2009년을 뒤흔든 10대 '악성코드'

일반입력 :2009/12/25 09:18

이설영 기자

컴퓨터 악성코드는 어제 오늘 일이 아니다. 매년 수많은 변종이 발생하면서 백신의 영향에서 벗어나려는 크래커들의 시도가 끊이지 않고 있다. 그러나 사용자들이 조금만 신경쓰면 이러한 악성코드에서 자유로울 수 있다.

그러나 대부분의 PC사용자들은 백신을 설치해 놓을 뿐 최신 업데이트를 하지 않거나 MS 최신 보안패치를 받지 않는 등의 부주의로 악성코드에 감염되는 사례가 발생하곤 한다.

국내의 경우 개인에게 무료로 제공되는 백신이 많이 있다. 컴퓨터 사양에 맞는 것을 골라 꼭 설치해야 한다. 기업에서는 기업용 백신을 설치해 기업의 중요한 파일이나 정보가 악성코드에 감염되지 않도록 해야한다. 백신 업데이트와 MS 최신 보안패치를 생활화하도록 하자.

'지피지기'면 '백전백승'이라는 말이 있다. 적을 알고 나를 알면 질 수가 없다는 뜻. 올한해 우리를 괴롭힌 악성코드에는 어떤 것들이 있었는지 살펴보고, 다가오는 2010년에도 이에 대비해야 할 필요가 있다.

■Worm.Win32.Conficker.169360

컨피커 웜은 지난해 10월부터 발견되기 시작해, 2009년에 많은 변종 악성코드들이 제작돼 윈도 시스템에 많은 피해를 줬다. 윈도 'MS08-067' 보안취약점, 이동식메모리(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파된다.

컨피커는 감염PC의 IP 정보를 서버에 저장하고, 특정 웹 페이지에 접속을 시도한다. 감염시스템의 보안을 취약하게 하기 위해 DNS 관련 API를 후킹하여, 마이크로소프트(MS)와 안티-바이러스 업체 사이트의 특정 문자열이 들어간 웹사이트에 접근하지 못하게 한다.

전세계적으로 대부분의 PC사용자들이 MS 운영체제(OS)를 사용하고 있는 만큼 이를 노리는 악성코드 제작자는 끊임없이 생겨나고 있다. 이에 대비하기 위해서는 수시로 MS 보안패치를 적용해 악성코드에 감염되지 않도록 주의해야 한다.

■I-Worm.Win32.Waledac.411136

2월14일 발견되기 시작했으며 '발렌타인데이 웜'으로도 불린다. 이메일을 통해 전파되며, 감염시스템에서 스팸 메일을 대량으로 발송해 트래픽 과부하를 일으키기도 한다. You have a A Valentine's Day Greeting! 이라는 메일 제목을 사용하며, 메일 내용의 해당 주소를 클릭하면 이미지와 함께 특정 링크에 클릭을 유도한다.

변종의 경우 발렌타인데이, 오바마 대통령 등 사회적 이슈를 이용해서 메일 수신자의 클릭을 유도해 악성코드를 설치한다.

특정일의 이슈를 이용한 바이러스는 해마다 증가하고 있다. 해를 거듭할수록 이미지나 링크를 이용한 위장메일 또한 진화를 거듭하고 있다. 그러므로 특정일을 기념하는 제목으로 수신된 메일 중, 신뢰하지 않는 메일은 바로 삭제하도록 해야 한다.

■Backdoor.Win32.IRCBot.15872.I

2월11일 발견되기 시작했다. 시스템 날짜를 2090년으로 바꿔 '2090 바이러스'로도 알려져 있다. 변종의 경우 감염 시스템의 날짜를 2070년 1월1일 오전 10시로 변경해서 '2070 바이러스'로 불린다.

윈도 'MS08-067' 취약점, 네트워크 공유폴더 및 USB를 통해 전파된다. 특정 IRC 채널에 접속을 시도하며, 트로이 목마를 다운로드 받기도 한다. 시스템 날짜의 변경으로 인해 감염시스템에서 서비스에 문제가 발생하기도 한다.

개인PC의 보안이 아무리 뛰어나도 공유폴더나 USB 메모리를 사용하는 경우에는 보안의 경계가 약해진다. 백신 설치 및 최신 업데이트를 통해 이를 예방하고, 오토런(AutoRun) 바이러스 감염 예방을 위해 USB 메모리는 자동실행 설정을 해제한 후 사용할 것을 권장한다.

■Spyware.NateOn.Dr

'네이트온' 스파이웨어는 과거 2001년부터 유행하던 MSN 바이러스와 비슷한 형태의 악성코드이다. 국내에서 많이 사용되는 네이트온 메신저를 통해 전파된다. 2009년 한해 동안 꾸준히 변종이 보고됐다. 변종에 따라 여러 종류의 사진을 보여주며, 유명 온라인 게임의 계정정보를 훔쳐내며 다른 악성코드를 감염 시킨다.

메신저는 24시간 대화가 가능하며, 파일을 주고 받는데도 용이하다. 편리한 만큼 악성코드에 의한 침해사고도 쉽게 이루진다. 따라서 백신의 실시간 감시기능을 켜두고 악성코드의 감염으로부터 PC를 보호하는 것이 현명하다.

■Trojan.Win32.DDoS-Agent.Gen

올해 국내 보안업계를 발칵 뒤집은 악성코드이다. 이 악성코드로 인해 '7.7 DDoS 대란'이라는 초유의 사태가 발생했다. 국가 공공기관, 금융권과 주요 포털사이트 등이 DDoS 공격에 의해 접속 지연 또는 서비스 중지 등이 발생했다. 전용백신을 무료로 배포하던 안티-바이러스 업체의 홈페이지도 공격 당할 정도로 사회적으로 문제가 되었던 악성코드이다.

사이버공격으로부터 보호받기 위해서는 공격을 감지할 수 있어야 한다. 최소한의 대응을 위해서는 1PC 1백신을 설치하고 최신 엔진 업데이트를 유지해야 한다.

■X97M.Joker

5월부터 발견되기 시작했다. 매크로 바이러스의 특성상 변형하기가 쉬워 계속해서 변종이 발생하고 있다.

엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시킨다. 초기 악성코드는 오후 4시 44분 44초가 되면 특정 파일을 삭제한 것처럼 메시지를 보여준 후 '뻥임' 이라는 메시지 창을 보여주지만 변종에 따라서 증상이 다르게 나타나기도 한다.

매크로 바이러스에 감염되면, 감염된 문서를 사용하는 동안 열려있는 중요한 문서들이 영향을 받는다. 따라서, 중요한 문서는 별도로 보관해 두고 저장하기 전에 반드시 백신으로 감염여부를 확인할 후 저장하는 습관이 가지도록 할 필요가 있다.

■Trojan.Win32.Clampi.513024

주로 소셜 네트워크 사이트나 메신저를 통해서 전파가 된다. 국내는 9월21일에 발견됐으며, 주로 영어 사용국의 은행이 표적이 됐다.

사용자가 금융사이트에 접속해서 인터넷 뱅킹 시도 시 로그인 정보를 가로채가는 악성코드다. 이 '클램피' 악성코드로 인해 아이디나 패스워드 등 개인정보가 노출돼 많은 금융거래 범죄에 이용됐다.

금융거래는 인터넷 메신저나 모바일, 전화 등의 간접매체를 통해서 요청하는 경우, 신뢰할 수 없는 경우가 많으니 주의하도록 하자.

■Trojan.Win32.Delf.15872.O

'델프(Delf)' 악성코드는 어도비 취약점을 이용해서 악성 PDF 파일을 생성한 후 이를 통해 전파되는 바이러스로 '다오놀(Daonol)'로 불리기도 한다.

국내에서는 10월14일에 발견돼, 계속해서 변종 바이러스가 발생하고 있다. 어도비 취약점을 이용해 전파되므로, 관련 제품의 최신 업데이트에 주의해야 한다. 감염 후 재부팅 시 검은 화면에 마우스만 나타나며, 정상적으로 부팅이 이루어지지 않는 부팅 장애를 일으킨다.

주로 사용하는 프로그램 목록을 확인하고, 불필요한 프로그램은 제어판의 '프로그램추가/제거' 통해 프로그램을 제거한다. 설치된 프로그램은 취약점을 보완할 수 있는 최신 업데이트 목록을 다운로드 받아 적용한 후 사용해야 한다.

■Spyware.Zbot

스파이웨어 'Zbot'의 변종 중 가장 이슈가 된 'Trojan.Win32.Scar'은 신종플루 관련 스팸메일 또는 해킹 당한 사이트를 통해 감염시킨다. 어도비 아크로밧리더의 파일 포맷 PDF의 취약점을 이용하며, 다른 악성코드를 다운로드하여 추가 감염 시킨다.

사회적 이슈는 악성코드 제작자의 좋은 표적이 되기 때문에, 이와 관련된 메일이나 사이트에 접속할 경우에는 각별히 주의해야 한다.

■Adware.SecurityTool.R

관련기사

허위 안티-스파이웨어로서 'Win32.Mndis.A' 등에 의해 윈도 시스템의 주요 파일을 패치 한 뒤 사용자에게 요금 결제를 유도한다. 변종에 따라 바탕화면의 아이콘을 보이지 않게 하거나, 블루스크린과 유사한 화면을 보여주고 강제로 재부팅 시킨다.

허위백신의 진단결과는 신뢰하지 않도록 주의한다. 허위백신의 경우에는 허위 감염정보를 보여주고 사용자의 결제를 유도하는 것이 주된 특징이다.