안철수연구소, “상반기 최악의 악성 코드는 넷스카이 웜”
안철수연구소 시큐리티대응센터의 분석 결과에 따르면 넷스카이.29568 웜이 전체 신고 건수(67,314건)의 29.3%(19,708건)를 점유해 1위를 차지해 최악의 악성 코드로 나타났다. 2위는 16.5%를 점유한 두마루.9234(Dumaru.9234) 웜이 지난해에 이어 강세를 보였으며, 다음으로 넷스카이 변종 3개가 나란히 3위~5위를 차지했다. [표 1] 참고.
악성 코드에 대한 사용자들의 피해 신고 건수는 전년 동기 대비 약 2.7배 증가한 67,314건에 달했으며, 이는 2003년 총 건수(71,901건)에 근접한 수치다. 특히 5월, 6월에는 22,000건을 넘었는데 이는 3월에 국내에 유입된 Netsky.29568과 Netsky.17424가 5월부터 본격적으로 유포된 데 따른 것으로 풀이된다. [표 2] 참고.
또한 신종 악성 코드는 2003년 동기 대비 2.8배에 달하는 한편 2003년 전체 수(1,239개)를 초과한 2,071개에 달했다. [표 3, 4] 참고. 악성 IRCBot 종류의 변형이 가장 큰 이유인데, 전체 신종 개수의 72.4%인 1,499개가 제작됐다. 특히 신종 수가 400개 이상으로 폭증한 4월부터는 악성 IRCBot 종류가 차지한 비중이 74~85%에 이르는 기염을 토했다.
신고 순위 1위에 오른 넷스카이.29568 웜은 3월에 발견된 이후 5월부터 10,000건에 가까운 피해 신고가 들어오는 최신 웜이다. 넷스카이 웜은 현재 30개에 가까운 변형이 유포되고 있어 당분간은 생명력을 유지할 것으로 보인다. 로컬 드라이브에 생성되는 웜 파일도 마치 안티바이러스 제품인 것처럼 속이거나, 안티바이러스 제품에 의해 검사가 끝난 것 같은 메시지를 담아 메일을 발송해 혼란을 주고 있다.
넷스카이 웜 변종들은 메일은 물론 카자(KaZaa) 등의 P2P 응용 프로그램을 통해 전파되며, 네트워크 폴더에도 웜 파일을 복사해두어 그 파일을 실행한 PC에도 감염되어 확산력이 큰 것이 특징이다. 메일로 전파될 경우 메일의 제목, 본문, 첨부 파일명이 매우 다양하다. 발신인은 감염된 시스템에서 찾은 메일 주소에서 임의로 선택하기 때문에 감염되지 않은 사람의 이름으로 메일이 갈 수도 있어 본의 아니게 오해를 받을 수 있다.
두마루.9234 웜은 2003년 8월에 발견돼 10월부터 올해 3월까지 줄곧 1위에 올라 있었다. 일반적으로 대량의 메일을 발송하는 웜 중 이렇게 장기간 동안 상위에 올라 있는 것은 매우 드문 일이다. 그 주된 이유는 발신인이 Microsoft, 첨부 파일은 patch.exe로 Microsoft에서 패치 파일을 보낸 것처럼 위장하기 때문에 사용자들이 첨부 파일을 쉽게 열어보기 때문으로 분석된다. 특정한 IRC 서버로 접속해 TCP/6667 포트가 열리는 보안 문제도 안고 있다.
신종 악성 코드 중 가장 수가 많은 것이 악성 IRCBot 종류인데, 이들의 공통적인 특징은 MS 윈도우의 보안 취약점이나 관리 목적의 공유 기능을 이용해 침투하며, 외부의 특정 IRC 서버와 접속해 웜 제작자로 추정되는 사람의 원격 명령에 따라 웜 유포 등의 악의적인 행위를 한다는 것이다. 제작자들은 커뮤니티를 통해 소스를 교환하고 조직적으로 변형을 양산하고 있다.
신종 악성 코드의 추세
한편 안철수연구소는 올 상반기 악성 코드의 최근 추세를 ▶운영체계의 보안 취약점 공격 강화 ▶대량 메일 발송하는 웜의 비중 증가 ▶애드웨어의 심각성 증가 등으로 정리했다.
첫째, MS 윈도우 운영체계의 보안 취약점을 공격하는 악성 코드가 양산되고 있다. 대표적인 경우가 악성 IRCBot, 새서(Sasser) 웜 등이다. 이제는 사용자가 메일을 읽거나 파일을 실행하는 등의 행위를 하지 않아도 인터넷에 연결만 되어 있으면 보안 취약점을 통해 웜의 공격을 받게 된 것이다. 더욱이 보안 취약점이 발견된 시점에서 악성 코드가 등장하는 시간 간격이 갈수록 짧아지고 있다. 과거에는 보안 취약점이 발견된 후 이를 이용해 확산되는 악성 코드가 나타나기까지 보통 1년 정도가 걸렸지만, 이 주기가 점점 짧아져 최근에는 이틀 만에 나오는 경우도 나타났다.
둘째, [표 3]에서 보듯이 웜의 비중이 73.7%로 압도적이다. 웜은 전파 방법에 따라 넷스카이, 베이글, 마이둠처럼 대량 메일을 발송하는 것이 한 축을 이루고, 악성 IRCBot 종류처럼 운영체계의 취약점을 통해 확산되는 것이 다른 한 축을 이룬다. 또한 트로이목마의 비중도 높아지고 있는데, 이는 당장 눈에 띄는 피해는 없지만 PC의 정보가 유출되거나 DoS(서비스거부) 공격의 도구가 될 수 있다는 점에서 잠재적 위협이 크다.
셋째, [표 3]에서 보듯이 종류별로는 애드웨어의 부상이 눈에 띈다. 전체의 1.8%를 차지하고 있으며 이는 점점 늘어날 것으로 보인다. 애드웨어는 광고성 프로그램이고 시스템에 심각한 영향을 주지 않으므로 사용자들이 어떤 파일인지 알아차리기 어렵다. 성가신 성인 광고나 상품 광고의 팝업 창만으로 인식하던 것에서 시스템에 불필요한 리소스를 소비하고 사용자는 의도하지 않는 광고를 보게 되므로 유해한 프로그램으로 인식되고 있다.
안철수연구소 조기흠 시큐리티대응센터장은 "고도로 발달한 인터넷 환경에서 바이러스나 웜은 더 이상 개인의 문제가 아니므로 사용자 모두의 관심과 대책이 필요한 사안이다. 갈수록 복합해지고 지능화하는 악성 코드에 대응하기 위해서는 전방위적인 통합보안이 필수적이다."라고 강조했다.
[표 1. 2004년 상반기 국내 피해 신고 순위]
순위 웜 신고 건수
1 Netsky.29568 19,708
2 Dumaru.9234 11,074
3 Netsky.17424 6,571
4 Netsky.28008 2,805
5 Netsky.22016 2,723
[표 2. 2002~2004년 국내 악성 코드 신고 통계]
구분 2002년 2003년 2004년
1월 2,660 3,618 5,580
2월 2,034 2,154 6,641
3월 1,511 2,282 5,147
4월 2,992 3,043 5,633
5월 2,627 4,130 22,104
6월 1,867 2,934 22,209
반기합계 13,691 18,161 67,314
7월 2,124 2,601 -
8월 1,971 8,190 -
9월 1,934 15,522 -
10월 3,211 5,278 -
11월 3,084 13,309 -
12월 2,205 8,840 -
연 합계 28,220 71,901 -
[표 3. 2004년 상반기 국내 발견 신종 악성 코드 통계]
월 웜 트로이 에드웨어 드롭퍼 스크립트 파일 합계
1월 58 50 4 7 6 0 125
2월 146 130 0 8 1 1 286
3월 196 75 25 5 3 1 305
4월 403 111 4 0 7 1 526
5월 322 32 5 3 2 1 365
6월 402 59 0 2 1 0 464
합계 1,527 457 38 25 20 4 2,071
[표 4. 2003년 상반기 국내 발견 신종 악성 코드 통계]
월 트로이 웜 드롭퍼 파일 스크립트 리눅스 부트 매크로 합계
1월 50 7 18 7 3 85
2월 78 13 15 2 3 1 1 113
3월 76 12 24 3 1 2 118
4월 46 11 11 1 3 72
5월 39 13 14 4 2 72
6월 52 21 6 2 4 85
반기합계 341 77 88 19 16 2 1 1 545
7월 59 10 4 3 1 77
8월 92 20 13 2 3 130
9월 78 28 7 1 2 116
10월 60 30 3 93
11월 61 58 2 2 123
12월 88 59 8 155
총합계 779 282 125 25 24 2 1 1 1,239
[표 5. 1988∼2002년 국내 발견 신종 악성 코드 통계]
연도 1988 1989 1990 1991 1992 1993 1994 1995
합계 1 6 28 21 17 34 76 128
연도 1996 1997 1998 1999 2000 2001 2002 총계
합계 226 256 276 379 572 435 272 2,150
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
