악성코드의 지능화, 국가별로 피해도 달라

2009.04.27

 

2009년 현재 세계적으로 하루에 약 2-3만개의 새로운 악성코드가 출몰하는 것으로 추정된다. 1년이면 730만개 ~ 1,095만개가 되는 엄청난 수의 악성코드인데 이 악성코드가 모두 사용자들에게 위협이 될까? 특별히 위험 가능성이 높은 악성코드는 없을까? 이 글에서는 악성코드의 국지성에 대해서 알아보겠다.

(1) 국지성 논쟁

1980년대 말 컴퓨터 바이러스가 처음 등장하면서 일부 바이러스는 세계로 퍼져나갔다. 이에 우리나라에도 다양한 국가에서 제작된 바이러스가 유입된다. 하지만, 바이러스 중 여러 지역으로 퍼져나간 바이러스보다는 특정 지역에만 잠깐 퍼졌다가 사라졌거나 연구목적으로 작성되어 일반에 퍼지지 않은 악성코드들이 많았다. 90% 이상이 이런 샘플들로 흔히 동물원(In-the-zoo) 샘플이라고 부른다.

1996년 1월 와일드리스트를 보면 37명의 리포터 보고 중 AntiCMOS.A나 AntiEXE.A 등의 바이러스는 무려 30 명에 근접하는 보고가 있음을 알 수 있다. 많은 지역에서 보고가 있는 악성코드는 플로피 디스크로 확산되는 부트 바이러스들로 이때만해도 바이러스의 주요 감염 경로 중 하나가 플로피 디스크였다.

 

1996년 1월 와일드리스트

이런 국지성의 붕괴는 인터넷 사용의 확산으로 발생한다. 인터넷 사용자가 급격히 증가하기 시작한 1990년대 말부터 악성코드 제작자들은 인터넷을 악성코드 배포에 활용하기 시작한다. 이에 악성코드는 지구 한편에서 제작되어 반대쪽으로 가는데 몇 초면 가능하게 된다. 주로 뉴스그룹, 메일을 통해 확산되던 악성코드들로 상당수 악성코드가 다수의 지역에서 발견되게 된다. 2001년 12월 와일드리스트를 보면 메일로 전파되는 악성코드는 세계 여러 지역에서 보고되는 것을 알 수 있다. 그야말로 악성코드에 국경이 사라진 것이다.

2001년 12월 와일드리스트 결과

하지만, 최근 악성코드가 예전처럼 널리 퍼지는 경우는 줄어 들게 된다. 와일드리스트를 참고해도 악성코드가 다수의 지역에서 보고되는 경우는 드물어 졌다. 2009년 2월 와일드리스트를 보면 최대로 많은 지역에서 발견된 악성코드가 고작 6곳이다.  

2009년 2월 와일드리스트

악성코드에게는 인터넷이라는 훌륭한 전파 방법이 있고 인터넷에 연결된 컴퓨터는 더 많아졌는데 왜 이전보다 널리 퍼지는 악성코드는 줄어들었을까?

(2) 악성코드의 국지화 원인

2004년부터 점진적으로 시작된 악성코드의 국지 성향이 현재 뚜렷해 졌는데 이는 다음과 같은 원인이 존재한다.

첫째, 악성코드 제작 목적의 변화

2003년 이후 악성코드 제작 목적은 실력 과시나 호기심이 아닌 금전적 이득으로 목적이 뚜렷해 진다. 초기 악성코드를 이용한 돈 벌기는 스팸 메일 발송과 DDoS 공격을 통한 협박 후 금품 탈취였다. 이후 애드웨어(Adware)를 통한 광고로 돈을 벌 수 있음에 눈을 뜨지만 광고는 필연적으로 사용 언어와 연관이 된다. 즉, 한국 지역에 광고하려면 한국어로 광고가 노출되어야지 영어나 중국어, 일본어로 노출되어봐야 효과가 없다.

이에 지역적 특색에 따른 금전적 이득 방안을 모색하기 시작한다. 악성코드 제작자들은 온라인 게임이 활성화된 국가에서는 사이버 머니(Cyber Money)나 게임 아이템이 금전적으로 거래되고 있음을 파악해 한국산 온라인 게임이 인기를 끌고 있는 아시아 지역은 온라인 게임 계정 탈취 악성코드가 유행하게 된다. 상대적으로 다른 나라에 비해 인터넷 뱅킹을 통한 금전적 이득은 힘들기 때문이다. 상대적으로 인터넷 뱅킹 보안이 허술한 남미에서는 자체적으로 제작되는 대부분의 악성코드가 인터넷 뱅킹을 목표로 제작된다. 이렇게 악성코드들이 국가 혹은 지역에 맞게 맞춤형으로 제작되고 있다.

둘째, 악성코드 유형의 변화

2000년 이전만 해도 악성코드의 상당수가 다른 파일을 감염시키는 바이러스나 웜이었다. 하지만, 현재 악성코드 중 자체 전파 기능이 없는 트로이목마류가 70%를 차지하며 여기에 광고 목적으로 제작되는 애드웨어를 포함하면 전체 악성코드의 약 70-80%가 자체 전파 기능이 없는 악성코드들이 차지하고 있다. 자체 전파 기능이 없는 트로이목마는 한번 배포 이후에는 다른 시스템을 재감염 되는 가능성이 낮다.

셋째, 악성코드 배포 방식의 변화

과거 악성코드 전파 방법은 메일, 네트워크가 대부분이었다. 하지만, 최근 악성코드 배포 방법은 웹 사이트를 해킹 한 후 취약점을 공격하는 코드를 삽입 후 사용자가 해당 웹 사이트를 방문 할 때 악성코드가 설치하는 방법이 많이 사용되고 있다. 웹 사이트를 통한 공격 역시 필연적으로 언어에 종속된다. 사용자들이 자신이 사용하는 언어로 작성된 웹사이트에 방문할 가능성이 높다.

넷째, 환경의 변화

공격을 위해 시스템을 감염 시킬 경우 과거보다 시스템이나 네트워크 환경이 좋아져서 몇 천대에서 몇 만대 혹은 심지어 몇 백대만으로도 소규모 웹사이트 공격이 가능해져 굳이 많은 시스템을 감염시킬 필요가 없다.


(3) 국지성 경향

맥아피에서 2008년 2월 발표한 McAfee Sage(Security Vision from McAfee Avert Labs Vol 2 – Issue 1)에 보면 인터넷으로 묶여 있어도 국가 별로 조금씩 다른 악성코드 양상을 볼 수 알 수 있다.

일본은 자국 P2P(Peer to Peer) 서비스인 위니(Winny)를 통해 전파되는 악성코드가 유행하고 있다. 중국은 QQ 메신저라는 자체 메신저가 전체 메신저 사용의 96% 이상을 차지하고 있어 QQ 메신저 계정을 탈취하는 트로이목마가 유행하고 있다. 또한 각종 해킹 연구 등이 활발하게 이뤄지고 있다.

중국의 메신저 점유율

러시아는 각종 악성코드가 제작되고 판매되고 있으며 브라질 등을 포함한 남미에서는 인터넷뱅킹 계정 탈취 트로이목마가 극성이다. 특히 최근 남미의 인터넷뱅킹 계정 탈취 트로이목마는 악성코드 제작자들이 협력해 다국적으로 실행될 수 있게 개선되기도 했다고 한다. 남미는 포르투갈어를 사용하는 브라질을 제외하고 스페인어를 사용하는데 악성코드가 접속하는 사용하는 언어를 인식해 필요한 언어를 보여준다고 한다.

자료에서 한국은 빠져있지만 한국은 온라인 게임 계정 탈취 트로이목마 등의 중국에서 제작된 악성코드가 유행하고 있는 특징이 있다.

(4) 지역 샘플 문제

백신 프로그램이 지역 샘플에 약한가 하는 이슈가 있다.

빠르게 전파되는 악성코드의 경우 글로벌 업체뿐 아니라 로컬 업체들도 샘플을 빨리 입수 할 수 있다. 하지만, 해당 지역 정보를 빨리 입수하지 못하면 특정 지역에서만 문제가 되는 악성코드의 경우 빠르게 대처하기 힘들 수도 있다.

예를 들어 2090 바이러스로 알려진 에임봇(Win32/AimBot.worm.15872)의 경우 우리나라에 발견된 게 2009년 2월 9일이며 2월 10일부터 감염 보고가 증가했다. 하지만, 2월 10일 당시 이 악성코드를 진단하는 백신 제품은 10 여개 뿐이었으며 다음 날인 2월 11일에 18개, 2월 12일에도 40개 제품 중 절반인 21개 정도였다. 악성코드 샘플 자체는 여러 경로로 백신 업체로 전달되었지만 수 많은 악성코드가 접수되어 처리가 늦어진 것으로 보인다. 특히 이 악성코드는 한국에서만 짧은 시간에 퍼졌다가 사라진 것으로 보인다.  반대로 특정 지역에서 짧은 시간에 확산되고 사라지는 샘플의 경우 국내에는 모르고 지나칠 수도 있다. 이에 백신 업체는 각 국의 정보를 수집하기 위해 노력하고 있다.

(5) 결론

악성코드는 계속 변화하고 있다. 도스 바이러스는 윈도우가 등장하면서 사라졌으며 폭발적으로 증가하던 매크로 바이러스나 메일로 전파되던 대량 메일 전파 악성코드 수가 미미할 정도로 줄어버렸다. 현재는 국지화와 다량의 악성코드를 계속 짧게 치고 빠지는 공격이 대체적이지만 언제까지 이와 같은 추세로 유지 될지는 알 수 없다. 환경 변화에 따라 악성코드는 언제든 변모할 수 있다. 예를 들어 인터넷 뱅킹을 통해 다른 국가 은행에도 자금 이체가 가능해지고 방식이 동일하다면 악성코드 제작자는 다시 특정 지역에 특화된 악성코드가 아닌 세계를 상대로 한 악성코드 전파 방안을 모색할 것이다.

악성코드 제작자들은 지역성에 맞게 악성코드를 계속 개선하고 있다. 초보적 단계이지만 IP를 확인해 메일 내용에 해당 지역의 지명이 들어가는 등의 형태로 사용자들의 호기심을 이용하거나 다국어를 지원하는 형태도 존재한다. 국내 사용자를 목표로 제작되는 악성코드 역시 국내에서 많이 사용되는 메신저를 목표로 하고 국내에서 많이 접속하는 웹 사이트를 해킹하기 위해 노력하고 있다.

이런 악성코드의 국지성이 장기적인 현상일지 일시적 현상일지는 계속 지켜봐야 할 것으로 보인다.

출처 : 안철수연구소 ASEC리포트 3월호