안철수연구소가 매월 발표하는 ‘시큐리티대응센터 리포트 3월호’에 따르면 지난해에 이어 올해도 온라인 게임 사용자 계정을 탈취하는 트로이목마가 맹위를 떨쳤습니다. 지난해 1분기에 6개에 불과한 것이 올 1분기에는 122개로 20배 이상 증가했다. 또한 스파이웨어를 비롯한 유해가능 프로그램의 경우 가짜 안티스파이웨어 제품으로 인한 피해가 증가했다고 합니다.
트로이목마는 2005년에는 주로 원격 제어, 웹사이트 변조, 프록시 서버 종류가 주류였습니다. 그러나 2006년은 국내 온라인 게임의 사용자 계정을 탈취하거나 다른 악성코드를 다운로드하는 종류가 증가했습니다. 해외는 이메일 웜 또는 은행 계정을 탈취하는 트로이목마가 기승을 부리는 것과 대조적입니다. 한편 올해 2월에는 이례적으로 트로이목마 제작 건수가 감소했는데 그 원인이 중국 최대 명절 휴일 때문인 것으로 추정될 만큼 중국산 악성코드가 차지하는 비중이 컸습니다.
또한 악성코드 피해 유형은 과거와 달리 국지적인 양상을 보이고 있다고 안연구소는 분석, 발표했습니다. 광범위하게 퍼지는 것의 증가세는 둔해진 반면 금전적 이익을 목적으로 특정 국가나 특정 IP 대역에서 피해를 일으키는 경우가 증가하고 있다는 것이죠.
피해 건수나 변형 건수 면에서 가장 큰 비중을 보인 악성코드가 악성 IRC봇 웜에서 트로이목마로 이동한 것도 두드러진 특징입니다. 이 같은 변화는 금전적인 이득을 취하려는 제작자들의 욕구에 기인한 것으로 분석됩니다. 또한 사용자들의 보안 의식 향상, 윈도 XP SP2의 보급과 정부 차원의 적극적인 계도 활동의 결과로 악성 IRC봇 웜의 감염 및 피해 보고가 감소한 것도 한 요인으로 보입니다.
가짜 안티스파이웨어 프로그램 중 최근 이슈가 된 것은 지난 2월 국내에서 제작된 비패스트(Befast)입니다. 2005년 12월부터 포털 사이트의 게시판이나 블로그에서 액티브-X 형태로 배포됐으며 약 25만 대의 컴퓨터에 설치된 것으로 추정됩니다. 일반적인 가짜 안티스파이웨어 프로그램이 임시 파일, 사용하지 않는 레지스트리를 진단하거나 정상 파일 또는 레지스트리를 진단하여 검사 결과를 과장하는 반면, 비패스트는 설치 시에 스파이웨어가 사용하는 레지스트리 키를 스스로 생성하고 이를 진단하여 검사 결과에 표시하며 치료 시 과금을 요구합니다. 이 방법으로 약 1억 8천만원의 부당 이익을 취한 비패스트 제작자는 4월에 가짜 안티스파이웨어 프로그램 제작자로는 국내 최초로 경찰에 구속됐습니다.
외국에서 제작된 가짜 안티스파이웨어 프로그램도 국내에서 많은 피해를 낳고 있어 외국 제품은 안전하다고 생각하는 일부 사용자들의 주의가 필요합니다. 안티바이러스골드(AntiVirusGold)에서 출발해 UI와 이름만 바뀐 형태로 지속적으로 유포되고 있는 것이 대표적이죠.
한편 웜과 결합된 스파이웨어도 속속 등장했습니다. IRC봇 웜이 감염된 컴퓨터에서 스파이웨어를 내려받아 실행되는 형태입니다. 제작자는 스파이웨어를 설치하고 성인, 도박 사이트 등에 방문을 유도해 트래픽을 발생시켜 웹사이트로부터 그 대가를 받는 방법으로 이익을 취한다고 합니다. 웜에 의해 설치되기 때문에 주로 보안에 취약한 컴퓨터에서 많이 발견되고 있으며 작년 12월부터 최근까지 꾸준한 피해를 주고 있는 것으로 밝혀졌습니다.
웜 제작자가 금전적인 이익을 목적으로 스파이웨어를 이용한다는 사실은 이미 알려진 사실이지만 최근 주체, 방법 등에서 웜과 스파이웨어의 관계가 구체적으로 밝혀지고 있습니다. 2006년 2월에는 워싱턴포스트에 한 미국 청년이 자신이 제작한 웜에 감염된 컴퓨터에 스파이웨어를 설치하고 한 달에 약 6,800 달러를 벌고 있다는 인터뷰 기사가 게재되기도 했습니다. 앞으로도 웜에 의한 유해가능 프로그램 설치 피해가 증가할 것으로 예상됩니다.
안철수연구소 시큐리티대응센터 강은성 상무는 “게임 계정을 빼내는 트로이목마나 가짜 안티스파이웨어의 기승은 금전적 이익을 노리는 범죄의 도구로 악용되고 있다. 사용자는 정보뿐 아니라 금전적 손실을 막기 위해서 정보보호에 각별히 신경써야 한다.”며 “안티바이러스, 안티스파이웨어 제품을 설치하는 것은 물론 항상 최신 버전으로 유지하는 것이 중요하다.”라고 강조했습니다. <장윤정 기자>
![[dataNet] 장윤정 기자](/image/newsroom/default-user.png)