[초점] 천의 얼굴을 가진 다형성바이러스 기승

천의 얼굴을 가진 바이러스가 최근 기승을 부리며 피해를 확산시키고 있다.

컴퓨터 바이러스의 제작기법이 날로 첨단화하고 있는 가운데 최근 들어 감염될 때마다 자신의 모습을 바꿈으로써 바이러스 백신을 무색케하는 「다형성바이러스(Polymorphic Virus)」가 등장, 백신 제작업체와의 싸움을 치열하게 전개하고 있다.

다형성바이러스는 여러 단계의 암호화와 고도의 자체 수정 기법 등을 동원한 바이러스를 일컫는데 암호화를 푸는 부분이 항상 일정한 단순 암호화 바이러스와 달리 암호화를 푸는 부분조차 감염될 때마다 달라지는 특성을 갖고 있다. 바이러스 백신 개발의 핵심부분인 암호화 부분이 고정된 형태였던 기존의 단순 암호화 바이러스에 비해 암호코드가 수천, 수만가지로 자기변화를 함으로써 바이러스의 분석 및 치료 버전 개발에 많은 시간을 투자하게 하고 있는 것이다.

대표적인 바이러스 백신 제작업체인 안철수컴퓨터바이러스연구소는 최근 들어 국산 다형성바이러스 피해 사례가 급증하면서 이의 분석과 백신개발을 위해 비상체제에 돌입했다. 기존의 단순암호화 바이러스의 경우 길어야 24시간이면 분석이 가능했던데 반해 최근의 다형성바이러스는 분석과정만 일주일 이상이 소요되는 등 고도의 기법으로 제작되고 있기 때문이다.

실제로 지난 3월부터 6월 초까지 대규모 피해를 낳았던 「FCL」 바이러스와 6월 들어 사설 BBS를 통해 급속히 유포된 「율곡(Yulgok)」 바이러스의 경우 분석 과정이 복잡하고 까다로워 백신 제작이 지연된 탓에 피해가 잇달았다.

「FCL」 바이러스는 3월에 발견된 후 치료 백신 「V3+ Ver. 794」가 발표되기까지 하루 상담 건수만 20여 건이 넘었고 접수된 감염 샘플만도 2백여 가지가 넘는 등 안연구소 개소 이후 최대의 피해 규모를 나타냈다.

「FCL」 바이러스는 「FCL.4149」, 「FCL.4228」 등 2종류가 있는 것으로 파악되며 특정 일자(「FCL.4149」는 매월 7일, 「FCL.4228」은 12월 3일)에 간헐적으로 메시지를 출력시키고 프로그램 실행을 끝마치게 되는데 이때는 화면이 정지하면서 다운되는 것처럼 보인다.

「FCL」 바이러스와 함께 대표적인 국산 다형성 바이러스에 속하는 「율곡」 바이러스는 국내에서 최초로 제작된 부트, 파일 바이러스이기도 하다. 아직까지 국산 바이러스는 파일 바이러스이거나 부트 바이러스가 대부분이었다. 실행 파일 외에도 주 부트 섹터(MBR) 영역을 감염시키며 파일 실행, 열기, 복사, 닫기 등 대부분의 파일 관련 기능이 수행될 때 파일을 감염시킨다. 율곡바이러스에 감염되면 부팅이 되지 않는다.

연연구소는 『최신 버전인 「V3+ Ver.810」과 「V3Pro 97」에 「FCL」과 「율곡」바이러스의 치료기능을 추가했지만 사설 BBS를 통해 대량으로 유포된 이후 발견되었기 때문에 백신이 개발된 이후에도 사용자들의 피해가 계속 접수되고 있는 상황』이라고 밝혔다.

안연구소측은 『FCL 및 율곡 바이러스는 특히 기업체 네트워크 환경에서 감염된 경우가 많았으며 업무 관련 프로그램인 오피스 프로그램, 캐드 프로그램 및 기획서 파일 등에 감염되어 업무 차질을 빚었다는 호소가 쇄도했다』며 『정기적인 데이터 백업 및 백신을 사용한 정기점검 등 철저한 예방만이 바이러스 퇴치의 최상책』이라고 강조했다.

<김상범 기자>