- 안철수연구소, 1분기 보안이슈 보고서 발표

온라인 게임 계정을 노린 트로이목마에 이어 직접 돈을 빼내거나 지능적인 수법으로 차단을 어렵게 만드는 트로이목마가 잇달아 새롭게 발견되는 등 '트로이목마' 악성코드가 최대 골칫덩이로 떠올랐다.

안철수연구소가 발표한 '시큐리티대응센터 리포트' 3월호에 따르면, 지난 1분기에 새로 발견된 전체 악성코드 및 스파이웨어는 2160개로, 이중 절반 이상(55.4%)이 트로이목마인 것으로 나타났다고 지난 16일 밝혔다.

지난 1분기 발견된 이들 트로이목마 중 온라인 게임 사용자 계정을 탈취하는 비중은 42.4%(508개)로 지난 한 해 동안 발견된 수의 절반가량에 달한다고 조사됐다.

또한 인터넷으로 송수신되는 데이터를 가로채 국내 온라인 게임 계정을 빼내는 트로이목마와 온라인 게임 사용자 계정을 빼내 아이템이나 사이버 머니를 탈취하는 것이 아니라 직접 돈을 탈취하는 트로이목마도 등장했다.

지난 2월 처음 등장한 스파이웨어 '코게임' 변형은 키보드 입력 단계에서 ID와 패스워드를 가로채던 기존의 방식과는 달리 인터넷 전송 단계에서 데이터를 유출한다. 따라서 고성능 보안 제품이 아니면 쉽게 이를 차단하기 어렵고, 해당 파일만 제거할 경우 정상적으로 인터넷을 사용할 수 없게 만들어 많은 사용자에게 큰 피해를 입혔다.

'뱅키' 트로이목마는 국내 유명 은행의 인터넷 뱅킹 접속 사이트로 가장해 사용자의 공인인증서까지 빼돌렸다. 공인인증서는 복사만 하면 다른 곳에서도 사용할 수 있어 매우 큰 위험성을 내포하고 있다.

안철수 연구소 관계자는 "최근 금전적 이익 취득 수단으로 악용되는 전통적 바이러스가 급증했다"며 "전반적으로 보안 프로그램 진단을 우회하는 자기보호 기법을 동원하는 특징을 보였다"고 설명했다.

1분기에 델보이 바이러스 변형은 약 25종이, 바이럿 바이러스는 3종의 변형이 출현했다. 이 바이러스들은 감염 후 특정 웹사이트에 접속해 온라인 게임 계정을 빼가는 트로이목마나 스팸 메일 발송 시 발신자를 감추는 트로이목마, 팝업 광고를 보여주는 애드웨어 등을 추가 설치해 금전적 이익을 취하는 수단으로 이용되고 있다.

사양세에 있던 이들 전통적 바이러스가 다시 기승을 부리는 이유는 기업 내부 네트워크에 있는 파일들을 손쉽게 감염시켜 피해 범위를 확대하기 위한 것으로 추정된다.

악성코드는 좀더 오래 생존하기 위해 보안 프로그램의 실행을 종료하거나 파일을 삭제하곤 하는데 최근에는 더욱 교묘하고 지능적인 기법이 동원되고 있다. 보안 프로그램이 탐지하는 것을 우회하는 방법으로 진단을 피하는 것이다. 은폐형 스팸 메일러인 ‘러스톡’은 보안 프로그램이 실행되는 순간 이를 탐지하여 우회한다.

온라인 게임 계정을 탈취하는 일부 트로이목마의 경우에는 안티바이러스의 진단 화면과 음향을 꺼버리는 수법으로 우회한다.

스파이웨어의 경우는 루트킷 프로그램을 사용해 자신을 보호하는 국산 스파이웨어가 작년에 3종, 올해 1분기에 2종이 발견됐다.

루트킷은 원래 해커가 네트워크에 몰래 들어가 관리자 접근 권한을 획득해 정보 유출, 컴퓨터 공격 등을 하는 데 사용되던 것으로, 작년부터 루트킷이 악성 툴바 등에 원하는 프로그램 설치나 삭제 방지, 은폐 등에 이용되기 시작했다.

허위 안티스파이웨어 프로그램인 '씨씨'의 경우 프로세스 및 설치 폴더를 은폐하기 위해 루트킷 드라이버를 설치하는데 제거 방법을 제공하지 않아 감염 피해가 다수 접수됐다.

그리고 '코게임.48019'처럼 자체 전파력 보유한 악성코드도 등장했는데, 이는 기존 스파이웨어 다운로드 기능에 윈도 취약점을 공격하고 자신을 전파하는 웜의 기능도 갖고 있다.

강은성 안철수연구 상무는 "악성코드가 부당한 방법으로 금전을 취하기 위한 도구로 이용되고 있다"며 "예방을 위해서는 통합 보안 제품을 사용하되 항상 실시간 감시 기능을 켜두고 최신 버전을 유지하는 것이 안전하며, 웹사이트에 접속하거나 워드프로세서 파일이 메일로 첨부된 보안 취약점을 노리는 악성코드를 주의해야 한다"고 강조했다.

[ⓒ 토요경제. 무단전재-재배포 금지]