지난해 악성코드를 분석한 결과 감염순위 1, 2위는 모두 돈을 목적으로 한 패스워드 유출형(Trojan.PWS 계열) 트로이목마였다는 것. 이에 따라 올해 역시 금전적 이득을 위해 악성코드를 제작, 유포하는 경향이 계속될 것으로, 악성코드의 핵심 키워드는 ‘돈’, 전파의 중심에는 ‘사람’이 존재한다는 것이 뉴테크웨이브 측의 전망이다.
뉴테크웨이브 기술연구소 통계에 따르면, 지난해 가장 많이 나타난 악성코드는 특정 게임의 아이디와 패스워드를 유출하기 위한 트로이목마 ‘리니지(Trojan.PWS.Lineage)’였으며, 2위와 10위 역시 특정 게임을 겨냥한 트로이목마 ‘감마니아(Trojan.PWS.Gamania)’와 ‘WS게임(Trojan.PWS.Wsgame)’였다. 결국 감염순위 상위 10위 내에 패스워드 유출형 트로이목마가 3개나 랭크된 것이다. 특정 해커 집단은 사용자의 게임 계정을 유출한 후 게임의 가상 머니를 인터넷 상에서 현금으로 거래하고 있는 것으로 알려진다.
돈을 노린 악성코드 공격은 트로이목마를 통한 접근 외에도 다양하게 전개됐다. 특정 웹사이트에 서비스 거부 공격을 수행해 마비시킨 후 정상화를 조건으로 거액을 요구하는 사건이 발생했으며, 웹사이트를 해킹하지 않고도 동일 네트워크 대역에 악성코드를 설치해 ARP 스푸핑을 일으킨 후 트래픽을 변조해 또 다른 악성코드를 다운로드 하거나 광고 목적의 팝업을 발생시키는 사례도 있었다.
또 지난해 초에는 피싱과 유사한 파밍이라는 새로운 기법이 등장해 국내 은행으로 접속하려는 사용자들을 금융 피싱 사이트로 유도, 개인 정보 및 공인인증서를 빼가기도 했다. 파밍은 시스템의 호스트 파일을 변경하는 악성코드를 유포해 정상적인 은행 URL을 입력해도 피싱 사이트로 이동되게 하는 공격 방식이다.
이처럼 악성코드에서 돈이 화두로 떠오른 것은 2005년 트로이목마 ‘랜섬웨어(Trojan.PGPCoder)’의 등장부터라고 할 수 있다. 당시 ‘랜섬웨어’는 사용자의 데이터 파일을 암호화한 후 암호 해제를 위해 디코더를 사라고 종용했는데, 이후에도 비슷한 형태의 악성코드가 지속적으로 발견되고 있다.
뉴테크웨이브 기술연구소 양성욱 연구원은 “바이러스의 제작 목적이 사회적인 명성이나 자기 과시에서 금전적인 이윤을 추구하는 형태로 변모했다고 볼 수 있다”며 “이러한 경향은 올해도 마찬가지일 것”이라고 예상했다.
사람, 악성코드 전파 중심으로
금전적 이득을 목적으로 하는 악성코드 전파의 중심으로 ‘사람’이 떠올랐다. 과거 윈도 취약점 등을 이용하여 전파되던 악성코드들이 감소하는 경향을 보인 반면, 인스턴스 메신저를 전파 수단으로 삼거나 유명 웹사이트, 블로그 등에 악성코드를 심어놓고 사용자들을 유혹하는 방법이 주류를 이룬 것.
또 이동식 저장매체를 이용한 악성코드가 크게 증가했다. 이동식 저장매체를 이용한 악성코드는 정상적인 윈도 구성파일(Autorun.inf)을 이용해 이동식 디스크가 연결되는 순간 자동 실행돼 PC를 감염시키게 되며, 정상적 구동파일을 사용하기 때문에 백신에 의한 탐지를 어렵게 하는 특성이 있다. 뉴테크웨이브에 따르면, 이동 매체를 이용한 악성코드는 지난해 하반기 크게 늘어나 월 평균 300여 건 가까이 꾸준히 발견됐으며, 패스워드 유출형 트로이목마도 모두 이동식 저장매체를 이용하여 자기 자신을 전파하는 종류였다.
지난해 악성코드의 특징을 한 마디로 요약하면, 메신저 등을 통해 사용자 스스로 다운로드 하고 실행하도록 제작되고, 휴대 저장장치를 통해 사람이 악성코드를 휴대하며 이동시키는 역할을 한 것이다. 이러한 경향은 올해에도 지속된다는 것이 뉴테크웨이브의 전망이다.
뉴테크웨이브 양성욱 연구원은 “올해도 금전적인 이익을 목표로 제작되어 사람에 의해 손쉽게 전파될 수 있는 악성코드가 많이 나올 것으로 예측된다”며 “보안에 있어 가장 취약한 부분은 사람이라고 할 수 있으므로, 악위적 악성코드에 유혹 당해 피해를 입지 않도록 미흡한 보안의식을 강화시키는 것이 스스로를 지키는 최선의 방법”이라고 조언했다. <오현식 기자>
