콘피커 웜, 아이웜, 네이트온, DDOS 등으로 조사
2009년 발생했던 10대 주요 악성코드는 콘피커 웜, 아이웜, 네이트온, 분산서비스거부(DDoS) 등을 발생시킨 악성코드들로 조사됐다.
안티-바이러스 전문업체 하우리(대표 김희천 www.hauri.co.kr)는 올 한해 동안 발생했던 주요 악성코드를 살펴보고, 일반사용자를 위해 ‘악성코드의 분류에 따른 주요 특징’과 ‘보안 주의사항’을 함께 제공한다고 22일 밝혔다.
김희천 하우리 사장은 “2009년은 콘피커(Conficker), IRC봇(Bot), DDoS-에이전트, 조커(Joker), 델파이(Delf) 등 다양한 악성코드 및 지속적인 변종바이러스의 출현으로 인해 PC사용자들이 백신의 필요성에 대해 몸소 체감할 수 있었던 한 해였다”며 “2009년 한해 동안 발생한 대표적인 악성코드를 재확인하며, 2010년 보다 안전한 PC생활을 누리자”고 말했다.
또 그는 “네트워크 환경에 있는 PC사용자가 인터넷 사용 시 조금만 주의하면, 안전한 PC환경을 만들 수 있지만 대부분의 PC사용자들은 백신S/W를 설치해 놓을 뿐 최신 업데이트를 하지 않거나 MS 최신 보안패치를 받지 않는 등 사용자의 부주의로 악성코드에 감염되는 사례가 발생하곤 한다”며 “국내의 경우 무료백신S/W는 개인사용자에 국한된 것임을 알고, 기업에서는 기업용 백신S/W를 설치해 기업의 중요한 파일이나 정보가 악성코드에 감염되지 않도록 백신S/W를 업데이트와 MS 최신 보안패치를 생활화해야한다”고 덧붙였다.
△웜(Worm).윈(Win)32.콘피커.169360: 2008년 10월부터 발견되기 시작해 2009년에 많은 컨피커 변종 악성코드들이 제작돼 윈도우 시스템에 많은 피해를 줬다. 윈도우 MS08-067 보안취약점, 이동식 저장 매체(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파된다.
악성코드는 감염PC의 IP 정보를 서버에 저장하고, 특정 웹 페이지에 접속을 시도한다. 이를 대비하기 위해서는 수시로 MS 보안패치를 적용해 악성코드에 감염되지 않도록 주의해야 한다.
△아이웜(I-Worm).윈32.웨일독(Waledac).411136 : 2월 14일 발견되기 시작했으며, ‘발렌타인데이 웜’이라고도 불린다. 이메일을 통해 전파되며, 감염시스템에서 스팸 메일을 대량으로 발송하여 트래픽 과부하를 일으키기도 한다. 변종 웨일독 웜의 경우 발렌타인데이, 오바마 대통령 등 사회적 이슈를 이용해서 메일 수신자의 클릭을 유도하여 악성코드를 설치한다.
특정일의 이슈를 이용한 바이러스는 해마다 증가하고 있으며, 해를 거듭할수록 이미지나 링크를 이용한 위장메일 또한 진화를 거듭하고 있다. 그러므로 특정일을 기념하는 제목으로 수신된 메일 중, 신뢰하지 않는 메일은 바로 삭제하도록 한다.
△백도어(Backdoor).윈32.IRC봇.15872.I : 2월 11일 발견되기 시작했으며, 시스템 날짜를 2090년으로 바꾸는 ’2090 바이러스’로 알려진 악성코드의 변종이다. 감염 시스템의 날짜를 2070년 1월 1일 오전 10시로 변경해서 2070 바이러스로 불리기도 한다. 윈도우 MS08-067 취약점, 네트워크 공유폴더 및 이동식 저장매체(USB)를 통해 전파된다.
△스파이웨어(Spyware).네이트온(NateOn) : 과거 2001년부터 유행하던 MSN 바이러스와 비슷한 형태의 악성코드로서, 국내에서 많이 사용되는 네이트온(Nateon) 메신저를 통해 전파된다. 2009년 한해 동안 꾸준히 변종이 보고됐고, 변종에 따라 여러 종류의 사진을 보여주며, 유명 온라인 게임의 계정정보를 훔쳐내며 다른 악성코드를 감염 시킨다.
메신저는 24시간 대화가 가능하며, 파일을 주고 받는데도 용이하다. 편리한 만큼 악성코드에 의한 침해사고도 쉽게 이루어 지므로, 백신S/W의 실시간감시기를 켜두어 악성코드의 감염으로부터 PC를 보호하는 것이 현명하다.
△트로이잔(Trojan).32.DDoS-에이전트. 젠: 7월7일 공격이 시작되었으며 7.7 DDoS 대란이라고 불릴 정도로 국가 공공기관, 금융권과 주요 포털사이트 등이 DDoS 공격에 의해 접속 지연 또는 서비스 중지 등이 발생했다. DDoS 공격에 대응하기 위해 모든 사용자들을 위해 전용백신을 무료로 배포하던 안티-바이러스 업체의 홈페이지도 공격 당할 정도로 사회적으로 문제가 되었던 악성코드다.
△ X97M.조커 : 5월부터 발견되기 시작해, 매크로 바이러스의 특성상 변형하기가 쉬워 계속해서 변종이 발생하고 있다. 엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시킨다. 초기 악성코드는 오후 4시 44분 44초가 되면 특정 파일을 삭제한 것처럼 메시지를 보여준 후 ’뻥임’이라는 메시지 창을 보여주지만 변종에 따라서 증상이 다르게 나타나기도 한다.
매크로 바이러스에 감염되면, 감염된 문서를 사용하는 동안 열려있는 중요한 문서들이 영향을 받는다. 따라서, 중요한 문서는 별도로 보관해 두고 저장하기 전에 반드시 백신으로 감염여부를 확인할 후 저장하는 습관이 가지도록 한다.
△트로이잔.윈32.클램피(Clampi).513024 : 주로 소셜 네트워크 사이트나 메신저를 통해서 전파가 된다. 국내는 9월21일에 발견되었으며, 주로 영어 사용국의 은행이 표적이 되었다. 사용자가 금융사이트에 접속해서 인터넷 뱅킹 시도 시 로그인 정보를 가로채가는 악성코드다. 클램피 악성코드로 인해서 아이디나 패스워드 등 개인정보가 노출되어 많은 금융거래 범죄에 이용되었다.
△트로이잔.윈32.델프.15872.O : 델프(Delf) 악성코드는 Adobe 취약점을 이용해서 악성 PDF 파일을 생성한 후 이를 통해 전파되는 바이러스로 다오놀(Daonol)로 불리기도 한다. 국내에서는 10월 14일에 발견되어, 계속해서 변종 바이러스가 발생하고 있다. 어도비 취약점을 이용해 전파되므로, 관련 제품의 최신 업데이트에 주의를 기해야 한다. 감염 후 재부팅 시 검은 화면에 마우스만 나타나며, 정상적으로 부팅이 이루어지지 않는 부팅 장애를 일으킨다.
△스파이웨어 제트봇(Spyware.Zbot) : 스파이웨어 제트봇의 변종 중 가장 이슈가 된, ‘Trojan.Win32.Scar’은 신종플루 관련 스팸메일 또는 해킹 당한 사이트를 통해 감염시킨다. 아크로뱃리더의 파일 포멧 PDF의 취약점을 이용하며, 다른 악성코드를 다운로드하여 추가 감염 시킨다.
△애드웨어시큐리티툴(Adware.SecurityTool.R) : 허위 안티스파이웨어 즉, 허위백신으로 Win32.Mndis.A 등에 의해 윈도우 시스템의 주요 파일을 패치 한 뒤 허위 안티 스파이웨어 제품을 감염시키고 사용자에게 요금 결재를 유도한다. 변종에 따라 바탕화면의 아이콘을 보이지 않게 하거나, 블루스크린과 유사한 화면을 보여주고 강제로 재부팅시킨다.
장윤정기자 linda@etnews.co.kr
