컴퓨터 바이러스의 진화, 변종 바이러스

2009.02.27

 

국내의 유명 생명보험 회사의 전산 담당직원으로부터 연락을 받았었다. 사내에서 컴퓨터가 이상해졌다라는 문의가 갑자기 늘었다는 것이었다. 특이하게도 해당 PC에서는 안철수연구소의 웹사이트로 접속이 안 된다는 것이었다. 자사 직원들이 바이러스에 감염된 것으로 느끼고 안철수연구소로 인터넷 접속을 하려고 있는데 그것마저도 안 된다고 하소연을 한 것이었다.

 

이것은 작년 말부터 최근까지도 맹위를 떨치고 있는 컨피커(Conficker)라는 웜(Worm) 때문에 발생한 문제였다. 이 웜에 감염된 PC는 마이크로 소프트(MS)를 포함해서 보안업체 웹 페이지로 접속을 할 수 없게 만들어서 백신을 통한 치료를 못하게 만든다. 이처럼 악성코드들이 진단과 치료하기를 까따롭게 만드는 형태로 발전하고 있고 해당 웜의 변종이 계속적으로 출현하고 있어서 치료에도 굉장히 어려운 점이 많은 상황이다. 최근에는 마이크로 소프트가 컨피커 웜을 만들어낸 사람을 체포할 수 있는 결정적인 정보를 준 제보자에게 25만 달러의 사례금을 준다고도 밝혔다.

컨피커 웜과 함께 2090 바이러스로도 아주 시끄러웠었다. 게다가 이것들의 변종(2070 바이러스)도 지속적으로 출몰하고 있어서 백신업체들이 더 큰 문제들로 골머리를 앓게 되었다.

 

변종 바이러스는 무엇?

 

아주 예전에는 잡지 등에 바이러스 소스가 공개되면서 변종바이러스에 전파에 기여(?)를 한적도 있었다. 최근에는 인터넷 상으로 바이러스 소스가 공개되면서 수 많은 변종을 만들어 내기도 하고 있다. 또는 기존의 바이러스를 분석, 수정해 만들어 내기도 하는데 상당 수의 바이러스가 독창적인 것이 아니라 내부 수치를 약간 수정한 변종으로 판단된다. 또한 생성기 툴들이 공공연하게 퍼지면서 바이러스 제작과 배포를 용이하게 만들었다.

전문가가 아닌 사람도 변종 바이러스를 만들 수 있나?

 

기존에는 바이러스를 제작하기 위해서 컴퓨터 내부를 깊숙하게 알고 있어야만 했다. 하지만 바이러스 제작자들은 매크로라는 기능을 이용해 좀더 쉽게 바이러스를 제작하고 변종 또한 쉽게 만들 수 있게 되었다.

매크로란 정해진 명령어들을 조합해 새로운 하나의 명령어로 만들어서 실행시키는 방법을 말한다. 이를 이용하면 아주 단순한 기능이 미리 정의된 여러 명령어를 조합해 유용한 기능의 새로운 명령어를 만들고, 하나의 프로그램과 유사한 형태도 만들어낼 수 있다.

 

매크로 바이러스는 대개 오피스 프로그램의 매크로 기능을 통해서 동작이 되므로 그에 맞는 예방방법도 있다. 아래는 'MS오피스 엑셀 2007' 에서 매크로 바이러스를 예방 할 수 있는 방법이다. 오피스 프로그램에 보안설정이 있다는 것이 재미있지 않은가?

1. 상단 오피스 아이콘을 선택한다.
2. 'Excel 옵션' 을 선택한다.
3. 왼쪽 메뉴의 '보안 센터'를 선택한다
4. '보안 센터 설정...' 버튼을 누른다.
5. 왼쪽 메뉴의 '매크로 설정'를 선택한다
6. '모든 매크로 제외' 중 둘 중 하나를 선택하고 '확인' 버튼을 누른다.

 

변종 바이러스의 이름은?

만약 같은 바이러스인데 변종으로 판명된 경우 안철수연구소에서는 바이러스 이름 뒤에 숫자 또는 영문자 알파벳으로 사용하는 경우가 있다. 숫자 표시는 바이러스 코드의 크기를 바이트(byte)로 표시하는 것이고, 알파벳 표시는 변종이 발견되는 순서에 따라서 B부터 순차적으로 이름을 붙여나가는 것이다. 이것은 백신업체에서 임의로 정하는 것이므로 백신업체마다 또는 국가에 따라 다를 수 있다.

백신에서도 변종 바이러스는 제대로 치료하지 못한다고 하던데…

 

이 말은 맞기도 하고 틀리기도 한 얘기라고 볼 수 있다. 근래의 패턴을 보게 되면 바이러스가 나오게 되면 곧바로 백신에 의해서 진단 및 치료가 되게 될 것이다. 바이러스 제작자는 자신의 바이러스가 백신에 의해 진단되는 것을 보고, 기존의 바이러스 코드를 살짝 고쳐서 변종들을 다시 배포를 한다. 이때 기존 제작자 외에 다른 그룹의 사람들까지 합세를 하게 되면 변종 바이러스가 엄청나게 퍼질 수 있게 되는 것이다. 그래서 변종 바이러스의 종류가 많고 빠른 속도로 퍼지게 되고 있을 때 백신에서 그 대응이 늦어진다면 바이러스 진단 및 치료를 못한다는 얘기가 나오는 것이다.

보안업체의 대응능력 차이는 보유하고 있는 바이러스 검사기술에서도 구분을 할 수 있을 것 같다. 바이러스 검사 방식 중 대표적인 것이 시그니쳐(파일 고유값) 검사 방식인데 이 방식으로는 변종을 제때에 잡아내기 힘들 수 있다. 이런 경우는 프로그램 동작방식을 분석해서 감지하는 방법인 행위기반 탐지 기법을 사용하는데 이것은 알려지지 않은 위협 요소로부터 사전에 방어를 함으로서 변종 바이러스에 빠른 대처를 할 수 있다. 하지만 이 진단 방식은 오진 가능성이 높다는 단점이 있어서 백신회사에서는 정밀하게 검사할 수 있는 기술을 갖춰야 한다.

위에서 말한 정밀한 검사기술만큼이나 중요한 것이 보안업체의 빠른 대처능력일 것이다.  보안업체는 365일 24시간 긴급 분석, 대응체계 등을 갖출 필요가 있다. 물론 국내외의 유력 보안업체들은 이미 이런 대응 시스템을 갖추고 있으므로 백신 이용자는 검사능력과 대응능력이 좋은 백신업체의 제품을 사용하라고 추천하고 싶다.

 

변종 바이러스를 막는 방법은?

 

변종 바이러스도 기존의 바이러스 또는 스파이웨어에 대한 대응방안과 다를 것이 없다. 컴퓨터 보안수칙을 잘 지키는 것 만이 가장 안전한 길이라고 할 수 있다. 아래는 필자의 회사인 안철수연구소에서 귀가 따갑도록 말하고 있는 보안수칙이다. “꺼진 불도 다시 보자” 라는 유명한 말처럼 시대를 초월해서도 지켜져야 하는 수칙이 있는 것 같다.

 

윈도 운영체계는 최신 보안 패치를 모두 적용한다. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 PW를 동일하게 설정하지 않는다. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우에는 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. P2P 프로그램이나 인터넷으로 파일을 다운로드 할 때에는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈 되지 않도록 주의한다. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드 해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높다. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

 

칼럼니스트

이연조 | 안철수연구소 프로그래머

 

안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “IT 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.