스톰 웜 스팸, 유튜브를 공격하다

스팸 제작자들이 유튜브의 “친구 초대하기” 기능을 이용해 동영상 공유 사이트인 유튜브에서 스톰 트로이 목마 바이러스가 포함된 스팸 메일을 보내고 있다.보안 회사인 마샬의 제품 관리 담당 이사인 브래들리 안스티스에 의하면 유튜브 사용자들은 친구들에게 현재 보고 있는 동영상이나 자신이 게시한 동영상을 보라고 초대할 수 있다. 이 기능을 사용하면 자기 계정에서 어떤 주소로든 이메일을 보낼 수 있다. 스팸 제작자들이 현재 이용하고 있는 것이 바로 이 기능이다.유튜브를 이용한 이 스팸 메일은 X박스 소유자들을 목표로 메일을 수신한 사람들에게 인기 게임인 헤일로 3의 프라이즈 버전을 수집하라고 유혹한다. 안스티스는 “winhalo3”으로 연결된 링크를 클릭하면 스톰 트로이 바이러스가 들어 있는 파일로 연결된다고 말했다.현재까지 마샬은 유튜브 계정에서 발신이 된 것으로 생각되는 스팸 메일 메시지를 약 15만건이나 추적했다.지난 8월에도 많은 수의 핫메일 계정과 지메일 계정을 생성하도록 만들어진 트로이 목마 바이러스를 보도한 적이 있는 마샬은 이 이메일 메시지가 사인업 프로세스의 취약점을 이용한다고 말했다. 안스티스는 유튜브의 경우에도 비슷한 취약점을 이용하고 있다며 스팸 제작자들이 지능형 문자 인식(ICR) 소프트웨어를 사용해 흔히 캡차(Captcha)라고 하는 검증 시스템을 빠져나간다고 덧붙였다.사용자가 화면에 나타난 흐리거나 간격이 고르지 않은 선택된 문자와 숫자를 입력란에 다시 입력해야 새 계정을 발급해 주는 캡차 시스템을 이용하면 실제 사용자가 아닌 소프트웨어 프로그램이 서비스를 신청하기 어렵다.하지만 안스티스는 “이런 종류의 시스템을 무너뜨리는 방법이 있다. 서비스 공급자들은 시스템이 무너지지 않게 하는 방법을 살펴보아야 한다”라고 말했다.유튜브 지원 센터도 사용자들에게 (안스티스가 스팸 제작자들이 이용하는 것 같다고 말한) service@youtube.com 이메일 주소를 스팸 필터링 목록에서 삭제하라고 제안한다.보안 벤더인 소포스도 유튜브 스팸 문제를 보고했다. 소포스의 수석 기술 컨설턴트인 그래이엄 클룰리는 이번 경우는 일반적으로 스팸 메일을 보내는 데 PC를 이용하는 스톰 웜 바이러스와 기법에서 차이가 있다고 말했다.클룰리에 의하면 유튜브 스팸 사건은 정크 메일 발송자들이 진보하고 있음을 의미한다. 스팸 메일을 배포하는 데 봇넷을 이용하는 것이 아니라 유명한 웹 사이트를 이용해 메시지를 전달하기 때문이다.마샬의 안스티스는 이 사기 사건은 봇넷 컨트롤러가 제3자를 통해 더 많은 봇넷을 확보하는 아웃소싱형 봇넷 확장 기법이 나타날 것이라는 전조라고 말했다.그는 “이제 사용자들은 봇넷 네트워크를 임대하여 기술 지원부를 둘 수 있다. 예를 들어, 스팸 제작자가 봇넷을 임대하여 봇넷 소유자의 기술 지원 및 많은 양의 대역폭을 갖춘 거대한 리소스 풀이 포함된 봇넷을 이용하는 일이 가능하다”고 설명했다. 이어 “이것은 또 하나의 비즈니스가 될 수 있다. 즉, 트로이 목마 사업자들에게 네트워크 확대를 지원하는 서비스를 판매하는 사업이다. 예를 들어 트로이 목마 네트워크 운영자가 보트를 하나 확보해 주는 사람에게 20센트씩 주는 방식의 사업이 될 것”이라고 말했다. @