이는 최근 발견되는 악성코드가 단순히 시스템을 감염시키는 데 그치지 않고 공격자의 명령을 받아 악의적으로 이용되는 경향을 보여주는 것이라고 뉴테크웨이브 측은 분석했다. 전체적으로 볼 때 지난 달 전체 악성코드 감염 컴퓨터와 신규 발견된 악성코드 수는 8월보다 각각 3.9%, 23.6% 증가해 1개월 만에 다시 증가세로 돌아섰다.
바이럿은 지난 해 5월 출현 이후 최근까지 50여 종의 변종이 발견되는 등 지속적인 피해를 주고 있는 악성 바이러스. 올 상반기 통계에서도 트로이목마 ‘리니지(Trojan.PWS.Lineage)’에 이어 악성코드 출현 순위 2위를 차지할 정도로 활발히 이용된 공격 방식이다.
특히 최근 바이럿이 더욱 문제시 괴는 까닭은 *.exe, *.scr 확장자를 가진 윈도 실행파일을 감염시킬 뿐 아니라 메모리에 상주하면서 임의 포트를 열고 대기해 IRC 서버에 접속하기 때문이다. 즉, 인가되지 않은 외부 접근을 허용함으로써 DDoS 등 악의적 공격에 이용될 가능성이 높아지게 되는 것이다. 실제로 지난 달 14일 발견된 트로이목마 ‘이골드(Trojan.PWS.Egold.based)’는 바이럿을 이용해 추가로 설치됐으며, 공격자의 명령에 따라 특정 사이트의 대량 트래픽을 유발시켰다.
뉴테크웨이브 기술연구소 양성욱 연구원은 “바이럿처럼 감염된 시스템에서 에이전트로 동작하게 되면 공격자의 명령에 따라 사용자 정보를 유출하는 등 다양한 악의적인 기능을 수행할 수 있게 된다”며 “또한 새로운 기능이 추가된 악성코드의 제작 및 배포도 가능해 위험도와 전파도가 모두 높다”고 설명했다.
뉴테크웨이브는 또 최근 눈에 띄는 악성코드의 다른 경향으로 ▲생존기간 연장을 위해 감염 대상 시스템 내 정상 파일까지 감염시키는 파일 감염형 악성코드의 증가와 ▲사용자의 친분이나 인간관계를 이용한 메신저 전파 활용에 대해 지적했다.
대표적인 것이 지난 달 20일 등장한 ‘Whboy’의 변종(Win32.HLLP.Whboy)으로, 자신의 복제를 위해 메신저를 전파 수단으로 추가했다. 특히 기존 메신저 악성코드와는 달리 등록된 대화상대에게 임의로 대화창을 띄우는 것이 아니라 사용자가 메신저를 실행시키면 상대방에게 특정 URL을 반복해서 보냅으로써 전파를 유도했다.
뉴테크웨이브 양성욱 연구원은 “최근의 악성코드의 경향인 에이전트 형태, 파일 감염 형태, 메신저나 이메일 전파 등은 각각 나타나는 것이 아니라 복합적으로 이뤄지고 있다”며 “안전성이 확보된 경로라 하더라도 파일 수신 시에는 신중을 기하고 백신 프로그램을 통한 전체 검사를 주기적으로 수행해야 할 것”이라고 당부했다. <오현식 기자>
