「오픈 소스 환경」속에서 진화하는 루트킷

보안 업체 맥아피(McAfee)는 해커가 악질적인 소프트웨어를 숨기기 위해 이용하는 루트킷(rootkit)이 증가하면서 더욱더 복잡해지고 있다고 지적했다.1분기에 맥아피의 애버트 랩(Avert Labs)이 확인한 루트킷의 수는 전년 대비 700% 증가였다고 했다. 맥아피의 스텔스 테크닉(stealth techniques) 조사는 소니 BMG의 저작권 침해 방지 툴과 같은 상용 프로그램이나 불필요한 애드웨어 번들된 위장 기술에 대해서도 언급하고 있다.맥아피가 발표한 리포트에 의하면 이러한 테크닉을 사용해 컴퓨터상에서의 활동을 숨기는 방법은 1986년즈음부터 존재하고 있었지만, 그 수가 급증하면서 복잡화 된 것은 최근 3년의 일이라고 한다. 애버트 랩에서는 1분기에만 827 종류 이상의 은닉 기술을 발견했다. 이에 대해 2005년 동기에게 발견된 수는 약 70 종류, 그 해 전체적으로도 약 769 종류였다.맥아피의 글로벌 위협 보안 담당 시니어 부사장 스타트 맥쿨르(Stuart McClure)는 성명 속에서 “ 맬웨어가 이와 같이 진화해 나가면서 기업이나 소비자 등에게 변함 없이 위협을 주고 있는 맬웨어에 대한 불안이 엄습해 올 것이다”고 말했다.해커들 사이에서는 스텔스 코드 개발의 「오픈 소스 환경」이 있어 그로 인해 급성장하고 있다고 맥아피는 말하고 있다. 협업 사이트나 블로그에는 루트킷의 실행용 바이너리코드 뿐만 아니라 이 기술을 재컴파일해 강화하기 위한 수백 라인의 루트킷 코드도 있다고 한다.그 결과 공격자는 대상 OS에 관한 깊은 지식이 없어도 스스로의 악질적인 파일, 프로세스, 그리고 레지스트리 키를 숨기는 수단을 쉽게 작성할 수 있다.이 리포트의 작성자는 “컬러보레이션은 스텔스 기술 뿐만 아니라 이것으로 인해 새롭고 보다 교묘한 스텔스 테크닉의 개발이 진행된다”고 말하고 있다. 프로그램의 복잡성으로 판단할 때, 소프트웨어 내부의 컴포넌트 파일수를 계산하는 등 방법이 이용되었다. 이 리포트에 의하면 1분기 중에는 612 종류의 스텔스 컴포넌트가 애버트 랩에 보고되어 왔지만, 전년 동기는 60건이었다고 한다. 또 1분기의 숫자는 2005년과 거의 같았다. @