국내 최대 정보보안 기업인 안철수연구소(대표 오석주 www.ahnlab.com)는 13일 2006년 1월부터 11월까지의 악성코드/스파이웨어 동향을 분석한 결과 올 1월~11월에 새로 발견된 악성코드(바이러스, 웜, 트로이목마의 통칭)는 4,031개로 전년 동기 대비 50.9% 증가했으며, 스파이웨어는 6.167개가 새로 발견돼 지난해 동기 대비 9.7% 증가했다고 발표했다.

또한 한 해 동안의 주요 흐름을 분석해 ‘2006년 악성코드 7대 트렌드’를 발표했다. 여기에는 악성코드의 국지성 강화를 비롯해 ▶허위 안티스파이웨어 기승 ▶MS 보안 취약점을 이용한 제로 데이 공격 증가 ▶중국발 웹 해킹과 온라인 게임 계정 탈취용 악성코드 맹위 ▶사양세에 있던 전통적 바이러스 기승 ▶자기 보호 위해 지능적 기법 활용한 악성코드 증가 ▶웜과 스파이웨어의 결합 형태 증가 등이 포함됐다.

(1) 악성코드의 국지성 강화

악성코드의 국지성이 강해졌다. 그 이유는 악성코드 제작자들이 금전적인 이익을 얻으려는 목적으로 조직적, 국지적으로 활동하기 때문이다. 우리나라는 중국발 웹 해킹과 온라인 게임 계정 탈취 트로이목마의 기승이 이런 추세를 단적으로 보여준다. 일본은 연초 P2P 프로그램을 이용해 전파되는 악성코드인 ‘위니’ 때문에 큰 혼란을 겪었다. 간혹 이메일 웜으로 전파되는 스트레이션(Stration) 웜이 세계적으로 많이 퍼지기는 했지만 이런 유형은 과거에 비해 많이 줄었다.

(2) 허위 안티스파이웨어 기승

지난해에 이어 올해도 허위 안티스파이웨어가 기승을 부렸다. 허위 안티스파이웨어는 배포와 동작 자체가 스파이웨어의 특성을 가진 것으로서, 금전적인 이익을 노리고 제작된다. 액티브X 등을 통해 인터넷 게시판 등에서 무차별적으로 유포되며 사용자 동의 없이 설치돼 허위 또는 과장된 진단 결과를 보여주고 유료 과금을 요구한다. 최근에는 스파이웨어 여러 개를 함께 설치하는 경우가 많으며, 해당 프로그램을 삭제해도 액티브X를 자동 설치하는 프로그램은 삭제되지 않아 사용자 모르게 설치되는 경우도 많다. 더욱이 인터넷 게시판에서 아르바이트를 모집해 허위 안티스파이웨어를 유포하는 일까지 벌어지고 있어 문제가 심각하다.

(3) MS 보안 취약점을 이용한 제로 데이 공격 증가

보안 패치가 공개되기도 전에 취약점을 이용한 악성코드가 등장하는 ‘제로 데이 공격’이 급증했다. 운영체제뿐 아니라 인터넷 익스플로러, 오피스 등 응용 프로그램에서도 취약점이 다수 발견돼 많은 사용자들을 위협했다. 인터넷 익스플로러 취약점들은 주로 중국발 해킹과 트로이목마 자동 다운로드에 이용된다. 오피스 관련 취약점은 한 해 동안 13건이 발견됐으며, 변조된 오피스 파일을 이용해 이메일로 악성코드를 유포하는 사건이 많이 발생했다. 이렇게 취약점이 많이 발견되는 이유 중 하나는 소프트웨어의 취약점을 찾고 연구하는 활동이 활발하게 이루어지기 때문이다.

(4) 중국발 웹 해킹과 온라인 게임 계정 탈취용 악성코드 맹위

중국발 웹 해킹을 통해 설치된 후 온라인 게임의 사용자 계정을 훔쳐내는 악성코드의 비율이 급증했다. 온라인 게임 계정 탈취용 악성코드는 국내에서 발견된 것만 919개로 이는 전년 동기 대비 5배에 달하는 수치다(표 3). 이런 급증세는 국내 온라인 게임을 이용해 금전적 이익을 취하려는 중국 해커들이 조직적으로 악성코드를 제작하기 때문인 것으로 추정된다. 온라인 게임 계정 탈취하는 악성코드가 유포되는 경로는 주로 보안에 취약한 웹사이트이다. 제작자나 유포자들은 웹사이트를 해킹해 악성코드를 심어 해당 웹사이트를 방문한 사용자 PC에 악성코드를 감염시킨다.

(5) 사양세에 있던 전통적 바이러스 기승

바이러스 첫 출현 20주년인 올해 공교롭게도 전통적인 바이러스가 기승을 부린 것이 이색적이다. 바이킹(Viking), 바이럿(Virut), 뎃낫(Detnat) 등이 대표적이며, 특히 바이럿은 메모리까지 치료해야 하는 것이어서 피해 신고가 가장 많았다. 이들 대부분은 중국에서 제작된 것으로 추정된다. 그 이유는 이 바이러스의 변종 중 온라인 게임 계정을 훔쳐내는 트로이목마를 전파하는 것이 있기 때문이다.

(6) 자기 보호 위해 지능적 기법 활용한 악성코드 증가

악성코드 스스로 생존을 보장 받기 위해 지능적인 기법을 차용한 경우가 많았다. 우선 안티바이러스 프로그램이나 PC 방화벽 같은 보안 프로그램을 종료 및 중지하는 형태가 눈에 띄게 증가했다. 이는 자신의 생명을 유지하고 그 사이 다른 변형을 설치하기 위한 것이다. 또한 사용자의 눈에 띄거나 보안 제품의 탐지를 피할 수 있는 은폐 기법을 이용한 것이 많아졌다. 은폐 기법은 인터넷 커뮤니티에서 소스를 얼마든지 받을 수 있기 때문에 대중화하고 있다. 최근에는 은폐 기법을 사용해 프로그램의 구성 요소를 지능적으로 숨기는 허위 안티스파이웨어도 늘고 있다.

(7) 웜과 스파이웨어의 결합 형태 증가

웜과 스파이웨어가 결합돼 유포되는 형태가 급증했다. 이 경우 보안이 취약한 시스템에 웜이 감염되면 제어 서버에 접속해 스파이웨어를 다운로드하게 된다. 이에 따라 자체 전파력이 없는 스파이웨어가 웜과 동일한 확산력을 확보해 더 많은 피해를 입혔다. 이 또한 허위 안티스파이웨어가 스파이웨어를 설치하는 것과 마찬가지로 금전적 이익을 목적으로 한 일종의 비즈니스이다.

이 밖에 주목할 새 이슈로 휴대폰이나 PDA 등 모바일 기기용 플랫폼인 J2ME(Java 2 Platform Micro Edition)에서 동작하는 악성코드 ‘레드브라우어(RedBrower)’가 첫 등장한 것을 들 수 있다. 이는 모바일 기기용 악성코드는 이제까지 심비안 OS용이 주류였으나 자바로 그 활동 범위가 한층 확대됐다는 점에서 모바일 보안 위협이 점차 현실로 다가오고 있음을 시사한다.

안철수연구소 시큐리티대응센터 강은성 상무는 “최근의 악성코드 추세는 갖가지 지능적인 방법으로 사용자의 정보를 손상하고 금전적 이익을 취한다. 사용자는 집에서 문 단속을 하듯이 보안 패치가 나오는 대로 바로 적용하고, 통합 PC보안 제품을 설치해 항상 최신 버전으로 유지하는 등 정보보호를 생활화해야 한다”라고 강조했다.