안철수연구소, 3분기 악성코드, 스파이웨어 동향 발표
"게임 사용자 정보 겨냥 트로이목마 역대 분기 사상 최다"
- MS 보안 취약점 이용 악성코드 급증
- 금전 이익 노린 허위 안티스파이웨어도 요주의
"게임 마니아들이여! MS 보안 취약점을 조심하라"
안철수연구소는 올해 3분기 악성코드/스파이웨어 동향을 분석한 결과 올해 온라인 게임 사용자의 정보를 빼내기 위해 제작된, MS 보안 취약점을 이용한 악성코드가 주류를 이루었다고 분석했다. 또한 ▲허위 안티스파이웨어 기승 ▲바이러스+트로이목마 형태 급증도 3분기의 주요 특징으로 꼽았다.
안철수연구소가 매월 발표하는 '시큐리티대응센터(ASEC) 리포트 10월호'에 따르면 3분기에 국내에서 발견된 신종 악성코드 수는 1,256개이다. 이는 상반기 전체 수치(1,510개)에 근접한 한편, 그동안 큰 차이를 보이던 스파이웨어 수치(1,498개)에도 근접할 정도로 급증한 것이다(표 1). 이의 가장 큰 이유는 트로이목마의 급증 때문인데, 트로이목마는 역대 분기별 최고치를 기록했다(표 3). 이는 온라인 게임 계정 탈취용 트로이목마와 MS 보안 취약점을 이용한 악성 IRC Bot 종류가 급증한 데 따른 것이다.
온라인 게임 계정 탈취용 트로이목마 사상 최다 발견
온라인 게임 계정 탈취용 트로이목마는 국내에서 발견된 것만 336개이며, 특히 9월에는 사상 최고치인 182개에 달했다(표 4). 또한 국내외에서 보고돼 V3 제품군에 반영된 전체 수는 4,685개에 달한다. 또한 최근에는 유명한 게임 외에 상용화한 지 얼마 안 된 게임까지 대상이 되고 있다.
한편 이런 종류의 트로이목마가 유포되는 경로 중 가장 비중이 높은 것은 중국발 웹 해킹이다. 그런데 결혼 정보 회사의 웹사이트를 해킹해 회원 정보를 빼낸 후 금품을 요구한 혐의로 지난 8월 검거된 용의자에 따르면 온라인에서 구한 해킹 툴로 손쉽게 해킹이 가능할 정도로 웹사이트 보안이 허술한 것으로 드러났다. 최근에는 온라인 게임 사이트가 해킹당하는 일도 발생했다. 게임 업체들의 철저한 보안 대책이 필요한 상황이다.
MS 보안 취약점 이용한 악성코드 급증
MS 보안 취약점을 이용한 악성코드가 급증하고 있다. 특히 MS06-040, MS06-014 취약점은 이를 이용한 악성코드가 매우 많이 제작되고 있어 철저히 대비해야 한다. 한편 최근 들어 윈도 운영체제(OS) 자체보다는 MS 오피스 같은 응용 프로그램의 취약점이 많이 발견되고, 아울러 이를 공격하는 악성코드가 늘어나는 양상이 나타나고 있다. 1분기에 이어 7월에 MS 오피스 관련 제로 데이 공격이 있었으며 앞으로도 증가할 것으로 전망된다.
MS06-040은 서버 서비스의 취약점으로 올해 공개된 취약점 중 가장 위협적이다. 가장 위협적인 이유는 서버 서비스가 네트워크를 통한 파일 인쇄 지원 및 공유를 담당하며 윈도 시스템에서 기본으로 동작하기 때문이다. 즉, 컴퓨터에 이 취약점이 있으면 다른 컴퓨터에서 원격으로 악성코드를 실행할 수 있다. 공격자는 취약점이 있는 컴퓨터의 관리자 권한을 획득해 프로그램 설치, 보기, 변경, 데이터 삭제 등을 할 수 있다. 또한 공격을 받는 컴퓨터는 60초 단위로 서비스 거부 증상이 발생할 수 있다. 이 취약점을 이용한 악성코드는 취약점이 발견된 8월 중순부터 9월 말까지 70여 개가 발견됐다.
MS06-014는 온라인 게임 계정 탈취용 트로이목마나 스파이웨어의 유포를 손쉽게 만들어주는 취약점이다. 특정 액티브X 실행 시 인터넷 익스플로러에 명시된 보안 옵션이 올바르게 적용되지 않아서 발생하는 문제이다. 이 취약점이 있는 컴퓨터가 인터넷 익스플로러를 통해 악성코드를 내포하고 있는 웹사이트에 접속하면 특정 호스트에 업로드된 파일이 아무런 동의 없이 다운로드 및 실행되는 것이다.
허위 안티스파이웨어 기승
국내에서 유포되고 있는 허위 안티스파이웨어는 약 60여 개로 추산된다. 최근에는 동영상과 오디오 파일을 듣게 해주는 소프트웨어로 위장해 허위 안티스파이웨어('악성코드 치료 프로그램'이라고 내세우지만 실제로는 거짓된 진단 결과를 보여줘 사용자를 속이는 프로그램)와 스파이웨어를 설치하는 프로그램의 변종이 다수 발견되었다.
이것들은 인터넷 익스플로러의 보안 설정에 따라 나타나는 보안경고창(액티브X)에 '악성코드 치료프로그램'을 설치하겠냐고 물어보지만, 실제로는 스파이웨어를 여러 개 함께 설치하는 수법을 쓴다. 또한 진단한 후에는 액티브X 창에 안내한 것과 달리 치료 시 비용 결제를 하게 하며, 한번 과금한 후에는 자동 결제가 되도록 설정된다. '업데이트'라는 명목으로 다른 스파이웨어를 추가 설치하도록 유도하는 창이 뜨며, 이를 종료할 방법을 제공하지 않는 등 여러 가지 문제를 안고 있다. 연초에 문제가 된 '비패스트'의 아류라고 할 수 있다.
바이러스+트로이목마 형태 급증
바이러스와 트로이목마가 결합된 경우 트로이목마는 금전적 이익이 되는 정보 유출 기능을 하고, 바이러스는 실행 파일 감염, 은폐 기법을 이용해 사용자가 감염 여부를 알기 어렵게 만들어 악성코드의 생존 기간을 연장하는 역할을 한다. 나라스(Naras)와 바이럿(Virut)을 비롯해 바이킹(Viking), 뎃낫(DetNat), 샐리티(Sality), 마슬란(Maslan) 등이 대표적이다. 아울러 바이러스+웜의 형태도 증가하고 있는 추세다.
안철수연구소 시큐리티대응센터 강은성 상무는 "최근 악성코드나 허위 안티스파이웨어는 금전적 이익을 노리는 만큼 사용자는 정보뿐 아니라 금전적 손실을 막기 위해 정보보호에 각별히 신경 써야 한다"며 "더욱이 운영체제나 응용 프로그램의 보안 취약점을 이용해 컴퓨터에 쉽게 침투하므로 보안 패치가 나오는 대로 바로 적용하고, 통합 PC보안 제품을 설치해 항상 최신 버전으로 유지하는 것이 중요하다"라고 강조했다.