3년 형과 90일의 사회 봉사 명령을 내린다.

중국에서도 2월 12일 판다 바이러스 또는 델보이 바이러스(Win32/Dellboy virus)로 알려진 바이러스의 제작자 일당이 검거 되었다. 이들은 모두 8명으로 그 중 바이러스 제작과 관계가 깊은 사람은 당시 25세의 중국 호북성 무한시(WuHan City)에 사는 ‘리준’이다. 바이러스에 감염된 파일의 끝 부분에 ‘WhBoy’ 이 추가되는데 이는 무한시에 사는 소년을 뜻하고 있는 것으로 알려졌다. 그는 2003년부터 악성코드를 제작했고 일부는 소스를 팔아서 돈을 벌기도 하였으며 약 100여명에서 판매했다고 알려졌다.

 

3월 미국 하원의회에서 안티 스파이웨어와 관련된 세 번째 법률이 의결되었다. 제안된 스파이액트(Spy Act, Securely Protect Yourself Against Cyber Trespass Act)는 정보 수집, 모니터링, 광고 기능, 웹 브라우저 수정 등에는 법률이 정한 바에 따라야 한다는 내용이며 이를 위한할 경우 300만 달러의 벌금에 처하게 된다. 하지만, 2004년, 2005년 관련 법률이 하원에서 통과되었지만 미국 상원의회에서 통과하지 못했다.

 

3월말 새로운 제로데이(Zero-day) 공격인 ANI 파일 취약점(Animated Cursor Handling)을 악용한 악성코드 유포가 발생한다. 2006년에도 WMF 제로데이 취약점이 이용되었다.  WMF 파일 취약점, ANI 파일 취약점과 같은 그래픽 랜더링 취약점을 공격하는 악의적인 파일들은 그 사이즈가 작고 메일, 웹사이트, 메신저 등 다양한 경로로 공격이 가능하다. 애플리케이션취약점을 이용한 시도는 계속되어 7월 10일에는 플래시 플레이어가 가지는 취약점과 8월에 새로운 WMF(Windows Meta File) 관련 취약점이 발표된다.

 

4월 아이팟(iPod) 리눅스에서 활동하는 팟로소 바이러스(Podloso virus)가 발견된다. 애플사의 아이팟은 전 세계적으로 1천 만대 이상 팔린 제품으로 사용자들이 리눅스를 제작해 배포했으며 이 새로운 플랫폼에 활동하는 악성코드가 제작된 것이다. 전형적인 개념 증명 바이러스(proof of concept virus)로 실제 보고되지 않았고 실제로 퍼질 가능성이 낮다.

 

5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진했다.

 

5월 중순 오픈오피스(OpenOffice)에서 활동하는 악성코드가 발견된다. 하지만, 배드버니 (BadBunny)는 버그가 존재가 제대로 실행되지 않는다.

 

5월 15일, 16일 아이스랜드(Iceland) 레이캬비크(Reykjavik)에서 국제 안티바이러스 테스팅 워크숍(International Antivirus Testing Workshop)이 열린다. 백신 프로그램에 대한 테스트가 이뤄지고 있지만 공정성 등을 위해 논의가 있었다. 이 아이디어는 11월 한국에서 열린 AVAR에서 테스트기구를 만들자는 논의로 2008년 초 스페인에서 첫 모임을 가진 후 테스트 표준화 방안을 위한 AMTSO(http://www.amtso.org)를 설립한다.

 

과거 180솔루션(180 Solutions)로 알려진 애드웨어 제작 업체인 장고(Zango)사가 스파이웨어 닥터(Spyware Doctor) 제작사인 피씨 툴즈(PC Tools)와 컴퓨터 보안 회사인 카스퍼스키 연구소(Kaspersky Lab)의 보안 제품이 자사의 소프트웨어를 진단 및 제거 한다는 이유로 소송을 제기했다. 이후 카스퍼스키 연구소가 승소했으며 장고 사는 피씨 툴즈 사에 제기한 소송을 취하했다. 판결의 주요 요지는 보안 회사는 사용자가 잠재적으로 원하지 않은 소프트웨어나 위험성이 있는 소프트웨어에 대해 확인할 수 있게 할 의무가 있으며, 사용자가 자신의 컴퓨터에서 허용할 소프트웨어를 직접 선택할 수 있게 해야 한다는 것이다.

 

마이크로소프트사 제품의 보안 취약점을 해결하는 마이크로소프트 시큐리티 대응 센터(Microsoft Security Response Center)가 파퓰러 사이언스(Popular Science)지 6월호에서 과학계 6번째로 나쁜 직업으로 선정되었다. 매년 백 만개 이상의 메일을 받으며 윈도우, 인터넷 익스플로러, 오피스 등의 제품 문제를 해결하는 건 지루한 일이라고 설명했다. 하지만, 악성코드 대응팀 역시 비슷한 상황이라 보안 쪽 업무가 가히 좋지는 않아 보인다.

 

6월 중순 이탈리아와 러시아 웹사이트를 대상으로 대규모 공격이 발생했다. 이미 한국 등 아시아에서는 많이 발생했지만 유럽에서 발생해 눈길을 끌었다. 이들 국가를 시작으로 전 유럽으로 퍼져나갔으며 이탈리안 잡(Italian Job)으로 불리는 이 공격 뒤에는 다양한 공격 익스플로잇(Exploit)을 포함하는 ‘종합선물세트’, ‘맥가이버칼’ 이라 평을 받는 엠팩(MPack)이란 취약점 공격 도구가 사용되었다. 이 취약점 공격 도구는 금전적으로 거래되었다.

 

10월 애플 매킨토시의 새로운 운영체제인 OS X 레오파드(Leopard)가 출시 되고 매킨토시 사용자가 증가하면서 매킨토시 제품의 보안 위협도 커진다. 11월 14일 애플 컴퓨터사는 맥 OS X 및 관련 응용 프로그램 취약점 41 개에 대한 패치를 발표했으며 OS X 악성코드도 조금씩 증가한다.

 

악성코드 제작자들의 패커 사용과 자체 제작 패커 사용이 증가하면서 안티 바이러스 제품들이 패커 자체를 진단하기 시작한다. 하지만, 패커는 정상 프로그램에서도 사용될 수 있으므로 오진의 가능성이 있다.