안철수연구소(대표 오석주 www.ahnlab.com)는 ‘시큐리티대응센터 리포트 3월호’에서 올해 1분기 보안 이슈의 특징으로 은폐 및 탐지우회 기법 등 다양하고 지능적인 수법의 등장을 꼽았다. 이러한 특징은 금전적 이익을 취하기 위한 공격으로 전이되면서 나타났다는 것이 안철수연구소 측의 분석이다.
전체적으로 보면, 올해 1분기에 새로 발견된 악성코드 및 스파이웨어는 총 2천160개로 집계됐으며, 이 가운데 트로이목마의 비중이 55.4%(1천197개)로 가장 높았다. 트로이목마 중에서는 온라인 게임 사용자 계정을 탈취하기 위한 목적의 트로이목마가 42.4%(508개)로 나타났다. 특히 온라인게임 계정탈취를 위한 트로이목마는 지난해 1분기 124개보다 310%나 증가, 공격의 목적이 금전적 이익으로 전환하고 있음을 뚜렷하게 나타냈다.
바이러스의 경우, 지난해에 이어 올해도 전통적 바이러스가 기승을 부렸음을 알 수 있는데 이 또한 금적전 목적을 띄는 경우가 눈에 띄게 나타났다. 감염 후 특정 웹사이트에 접속해 온라인 게임 계정을 빼가는 트로이목마나 스팸 메일 발송 시 발신자를 감추는 트로이목마, 팝업 광고를 보여주는 애드웨어 등을 추가 설치해 금전적 이익을 취하는 수단으로 이용되고 있는 델보이(Dellboy)와 바이럿(Virut) 바이러스는 올 1분기 각각 25종, 3종의 변형이 출현해 이 같은 분석을 뒷받침했다. 사양세에 있던 전통적 바이러스가 다시 기승을 부리는 이유로 안철수연구소는 네트워크에 있는 파일들을 손쉽게 감염시켜 피해 범위를 확대하기 위한 것이라고 추정했다.
다른 한편으로 인터넷 송수신 데이터 가로채는 트로이목마 첫 출현했다는 점도 1분기 주목해야 할 사실이다. 키보드 입력 단계에서 ID와 패스워드를 가로채던 것과 달리 인터넷으로 송수신되는 데이터를 가로채 국내 온라인 게임 계정을 빼내는 스파이웨어 ‘코게임(KorGame)’ 변형들이 2월 첫 등장한 것. 인터넷 전송 단계에서 데이터를 유출하는 코게임과 같은 변형들은 고성능 보안 제품이 아니면 이를 차단하기 어려울 뿐만 아니라 해당 파일만 제거할 경우 정상적으로 인터넷을 사용할 수 없게 돼 많은 사용자에게 큰 피해를 줬다.
공인인증서를 빼돌려 보다 직접적으로 금전적 피해를 야기할 수 있는 트로이목마의 등장도 주목할 부문. 그동안 대부분의 악성코드가 국내 온라인 게임의 사용자 계정을 빼내어 아이템이나 사이버 머니를 탈취하는 등의 피해를 준 반면, 1분기 등장한 ‘뱅키(Banki)’ 트로이목마는 국내 유명 은행의 인터넷 뱅킹 접속 사이트로 가장해 사용자의 공인 인증서까지 빼돌렸다. 공인 인증서는 복사만 하면 다른 곳에서도 사용할 수 있어 매우 큰 위험성을 내포하고 있다.
아울러 안티바이러스의 진단 화면과 음향을 꺼버리는 등의 수법으로 보안 프로그램이 탐지를 우회하는 악성코드가 등장하고, 스파이웨어와 웜, 스파이웨어와 바이러스가 결합된 복합적 악성코드가 증가하는 등 공격 방법도 더욱 지능화하는 경향을 보였다.
안철수연구소 강은성 상무는 “악성코드가 부당한 방법으로 금전을 취하기 위한 도구로 이용되고 있다. 컴퓨터 보안이 정보뿐 아니라 재산을 지키는 길임을 인식해야 한다”며 “예방을 위해서는 보안 패치를 반드시 적용해야 할 뿐만 아니라 ‘V3’나 ‘빛자루’ 같은 통합 보안 제품을 사용하되 항상 실시간 감시 기능을 켜두고 최신 버전을 유지하는 것이 안전하다”고 밝혔다. “특히 보안 취약점을 노리는 악성코드의 경우 웹사이트에 접속하거나 워드프로세서 파일이 메일로 첨부해서 오는 경우 주의해야 한다”라고 강 상무는 강조했다. <오현식 기자>
