오픈소스로 퍼지는 악성코드에 보안업체 골머리

일반입력 :2014/05/05 15:44

손경호 기자

악성코드는 수시로 변종이 등장한다.변종이 창궐하는 것은 악성코드 소스코드가 구글 안드로이드 운영체제(OS)처럼 오픈소스 형태로 공개되고 있는 것과도 무관치 않다. 소스가 공개되면 원래 악성코드 제작자 뿐만 아니라 다른 해커들도 손쉽게 소스코드를 구해 일부 내용을 바꿔 새로운 기능을 추가할 수 있다. 이렇게되면 탐지도 어려워진다.

2일 국내 보안업계 관계자들에 따르면 오픈소스 형태로 퍼지는 악성코드의 가장 대표적인 사례가 '고스트랫(Gh0st RAT)'이라는 해킹툴이다. 2007년께 처음 발견된 이 해킹툴은 사용자가 키보드로 입력한 정보를 가로채는 '키로깅, 분산서비스거부(DDoS) 공격, 파일복사, 웹캠 화면 탈취 등 기능을 가졌다.

안랩 ASEC 블로그에 따르면 지난달 국내서 발견된 인터넷뱅킹용 악성파일 내에 고스트랫 기능이 추가됐다는 사실이 알려지기도 했다. 수많은 변종들이 출현하면서 안랩, 하우리 등 백신회사들은 대응에 애를 먹고 있다. 안랩 관계자에 따르면 하루 평균 400만개에 달하는 변종 악성코드들이 출현하고 있는 상황이다.

최근 노트북이나 PC에 설치된 웹캠으로 악성코드를 유포하는 고스트랫 변종 역시 중국에서 손쉽게 구할 수 있는 해킹툴을 악용했다.

하우리는 이 악성코드가 본래 사용자 PC 내에 금융정보 등을 탈취하는 목적으로 유포됐으나 웹캠을 감시할 수 있는 기능이 악용될 수 있어 주의가 필요하다고 밝혔다.

하우리 최상명 차세대보안연구센터장은 최근 여성 화장품 쇼핑몰, 여성 관련 연맹, 여성 교육기관 등 주로 여성들이 방문하는 웹사이트를 노린 고스트랫 변종이 발견됐다고 말했다.

3월 말에는 인터넷 개인방송 아프리카TV 여성 방송진행자(BJ)가 사용하는 PC를 해킹해 웹캠으로 사생활을 엿보고 알몸 사진과 동영상을 몰래 촬영한 뒤 협박한 모 대학 대학생이 불구속 입건되는 사건이 발생하기도 했다. 고스트랫 변종은 대부분 중국에서 개발되지만 국내 사용자들 사이에서도 악용될 가능성이 높다.

고스트랫 변종은 기존 악성코드들과 마찬가지로 인터넷익스플로러(IE), 자바, 어도비 플래시 등에 적용되는 보안취약점을 악용해 사용자 정보를 탈취한다.

관련기사

문제는 변종을 막기가 쉽지 않다는 점이다. 최 센터장은 백신에 탐지가 되지 않도록 고스트랫 변종과 같은 악성코드들이 '실행압축'이라는 기술을 악용해 악성파일을 난독화 시키고 있어 실시간 대응이 쉽지가 않은 것이 사실이라고 밝혔다.

이에 따라 백신을 통한 사후대응과 함께 사전방역에 초점을 맞춘 보안기술들이 등장하고 있다. 하루에만 수백만개가 발견되는 악성코드 정보(시그니처)를 백신에 업데이트하는 것에 더해 악성코드가 노리는 보안취약점(익스플로잇)을 없애는 방식으로 보완해 나가고 있다는 설명이다.