1. 웜의 진보와 기술동향(이번 호)
2. 네트워크에서의 웜 방어
3. 시스템 레벨에서의 웜 방어
웜 전파 속도·전파 경로·출현 시기 등 다양 … 수많은 변종으로 탐지·방어 어려워
“웜의 출현·전파 경로를 먼저 파악하라”
이동범 어울림정보기술 시스템보안사업부장
1988년 모리스 웜(Morriss Worm)이 최초로 발견, 보고된 이후 현재까지 수많은 웜이 보고되고 그 피해사례가 매스컴을 통해 전달되고 있다. 88년 모리스 웜의 경우 수일에 걸려 6천여대의 PC를 감염시킨 반면 작년 1월 25일 MS SQL 슬래머(Slammer) 웜의 경우 30분내에 국내 모든 네트워크를 통해 전파돼 심각한 피해를 입힌 바 있다.
매번 이와 같이 웜으로 계속해서 피해를 입는 원인은 무엇일까? 그리고 이를 해결할 방안은 없는 것인가? 웜의 최근 동향 및 기술 진보 그리고 웜에 대해 대처할 수 있는 효과적이고 효율적인 방안은 무엇인지 알아본다. <편집자>
A : 내 PC가 이상해, 갑자기 사용하는데 느려지고.. 좀 고쳐줘.
B : 바이러스 백신(Virus Vaccine) 돌려봐!
A : 벌써 해 봤어, 깨끗하다는데….
B : 아닐꺼야 다시 해봐, 아니면 다른 바이러스 백신으로 돌려봐.
사용자 A : 인터넷이 안돼요.
네트워크 팀장 : 잠시 기다려 주세요. 확인해 보겠습니다.
네트워크 팀장 : 빨리 확인해봐, 왜 갑자기 인터넷이 안되는거야?
네트워크 담당자 : 마케팅부 스위치가 행(Hang; 속도저하) 걸렸습니다.
네트워크 팀장 : 왜 그래?
네트워크 담당자 : 마케팅부서 PC 하나가 웜 때문에 트래픽을 많이 발생해서 그런것 같습니다.
전산 관리자라면 위와 같은 상황을 접해 보았을 것이다. 이미 대부분이 백신을 사용하고 있는 상황인데 백신에서는 웜을 탐지하지 못하고 또한 웜에 감염된 하나의 PC로 인해 로컬 네트워크 전체가 마비되는 사태가 종종 발생하는 게 현실이다. 고객들은 다양한 보안솔루션, 네트워크 기반 보안솔루션 또는 PC 보안솔루션을 사용하고 있는 상태지만, 그럼에도 불구하고 여전히 웜으로부터 피해를 입는 것은 초기 솔루션들의 웜에 대한 대응 프로세스에서 일차적으로 한계점을 찾을 수가 있다.
웜에 대한 대응 프로세스는 통상 다음과 같이 이뤄진다.
보통 공격 웜이 발생 → 피해 접수 → 백신 및 패턴 제작 → 사용자 또는 장비에 설치되는 절차를 거친다
이와 같은 대응절차는 고객 중 누군가의 피해사례가 접수된 이후의 과정이다. 결국 누구 하나는 반드시 피해를 입고 나서야 이에 대한 해결을 하는 사후약방문식의 방법밖에 될 수 없다. 또한 각 솔루션들의 대응방식과는 별도로 웜 공격 자체 역시 진보함에 따라 점점 한계점을 드러내게 되었다.
현재의 웜은 그 전파 속도, 전파되는 경로, 출현 시기, 다양한 변종 등 계속해서 진화하고 있다.
한국정보보호진흥원에 따르면 최근 웜의 유형은 다음과 같다.
· 이메일 이용한 웜의 스팸메일화
· 백신공격형 웜의 증가
· 웜과 바이러스의 결합(빠른 전파력 + 파괴력)
· 취약점 공격형 웜 증가
· 정보유출형 웜의 지속화
· 메신저, P2P용 프로그램이 웜의 전파경로로 이용
· 네트워크 공유폴더를 통한 전파에 대한 무방비
· CIH 바이러스의 피해 감소
이러한 웜의 유형을 종합해보면 최근의 웜의 기술동향은 크게 4가지로 구분할 수 있다.
1. 웜의 전파 속도
웜 전파방법의 다양화 및 지능화, 오늘날 네트워크 인프라의 고속화, PC 성능 향상에 따라 전 세계 취약한 시스템의 90%가 10분에 감염될 수 있는 환경이 조성돼 있다. 앞서 언급한 1988년 모리스 웜의 경우 수일에 걸려 6천여대를 감염시킨 반면 2001년 코드레드/님다의 경우 미국에서 국내 상륙까지 반나절이 소요됐으며 2003년 SQL 슬래머 웜의 경우 10분에 7만4천855대의 SQL 서버를 감염시켰다.
2. 웜의 출현속도
과거에는 시스템의 보안 취약점이 보고되면 해당 보안 패치가 발표되고 난 이후에 보안 취약점을 이용한 악성코드(웜)가 등장했다.
하지만 현재는 보안 패치와 취약점을 이용한 악성코드, 어느 것이 먼저 나온다고 단정할 수 없다. 이는 보안 패치 제작을 위해 소스코드가 인터넷상에 올라가는 불가피한 상황에 따른 문제이기도 하다.
또한 주목해야 할 부분은 보안취약점이 발견된 직후 이를 이용하는 웜 등장 주기가 점점 단축화되고 있다는 점이다.
<그림 1>에서 보듯이 과거에는 보안 취약점이 발견된 후 이를 이용해 확산되는 바이러스가 나타나기까지 보통 1년 정도가 걸렸지만, 이 주기가 점점 짧아져 최근에는 이틀만에 나오는 경우도 있어 심각성이 크다
실제 지난 2001년 9월 18일 등장해 세계 각국을 공포에 떨게 만든 님다 바이러스는 보안 취약점이 발견된 후 336일 후에 바이러스가 나왔지만 지난해 1월 25일 우리나라 인터넷을 마비시킨 슬래머 웜은 SQL서버 취약점 발견 후 185일 만에 등장했다. 또 작년 8월 11일부터 기승을 부린 블래스터 웜은 그 주기가 더욱 짧아져 윈도의 보안 취약점이 발견 후 26일밖에 걸리지 않았다.
심지어 지난 3월 20일 처음 나타난 위티 바이러스는 특정 보안제품에 있는 보안 취약점이 발견한 지 불과 이틀만에 만들어졌다. 이처럼 취약성을 이용한 웜 출현 주기가 갈수록 빨라지면서 보안 취약점이 발견되자마자 바이러스가 등장해 보안 패치 파일을 설치할 시간적 여유가 없게 돼 피해가 커지는 이른바 제로데이 공격의 가능성이 현실로 나타날 수 있다는 우려마저 제기되고 있다.
3. 다양한 변종
웜에 대한 대처가 어려운 이유 중 또 다른 한 요소는 다양한 변종 때문이다. 이는 그 방법이 쉽고 또한 지난 1, 2월에 보고된 넷스카이(Netsky)와 베이글(Bagle)은 경쟁이나 하듯 하루에 여러 번의 변종 웜이 출현하고, 6월까지 넷스카이 33개, 베이글 41개가 발생하는 등 웜에 대한 명명규칙(Naming Rule)을 변경할 정도로 유독 극성을 부렸다.
서명(Signature)을 이용해 웜을 방어하는 경우 이와 같은 변종에 대해 보고된 바가 없어 탐지를 하지 못하는 어려움이 있다.
4. 다양한 전파방법
웜의 전파유형은 다음과 같다.
첫째, 이메일을 통해 전파되는 웜(넷스카이, 베이글, 마이둠 등 240여 종중 그 발생빈도가 가장 높다)
보통 친구나 동료 등 아는 사람으로부터 보내진 메일을(물론 친구가 보내진 않았다) 수신하고 첨부파일을 실행시켰을 경우 웜 프로세스가 주요 시스템 디렉토리 및 레지스트리에 번식을 시도하고 이후 웜 프로그램이 임시 디렉토리에 자정되어 자동 실행된다. 이때 PC의 다양한 파일들 중에서 이메일 주소록 파일을 웜 프로세스가 추출해 또 다른 누군가에게 웜 메일을 전파하게 된다.
이러한 웜에 대해 보낸 사람이 모르는 사람이거나 혹은 제목이나 발신자 주소가 이상한 경우 바로 삭제토록 조치하고 있는 것이 현 실정이다.
둘째, OS 서비스 취약성을 이용하는 웜이다.
이는 그 빈도수는 적으나 그 전파속도나 파괴력은 메일을 통해 전파되는 웜보다 강력하다.
DCOM, RPC 등 윈도 시스템상에 보고된 취약성을 이용해 버퍼 오버플로우(Buffer Overflow)를 유발시킴으로써 시스템을 장악하고 이후 시스템 권한을 획득함으로써 웜에 감염토록 한다. 이후 웜에 감염된 PC는 특정 서브넷에 대한 브로드캐스팅 등 네트워크 대역 폭을 잠식하고 다른 PC에 대해 공격을 시도하게 된다.
SQL 슬래머 웜, 블래스터, 웰치아, 새서 등이 OS 및 서비스의 취약성을 이용하는 형태의 웜으로 현재 조치는 해당 취약성에 대한 주기적인 패치를 하도록 권장하고 있다.
셋째 윈도 공유 매커니즘을 이용하는 웜이다.
Sd봇(SdBot), 아고봇(AgoBot) 등 봇(Bot) 시리즈가 대표적인 경우다. 윈도XP/2000의 경우 기본적으로 관리목적의 공유폴더가 있다.
아고봇의 경우 윈도 RPC DCOM 취약점과 관리목적공유폴더에 패스워드 추측 공격을 통해서 전파된다.
이 폴더들은 [드라이브 문자]$ 식으로 표현되며 이러한 폴더들은 관리자(Administrator)가 외부에서 네트워크로 액세스가 가능하도록 되어 있다. 이때 시스템의 계정정보가 필요한데 기본적으로 ID는 관리자임을 누구나 알고 있으며 패스워드의 경우 널(null) 값이거나 패스워드 추측(Password Guessing)이 가능한 유추하기 쉬운 패스워드의 경우 쉽게 시스템 관리자 권한을 획득할 수 있게 되는 것이다. 감염된 시스템은 원격에서의 시스템 액세스, 시스템 정보 획득, 그리고 서비스 거부 공격을 위한 DoS 에이젠트로서 역할을 수행하게 된다.
이러한 웜 공격의 경우 윈도의 숨겨진 공유 폴더와 공유 패스워드 추측에 의한 공격이므로 치료 후에도 계속 재발이 되며 또한 보안 패치 자체가 없다.
봇 시리즈의 경우 2002년 10월경 보고된 이후 현재까지 400여가지의 변종에 이를 정도로 다양하며 또한 웜 감염 시 네트워크 가용성을 위협할 정도로 피해 정도가 심각하다.
<그림 4>는 공격자가 아고봇 공격을 위해 사전에 RPC 서버 접속을 위한 컨피규레이션 화면을 나타내고 있다.
공격대상 PC들이 IRC 서버와 채널이 연결되면 공격자는 특정 명령어를 이용해 다양한 정보를 획득하거나 DDoS 에이전트로 작동하도록 조정할 수 있다.
