2009.02.19
확산보다 소문이 빨랐던 2090 바이러스
2009 년 2월 10일 이른바 2090 바이러스로 인터넷은 뜨거웠다. 시스템 날짜를 2090년으로 변경 하는 악성코드가 퍼지고 이에 발 빠르게 인터넷을 통한 정보 공유는 좋았지만 거기에 과장된 내용이나 잘못된 내용도 함께 퍼졌다. 또 다소 과장된 내용이 일부 언론으로 보도되면서 사람들이 지나치게 겁을 먹거나 혼란을 겪게 된다. 이 글에서는 2090 바이러스를 통해 악성코드와 관련된 정보 전파의 명암을 알아보겠다.
웜의 특징
안철수연구소에서 Win32/AimBot.15872 로 명명한 웜은 Virus.Win32.PureMorph!IK, Win32:PureMorph, Trojan/W32.Agent.15872.AY, V.WOM.AIMBOT.CC, Trojan/Win32.Crypt.15872.B 등의 다른 진단명도 가지며 흔히 ‘2090 바이러스’ 혹은 ‘2090년 바이러스’로 불린다. 감염된 시스템은 윈도우 시스템 날짜를 2090년으로 변경되고 일부 시스템에서 블루스크린이나 컴퓨터 로그인과 동시에 로그오프 되는 현상이 발생한다.
정보 전파 과정
인터넷을 검색해보면 2009년 2월 9일 오전부터 2090 바이러스에 대한 언급이 등장한다. 시스템 년도가 2090년 1월 1일 오전 10시로 변경되는데 어떤 바이러스냐는 내용이었다. 인터넷을 통해 내용이 빠르게 전파되기 시작한 건 2월 10일 오전으로 이미 전날 국내 백신 업체에서 대부분 엔진 차원에서 대응은 끝난 상태였다.
누리꾼들은 인터넷에 수작업으로 해결하는 방법도 올리기도 했지만 일부 사용자들에 의해 ‘포맷해도 제거되지 않는다’, ‘시스템을 직접 공격한다’ 등의 내용이 올려졌다. 이 내용이 2월 10일 오전부터 ‘걸리며 PC 사망’, ‘PC다운 되는’, ‘치료 불능’ 등의 다소 자극적인 제목과 포맷해도 사라지지 않는다는 사용자들이 잘못 올린 내용이 기사화되었다. 또한 다소 과장된 기사는 라디오 방송 등으로 알려지면서 사용자들의 공포가 극대화 되었다. 백신 업체에서도 상세 분석을 통해 2009년 2월 10일 보도자료가 나왔고 사용자들 사이에서도 2090 바이러스와 관련해서 과장된 게 아니냐는 우려가 나왔다. 하지만, 소문은 계속 확산되어 밤 10시경에는 한 포털 실시간 검색어 1위에 오르는 기염(?)을 토하기도 한다. 이후 안철수연구소 등 백신업체에서 전용 백신이 나오고 웜이 접속하는 주소도 차단되면서 공격자의 명령을 수행하지 못해 악성코드 전파도 한계에 이르고 관련 내용도 진정되었다.
2월 11일부터 2090 바이러스의 피해가 크지 않았으며 부정확한 내용이 증상에 대해 과장하고 불안 심리를 조장했다는 기사가 등장한다.
잘못 알려진 내용들
이 웜과 관련된 대표적 과장 혹은 잘못된 정보는 다음과 같다.
- 롬 바이오스(ROM-BIOS)나 CMOS에 상주해 포맷해도 치료되지 않으며 시스템을 직접 공격한다.
- 감염되면 치료 방법이 없다.
- 변형이 10개가 넘는다.
- 보안취약점을 이용하며 마이크로소프트사에서 보안 업데이트를 준비 중에 있다.
첫째, 롬 바이오스(ROM-BIOS)나 CMOS에 상주해 포맷해도 치료되지 않으며 시스템을 직접 공격한다.
가장 많은 사용자들이 오해한 부분으로 실제 사용자들이 웜에 감염되고 시스템을 포맷 후 다시 감염되는 일이 발생해 발생했다. 이는 이 웜의 전파 경로를 알면 오해가 풀린다. 이 웜은 인터넷, 이동식 디스크 등으로 전파된다. 따라서, 감염되어 포맷 후 윈도우를 설치하거나 설치 후 취약점이 해결되지 않은 채로 인터넷에 접속만 되어 있어도 다시 감염되거나 이동식 디스크를 사용할 경우 재 감염될 수 있다. 이 때문에 포맷해도 치료되지 않는다는 소문이 돈 것으로 보인다. 또 포맷해도 사라지지 않으니 그 원인으로 롬 바이오스나 CMOS에 감염된 게 아닐까 하는 추측 성 내용이 사실로 알려진 것으로 보인다.
둘째, 감염되면 치료 방법이 없다.
백신 프로그램에서 웜 자체 진단은 9일 저녁에 많이 반영되었다. 하지만, 이미 감염된 경우 제품으로는 치료 되지 않는 경우가 대부분이었다. 이는 악성코드가 자기 보호를 하고 있어 제품으로 치료가 힘들어 전용 백신 형태로 치료 방법이 나온 것으로 새로운 변형이 등장한 건 더더욱 아니다. 또한 시스템에 로그인 후 로그오프 되거나 블루 스크린이 뜨는 등의 문제는 악성코드 자체의 문제로 이 경우 윈도우 복구 CD로 대부분 복구 가능하다.
셋째, 변형이 10개가 넘는다.
변종이 10개가 넘는다는 얘기의 정확한 출처는 알 수 없지만 치료가 되지 않는 원인을 새로운 변형의 등장으로 오해해서 발생했거나 다른 Win32/AimBot.worm 변형을 오해 한 것으로 보인다. 2009년 2월 16일 현재까지 추가 변형은 2월 13일 발견된 Win32/AimBot.worm.15872.B이 전부이다. 계속 변형이 등장해도 윈도우 업데이트가 되어 있으면 예방이 가능하며 백신에도 곧 추가될 것이다.
넷째, 마이크로소프트사에서 보안 업데이트를 준비 중이다.
웜이 처음 등장했을 때 자세한 전파 경로가 알려지지 않아 일부 사용자들이 미공개 취약점을 이용한 게 아니냐는 추정과 그럼 마이크로소프트사에서 핫 픽스가 나올지도 모른다는 얘기가 돌았다. 또 초기에 콘피커 웜(Win32/Conficker.worm)과 혼돈되어 일부 사용자들은 콘피커 웜 전용 백신을 치료 프로그램이라고 올려 두기도 했다. 이후 웜의 전파 경로가 이미 2008년에 보안 업데이트가 나온 MS08-067 등으로 밝혀진다.
결론
과거에도 새로운 악성코드가 등장하면 과장되거나 잘못된 내용이 종종 나왔다. 이번 2090 바이러스도 그 연장으로 볼 수 있다. 백신 업체로 접수된 실제 피해는 미미했지만 2090 바이러스가 얼마나 퍼졌고 감염되었는지는 아무도 정확히 알 수는 없다. 많은 사용자들이 감염되고 포맷 후 윈도우를 다시 설치했을 가능성도 있다. 하지만, 확산보다 소문이 더 빨랐을지도 모르고 특히 ‘포맷해도 치료되지 않는다’, ‘시스템에 직접 문제를 일으킨다’ 등의 잘못된 정보는 웜의 확산 속도보다 공포감을 배로 한 건 부정할 수 없을 것이다.
하지만, 누리꾼들이 전용 백신이 등장하기 전 치료 방법 등을 공유한 점, 인터넷을 통해 너무 과장된 게 아니냐는 자성의 목소리 등은 인터넷을 통한 정보 공유의 긍정적인 면으로 보인다. 향후에도 유사한 악성코드 확산이 발생할 때 지나치게 과장된 듯한 내용은 퍼 나르기 전에 한번쯤 의심하고 보안 업체 등 신뢰할 수 있는 곳에서 공식 확인된 내용인지 살펴보는 습관이 필요할 것으로 보인다. 물론 최신 버전의 윈도우 업데이트와 최신 백신 프로그램을 적용하고 올바른 보안 습관을 가지는 건 더욱 중요한 일이다.
참고자료
[1] 안철수연구소 Win32/AimBot.worm.15872 분석 정보 (http://kr.ahnlab.com/info/smart2u/virus_detail_25902.html)
[2] 파코즈하드웨어(http://www.parkoz.com)
[3] 바이러스제로 시즌 2(http://cafe.naver.com/malzero.cafe)
[4] 2090 바이러스 (http://ko.wikipedia.org/wiki/2090_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4)
칼럼니스트 차민석 | 안철수연구소 악성코드 분석가
안 철수연구에서 악성코드 분석 및 연구를 하고 있으며 “IT 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.
'AhnLab 칼럼' 카테고리의 다른 글
보안 업체의 윤리성이 중요한 이유 (0) | 2020.04.21 |
---|---|
PC보안, 집 문단속 하듯 스스로 대책 세우는 것이 우선 (0) | 2020.04.21 |
당신이 생산한 정보, 안녕하십니까? 라이브 블로그 해킹 (0) | 2020.04.20 |
윤리적 해커, 정보보안 전문 인력을 키워라 (0) | 2020.04.20 |
바이러스와 악성코드, 도전과 응전의 역사 (0) | 2020.04.20 |