스크랩

s-34 [Why] 컴퓨터 ‘악성코드’의 공격

이즘(ism) 2007. 12. 16. 08:26

 


윤종호 님께서 hohoho3801 님께 보내드리는 chosun.com 뉴스입니다.
윤종호 님이 전하는 말 :


[Why] 컴퓨터 ‘악성코드’의 공격


컴퓨터를 켰는데 파일 저장소인 C 드라이브가 감쪽같이 사라졌다면? 마이크로소프트(MS)가 보내온 저작권 침해 경고문을 클릭했더니 내 개인정보가 빠져나갔다면? 1~2년 전만 해도 황당하게 들렸을 상황이지만, 유감스럽게도 지금은 모두 현실이다. PC 사용자들을 공격하기 위한 ‘악성코드(malware)’가 날로 기상천외한 방법으로 진화하고 있다.

◆다양한 공격 유형=최근 네티즌들은 ‘해커 디펜더(BackDoor.HackDef.345)’라는 악성코드로 몸살을 앓았다. 이 악성코드에 감염되면, C 드라이브 내 모든 폴더와 파일이 사라져버린다. 때문에 네티즌들 사이에서는 인터넷 포털 등을 중심으로 큰 소동이 일어났다.

이전에도 C 드라이브 아이콘을 숨기는 경우는 있었지만, 폴더와 파일 전체가 사라지는 경우는 이번이 처음이었다. 이 같은 증상이 나타나는 이유는 해커 디펜더가 자신이 들어있는 장소를 찾지 못하도록 드라이브를 통째로 숨겨버리는 성질을 갖고 있기 때문이다. 또 이 악성코드에 감염되면 외부에서 임의로 네티즌의 PC에 악의적인 명령을 내릴 수 있게 된다.

최근 악성코드는 두 가지 목적을 위해 빠르게 진행되고 있다. 하나는 네티즌을 보다 많이 감염시키는 것이고, 또 하나는 해당 네티즌에게 발각되지 않은 채 최대한 오래 활동하는 것이다. 이를 위해 해커들은 악성코드를 기술적으로 진화시킬 뿐 아니라, 심리적으로도 네티즌을 속일 수 있도록 세련되게 변하고 있다.

최근 러시아에서 발견되고 있는 ‘사이버 러버(Cyber lover)’도 그러한 예다. 미국 온라인 뉴스 사이트 시넷(CNET)에 따르면 이 악성코드는 사람으로 가장해 상대방과 온라인 사이트에서 채팅을 나눈다. 목적은 개인정보 수집. 주로 이름, 연락처, 사진 등을 수집하며, 기능이 워낙 뛰어나 채팅 상대방이 프로그램인지 알아차리기조차 어렵다고 한다.

불법 소프트웨어 경고문으로 위장한 악성코드도 올해 처음 등장했다. 이 악성코드는 설치되자마자 MS 등 유명 소프트웨어 업체의 정식 경고문처럼 보이는 화면을 띄운다. 경고문에는 ‘소프트웨어 저작권 침해를 막기 위해, 윈도를 다시 띄우고 결제 정보를 입력해 주십시오’라고 써있다. 윈도를 껐다 켜서 결제 정보를 올리면 해당 정보는 곧바로 해커에게로 넘어간다.

◆달라진 목적=물론 보안업체들이 손을 놓고 있는 것은 아니다. 앞서 언급한 악성코드들은 치료 프로그램도 곧 개발됐다. 하지만 악성코드의 진화는 그치지 않고 계속되고 있다. 치료법이 나와도, 이를 뛰어넘는 새로운 방식의 악성코드가 금세 발견된다. 왜 그럴까?

전문가들은 악성코드가 만들어지는 목적이 변화했기 때문이라고 지적한다. 즉 예전 해커들은 단순히 자신의 실력을 자랑하기 위해서 악성코드를 만드는 경우가 많았다. 하지만 최근 이렇게 순수한 동기로 악성코드가 만들어지는 경우는 드물다는 것.

최근 해커들이 만드는 악성코드는 개인정보를 암시장에서 사고팔기 위한 경제적 목적이 더욱 강하다는 게 이들의 지적이다. 한 보안업체 관계자는 “최근 개인정보를 거래하는 암시장이 전 세계적으로 활성화됐다”며 “수천 대 컴퓨터에 악성코드를 설치, 공격할 수 있는 한 프로그램의 경우, 온라인에서 1000달러에 팔릴 정도”라고 말했다. 거래되는 개인정보는 주민등록번호는 물론, 신용카드·은행카드 등의 개인 식별번호(PIN), 온라인 사용자 계정, 이메일 주소 리스트 등 다양하다.

돈을 노린 해킹의 경우, 해커는 보다 쉽게 돈?! 막? 바꿀 수 있는 정보를 찾게 마련이다. 그 때문에 해킹의 피해는 점차 특정 지역, 특정 계층을 노리는 형태로 바뀌고 있다. 대표적인 예가 감파스(Gampass) 등 온라인 게이머를 노리는 악성코드다. 감파스의 경우 리니지·라그나로크 온라인·로한 등 아태지역에서 서비스 중인 한국 온라인 게임 사용자들의 아이디와 비밀번호만 집중적으로 빼낸다. 감파스는 2007년 상반기 아시아·태평양지역 감염률 1위를 기록했지만, 아·태지역을 벗어나서는 거의 피해가 일어나지 않았다. 전 세계 감파스 감염사고는 84%가 아·태지역에 집중됐다.

◆고심하는 보안업체들=악성코드의 진화를 놓고 보안업체들은 대책 마련에 애쓰고 있다. 점차 전문화, 집중화되는 최근 악성코드의 진화를 막기 위해서는 예전과 전혀 다른 대응 방법이 필요하기 때문이다. 시만텍코리아 윤광택 부장은 “과거의 악성코드 슬래머(Slammer)같이 수백만 대의 PC를 동시에 감염시켜 전 세계 누구라도 알 수 있도록 하는 공격 방식은 이제 찾아보기 힘들다”며 “대신 수면 아래에 은밀하게 숨어있는 공격 규모는 상상을 초월할 정도로 거대해진 상황”이라고 말했다.

이를 위해 실제 상황을 최대한 재현한 동적인 테스트가 중요하다고 윤 부장은 말했다. 또 해커들이 스팸·악성코드 등 다양한 수단을 통합해 공격해오는 만큼, 어떤 공격에도 대응할 수 있도록 종합적인 역량을 키우는 게 중요하다고 윤 부장은 덧붙였다.

오석주 안철수연구소 대표는 “컨설팅, 솔루션, 관제 서비스 등 전방위적이고 통합적인 보안대책을 내놓기 위해 준비 중”이라고 말했다.


◆악성코드=주로 웹페이지를 검색할 때, P2P(파일공유) 서비스를 이용할 때, 불법복제 프로그램을 사용할 때, 내부자(해커)가 직접 설치할 때, 전자우편의 첨부파일 또는 메신저 파일을 열 때 침투한다. 네티즌의 컴퓨터에 침투해 여러 가지 부작용을 일으킨다. 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동발송, 개인정보 유출 등이다. 효과나 감염 방식에 따라 컴퓨터 바이러스, 웜 바이러스, 트로이목마 등으로 다시 세분된다. 악성코드를 프로그램이라고 부르지 않는 까닭은 크기가 아주 작기 때문. 아주 작은 프로그램은 코드라 칭한다.


컴퓨터를 켰는데 파일 저장소인 C 드라이브가 감쪽같이 사라졌다면? 마이크로소프트(MS)가 보내온 저작권 침해 경고문을 클릭했더니 내 개인정보가 빠져나갔다면? 1~2년 전만 해도 황당하게 들렸을 상황이지만, 유감스럽게도 지금은 모두 현실이다. PC 사용자들을 공격하기 위한 ‘악성코드(malware)’가 날로 기상천외한 방법으로 진화하고 있다.

◆다양한 공격 유형=최근 네티즌들은 ‘해커 디펜더(BackDoor.HackDef.345)’라는 악성코드로 몸살을 앓았다. 이 악성코드에 감염되면, C 드라이브 내 모든 폴더와 파일이 사라져버린다. 때문에 네티즌들 사이에서는 인터넷 포털 등을 중심으로 큰 소동이 일어났다.

이전에도 C 드라이브 아이콘을 숨기는 경우는 있었지만, 폴더와 파일 전체가 사라지는 경우는 이번이 처음이었다. 이 같은 증상이 나타나는 이유는 해커 디펜더가 자신이 들어있는 장소를 찾지 못하도록 드라이브를 통째로 숨겨버리는 성질을 갖고 있기 때문이다. 또 이 악성코드에 감염되면 외부에서 임의로 네티즌의 PC에 악의적인 명령을 내릴 수 있게 된다.

최근 악성코드는 두 가지 목적을 위해 빠르게 진행되고 있다. 하나는 네티즌을 보다 많이 감염시키는 것이고, 또 하나는 해당 네티즌에게 발각되지 않은 채 최대한 오래 활동하는 것이다. 이를 위해 해커들은 악성코드를 기술적으로 진화시킬 뿐 아니라, 심리적으로도 네티즌을 속일 수 있도록 세련되게 변하고 있다.

최근 러시아에서 발견되고 있는 ‘사이버 러버(Cyber lover)’도 그러한 예다. 미국 온라인 뉴스 사이트 시넷(CNET)에 따르면 이 악성코드는 사람으로 가장해 상대방과 온라인 사이트에서 채팅을 나눈다. 목적은 개인정보 수집. 주로 이름, 연락처, 사진 등을 수집하며, 기능이 워낙 뛰어나 채팅 상대방이 프로그램인지 알아차리기조차 어렵다고 한다.

불법 소프트웨어 경고문으로 위장한 악성코드도 올해 처음 등장했다. 이 악성코드는 설치되자마자 MS 등 유명 소프트웨어 업체의 정식 경고문처럼 보이는 화면을 띄운다. 경고문에는 ‘소프트웨어 저작권 침해를 막기 위해, 윈도를 다시 띄우고 결제 정보를 입력해 주십시오’라고 써있다. 윈도를 껐다 켜서 결제 정보를 올리면 해당 정보는 곧바로 해커에게로 넘어간다.

◆달라진 목적=물론 보안업체들이 손을 놓고 있는 것은 아니다. 앞서 언급한 악성코드들은 치료 프로그램도 곧 개발됐다. 하지만 악성코드의 진화는 그치지 않고 계속되고 있다. 치료법이 나와도, 이를 뛰어넘는 새로운 방식의 악성코드가 금세 발견된다. 왜 그럴까?

전문가들은 악성코드가 만들어지는 목적이 변화했기 때문이라고 지적한다. 즉 예전 해커들은 단순히 자신의 실력을 자랑하기 위해서 악성코드를 만드는 경우가 많았다. 하지만 최근 이렇게 순수한 동기로 악성코드가 만들어지는 경우는 드물다는 것.

최근 해커들이 만드는 악성코드는 개인정보를 암시장에서 사고팔기 위한 경제적 목적이 더욱 강하다는 게 이들의 지적이다. 한 보안업체 관계자는 “최근 개인정보를 거래하는 암시장이 전 세계적으로 활성화됐다”며 “수천 대 컴퓨터에 악성코드를 설치, 공격할 수 있는 한 프로그램의 경우, 온라인에서 1000달러에 팔릴 정도”라고 말했다. 거래되는 개인정보는 주민등록번호는 물론, 신용카드·은행카드 등의 개인 식별번호(PIN), 온라인 사용자 계정, 이메일 주소 리스트 등 다양하다.

돈을 노린 해킹의 경우, 해커는 보다 쉽게 돈?! 막? 바꿀 수 있는 정보를 찾게 마련이다. 그 때문에 해킹의 피해는 점차 특정 지역, 특정 계층을 노리는 형태로 바뀌고 있다. 대표적인 예가 감파스(Gampass) 등 온라인 게이머를 노리는 악성코드다. 감파스의 경우 리니지·라그나로크 온라인·로한 등 아태지역에서 서비스 중인 한국 온라인 게임 사용자들의 아이디와 비밀번호만 집중적으로 빼낸다. 감파스는 2007년 상반기 아시아·태평양지역 감염률 1위를 기록했지만, 아·태지역을 벗어나서는 거의 피해가 일어나지 않았다. 전 세계 감파스 감염사고는 84%가 아·태지역에 집중됐다.

◆고심하는 보안업체들=악성코드의 진화를 놓고 보안업체들은 대책 마련에 애쓰고 있다. 점차 전문화, 집중화되는 최근 악성코드의 진화를 막기 위해서는 예전과 전혀 다른 대응 방법이 필요하기 때문이다. 시만텍코리아 윤광택 부장은 “과거의 악성코드 슬래머(Slammer)같이 수백만 대의 PC를 동시에 감염시켜 전 세계 누구라도 알 수 있도록 하는 공격 방식은 이제 찾아보기 힘들다”며 “대신 수면 아래에 은밀하게 숨어있는 공격 규모는 상상을 초월할 정도로 거대해진 상황”이라고 말했다.

이를 위해 실제 상황을 최대한 재현한 동적인 테스트가 중요하다고 윤 부장은 말했다. 또 해커들이 스팸·악성코드 등 다양한 수단을 통합해 공격해오는 만큼, 어떤 공격에도 대응할 수 있도록 종합적인 역량을 키우는 게 중요하다고 윤 부장은 덧붙였다.

오석주 안철수연구소 대표는 “컨설팅, 솔루션, 관제 서비스 등 전방위적이고 통합적인 보안대책을 내놓기 위해 준비 중”이라고 말했다.


◆악성코드=주로 웹페이지를 검색할 때, P2P(파일공유) 서비스를 이용할 때, 불법복제 프로그램을 사용할 때, 내부자(해커)가 직접 설치할 때, 전자우편의 첨부파일 또는 메신저 파일을 열 때 침투한다. 네티즌의 컴퓨터에 침투해 여러 가지 부작용을 일으킨다. 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동발송, 개인정보 유출 등이다. 효과나 감염 방식에 따라 컴퓨터 바이러스, 웜 바이러스, 트로이목마 등으로 다시 세분된다. 악성코드를 프로그램이라고 부르지 않는 까닭은 크기가 아주 작기 때문. 아주 작은 프로그램은 코드라 칭한다.