악성코드의 다양한 침투 방법들과 예방법

2007.10.04

 

1988년 국내 PC 사용자들에게 많은 피해입혔던 브레인 바이러스와 이 바이러스를 효과적으로 퇴치한 V3가 탄생한 지 올해로 19년. 바이러스로 시작된 악성코드는 웜, 트로이목마, 애드웨어, 스파이웨어까지 다양화되었으며 많은 경제적인 피해를 입히는 심각한 사회문제로 자리잡고 있다.

 

이러한 악성코드가 감염되는 경로는 어떻게 변화했을까. 초기 바이러스는 플로피 디스크라는 이동식 저장장치를 통해 확산되었다. 이후 이메일, 다운로드, 공유폴더, 메신저, 웹, UCC 등 다양한 매개체를 이용해 전파되고 있다. 즉, PC 사용자들이 주로 사용하고 있는 애플리케이션과 웹의 변화 발전에 따라 악성코드도 함께 진화하고 있다. 또한 사용자들의 행동 패턴이나 호기심을 이용한 사회공학기법을 기반으로 점차 교묘하게 지능화되고 있다. 악성코드에 효과적으로 대응하기 위해서는 감염 경로와 함께 최근 주로 사용되고 있는 악성코드의 수법을 인지해야 한다. 

 

이동식 저장매체를 이용한 악성코드

 

최근 이동식 저장매체를 이용한 악성코드가 확산되고 있다. 악성코드가 전파경로로 이동식 저장매체를 이용하는 것은 고전적인 방법 중의 하나로 전혀 새로울 것이 없다. 하지만 초기 악성코드가 감염 통로로 사용한 이동식 저장매체가 플로피 디스크였다면 현재의 감염통로는 USB와 같이 최근 사용이 늘어나고 있는 매체라는 것에 주목해야 한다. 안철수연구소 ASEC에 따르면 USB 메모리에 의해 PC가 악성코드에 감염됐다는 신고가 6월에 25건, 7월에 33건, 8월에 38건으로 점차 증가하는 추세를 보이고 있다.

실제로 안철수연구소 고객상담 센터에는 Autorun.inf 파일로 인한 고객들의 문의 사항이 다수 접수되고 있다. 대부분의 고객들은 Autorun.inf 파일을 삭제해도 계속 재생성되는 점과 삭제 후 바탕화면에서 내 컴퓨터를 이용하여 각 드라이브에 접근할 수 없다는 점을 문의하고 있다. 이처럼 Autorun.inf을 생성해 피해를 입히는 대표적인 악성코드는 VBS/Solow. VBS/Solow는 각 드라이브 루트 폴더를 비롯하여 이동식 드라이브 루트 폴더에 Autorun.inf 파일을 생성한다. 생성된 Autorun.inf 파일은 특정 드라이브 또는 이동식 드라이브에 악성코드 복사본을 실행하도록 하는 명령이 포함되어 있다.

예를 들어 USB에 Autorun.inf 파일이 있다면 해당 플래쉬 메모리를 USB 포트에 연결한 후 바탕화면의 내 컴퓨터를 선택하여 USB가 연결된 이동식 드라이브를 클릭할 경우 Autorun.inf에 의해 악성코드가 자동으로 실행되는 것이다. 이러한 현상은 최근 USB 메모리는 물론 디지털카메라∙MP3P 등의 이동식 저장매체의 사용이 보편화됨에 따라 악성코드 제작자들이 악성코드 확산을 위해 이를 이용하고 있는 것이다.

이에 대한 피해를 줄이기 위해서는 이동식 저장매체를 PC에 연결할 때에는 반드시 해당 드라이브를 백신으로 검사하는 것이 바람직하다. 또한 새로운 드라이브가 연결될 경우 이를 자동 검사해주는 빛자루 파워와 V3의 실시간 감시 기능을 이용하는 것이 좋다.

 

또 다시 등장한 MSN 메신저 웜

 

메신저의 보안기능 강화, 안티 바이러스 제품에서의 빠른 대응 등의 복합적인 이유로 메신저 웜이 더 이상 위협적이 아니라는 것은 이제는 분명해졌다. 그러나, 이러한 상황에서도 악성코드의 전파에 메신저는 단골메뉴로 이용되고 있다.

올 연초부터 특정 인터넷 주소를 클릭하도록 유도하는 스트레이션.젠 웜을 시작으로 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 잇달아 발견됐다. 해당 인터넷 주소를 보내고, 그 주소를 클릭하면 누가 대화 상대에서 본인을 차단하거나 삭제했는지 알 수 있다며 메신저 ID와 비밀번호를 입력하라고 하는 광고성 메시지까지 등장했다.

2005년에도 Win32/Kevir.worm, Win32/Bropia.worm 등 다수의 메신저 웜이 급격히 증가한 사례가 있었다. 2005년의 MSN 웜과 최근 발견된 MSN 웜과의 차이라면 봇넷(BotNet)을 직접적으로 이용하는지의 여부에 대한 차이다. 즉, 2005년에 극성을 부린 MSN 웜은 악성 IRCBot 웜을 다운로드 또는 내부에 별도의 실행파일도 포함하고 이를 실행하는 것이 주목적이었다면 최근에 발견되는 MSN 웜의 특징은 자신은 봇넷에 접속하는 악성 IRCBot 기능과 자신을 전파시키기 위한 윈도우 OS 취약점을 이용하는 것이 아닌 MSN 메신저를 노렸다는 것이다.

메신저 웜에 의한 피해를 입지 않으려면 파일 전송 요청 시 실행 파일은 가급적 다운받지 않는 것이 최선의 방법이다. 특히, 초기에는 낯선 사람에게서 메시지를 받는 경우가 많았지만 최근에는 자신의 메신저 대화 상대를 등록되어 있는 사람이 사진 파일을 보내는 것처럼 위장함으로 세심한 주의를 기울여야 한다. 아무리 최신 보안제품이라도 엔진에 적용되어 있지 않은 신종 악성코드는 진단할 수 없다는 점을 명심해야 한다. 

 

악성코드의 복합 공격_ 스파이웨어냐? 웜이냐?

 

스파이웨어+웜, 스파이웨어+트로이목마와 같은 악성코드의 복합공격이 증가하고 있다. 이전부터 일부 스파이웨어는 자신을 효과적으로 은폐할 목적으로 루트킷을 사용해 왔으며, 최근에는 자신을 전파할 목적으로 웜의 기능을 추가하는 경향을 보이고 있다.

실제로 8월 중순쯤 안철수연구소는 ASPack으로 실행압축된 파일에 Win32/Virut 바이러스가 감염된 사례가 다수 접수되었다. 해당 파일은 국내에서 제작된 다운로더로 익히 알려진 애드웨어 및 스파이웨어 그리고 허위 안티 스파이웨어를 다운로드 받도록 되어 있었다. 문제는 해당 다운로더가 국내에 상당수 설치되어 있다는 것인데, 다운로더를 제작한 업체 또는 개인의 고의적인 의도인지 실수 인지는 알 수가 없었지만 감염력이 높은 Win32/Virut 바이러스가 감염된 채로 사용자에게 많이 유포되었다는 것이다.

스파이웨어의 경우 그 자체가 위협적이기도 하지만 바이러스에 감염된 채로 배포되는 경우 시스템의 치명적인 손상을 입힐 수 있다. 현재 이러한 복합 공격은 스파웨어를 비롯한 허위안티스파이웨어 프로그램에서 주로 이용하고 있는 수법이다. 이러한 프로그램은 주로 ActiveX를 이용함으로 ActiveX 설치 시 각별한 주의를 기울여야 한다. 인터넷 익스플로러 보안 설정을 반드시 ‘보통’ 이상으로 설정해야 하고 신뢰할 수 있는 제작사에서 제공한 프로그램만을 설치하는 것이 좋다.

 

웹 페이지를 이용한 악성코드 배포

 

인터넷 익스플로러는 가장 대중적인 애플리케이션인 만큼 악성코드가 가장 탐을 내는 매개체이다. 또한 수많은 취약점을 내포하고 있기 대문에 손쉽게 악용되는 매개체이기도 하다.

초기에 악성코드의 주 감염통로가 e메일이었다면 최근에는 웹 사이트를 통한 감염이 크게 높아지고 있다. 대표적인 수법은 공격자가 악의적인 웹 사이트를 만들어 놓은 후 일반 사용자가 이 사이트에 접속하기만 하면 공격자가 의도한 프로그램이 자동으로 설치되도록 하는 것이다.

최근에는 이러한 수법이 대형 포털 사이트를 통해 발생하고 있어 사용자들의 각별한 주의가필요하다. 공격자들은 사회적으로 화제가 되고 있는 이슈나 포털의 인기검색어로 유인하는 방법을 사용하고 있다. 즉, 포털의 실시간 검색1위의 이슈를 보여주는 페이지를 허위로 만들어 뉴스나 동영상 바로보기 링크를 걸어둔다. 사용자가 이를 클릭하면 악성코드가 순식간에 설치된다. 만약 인터넷 익스플로러의 팝업 차단 설정에서 ‘팝업 차단 사용 안 함’을 해 놓았다면 사용자는 인식하지도 못한 채 악성코드의 피해를 입게 된다.

또, 이와 같은 수법으로 특정 지식을 묻고 답하는 사이트를 이용하기도 한다. 공격자가 현재 화제가 되고 있는 이슈에 대한 질문을 올리고 친절하게도 답변을 알려주는 웹페이지도 연결해 놓는다. 물론 이 페이지 역시 공격자가 악성코드를 심어놓은 악의적인 페이지이다.

이 같은 수법은 모두 인간의 심리를 이용하는 사회공학기법을 교묘히 사용하는 것이다. 사회공학수법에 대한 대처 방법은 사실상 사용자의 주의가 최선책이다. 출처가 정확한 페이지에서 제공하는 정보를 선택하여야 하며, 동영상보기를 위한 ActivX 설치에 주의해야 한다. 무엇보다 항상 최신의 보안 패치를 적용해야 하며, 믿을 수 있는 보안제품을 사용해 피해를 줄일 수 있다.