올 상반기 금전을 노린 악성코드, 해킹 등 보안 위협요소가 작년 같은 기간보다 2.1배 증가한 것으로 나타났다.

25일 안철수연구소의 ‘시큐리티대응센터(ASEC) 리포트’에 따르면, 지난 1~6월 돈을 노린 악성코드, 해킹, 스파이웨어 등이 지난해 동기 대비 2.1배 급증했다. 웹사이트에서 유포된 악성코드는 136만개 이상이었다.

상반기에 새로 발견된 악성코드와 스파이웨어는 2만2537개다. 전년 동기 1만589개에 비해 2.1배 증가했다. 이중 정보를 탈취하는 트로이목마의 비중이 48.8%였다. 보안에 취약한 웹사이트에서 유포된 악성코드는 136만3866개였고, 4만9567개 웹페이지에서 악성코드가 발견됐다.

안철수연구소 시큐리티대응센터 조시행 상무는 “개인 정보를 빼돌리거나 금전적 이득을 위한 악성코드 등 보안 위협이 늘고 있다”며 “개방적 환경인 인터넷으로 연결된 채 이런 위협에 노출된 사용자는 피해자인 동시에 가해자가 될 수 있다”고 강조했다.

◇스팸메일 발송 ‘커널 스팸 봇’

스팸메일을 발송하는 기계인 ‘커널 스팸 봇’의 피해 신고가 급증했다. 윈도 주요 시스템 프로세스에 자신의 스레드, 즉 프로세스에서 실행되는 흐름 단위를 생성해 동작하는 악성코드다. 러스톡(Win-Trojan/Rustock)이 대표적이다. 감염 PC에서는 주로 불법 광고 스팸메일이 발송된다. 정보를 유출하기도 한다. 감염 경로는 다양하다. 메일에 삽입된 주소를 클릭하거나 보안이 취약한 웹사이트를 방문했을 때 자동 다운로드, 실행된다.

◇콘피커 웜 변종

콘피커 웜(Win32/Conficker.worm)은 지난해 10월 말 처음 보고된 이후 여전히 위세를 떨치고 있다. 확산 방법이 다양한 데다 자기보호 기능이 있기 때문이다. A~E형 다수의 변형이 발견됐다. 어떤 변형이 제작돼 피해를 줄는지 예측이 어려운 상태다.

◇웹 공격 지능화

일반적인 웹 공격은 사이트를 해킹한 후 취약점 공격코드(Exploit)가 있는 서버로 연결되는 URL을 삽입하는 방법을 쓴다. 하지만 최근에는 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나 정상 링크와 흡사한 링크를 사용하는 등의 기법이 더해졌다.

◇메신저 계정 수집 악성코드

타인의 계정으로 메신저에 로그인, 아는 사람인 척 대화 상대에게 금전을 요구하는 사기가 증가하는 추세다. 이런 계정 탈취 수단 중 하나로 추정되는 것이 나티스(Win-Trojan/Natice) 악성코드 변형들이다. 그림 파일로 위장하거나 직접 다운로드 링크를 대화 상대에게 보내기도 한다. 연결된 페이지는 일종의 피싱 페이지로서 메신저 로그인 계정을 입력하도록 돼 있다. 이렇게 수집된 계정을 사기에 이용한다.

◇국산 엑셀 매크로 바이러스

5월 초부터 엑시스(X97M/Ecsys) 바이러스가 확산됐다. 엑셀 파일을 실행할 때마다 다른 문서 파일을 감염시킨다. 오후 4시44분44초가 되면 특정 파일을 삭제하는 것처럼 메시지를 보여준 후 ‘뻥!임’이라는 창을 띄우기도 한다.

◇영상 재생 프로그램 위장 국산 스파이웨어

국산 스파이웨어는 주로 액티브X를 이용해 배포됐다. 하지만 최근에는 영상 재생 프로그램(코덱)이나 영상 자체로 가장해 배포되고 있다. 영상으로 사용자의 접속을 유도한 후 이를 클릭하면 코덱을 설치하라고 메시지를 보여준다. 이 때 설치되는 프로그램은 코덱이 아니라 가짜백신이나 스파이웨어다. 대부분 해외에서 발견된 방식인데 요즘은 국내 제작자가 모방하는 추세다.

◇제로데이(0-day) 취약점 발견

MS 파워포인트, MS 엑셀, MS SQL 등 마이크로소프트 제품군 등에서 잇따라 발견됐다. 제로데이 취약점은 개발사가 공식 패치를 제공하기 전에 공격을 받게 되므로 주의가 요구된다.

◇외산 가짜백신 배포, 감염

가짜백신 배포방법이 다양해졌다. 가짜백신 배포자는 최대한 많은 PC에 설치해 수익을 올리려 든다. 음란 사이트나 불법 소프트웨어 사용을 위해 필요한 키 생성 프로그램을 가장해 설치를 유도하거나 유명 사이트를 변조해 사이트 방문시 운영체제의 취약점을 이용해 설치한다. 최근에는 메일의 첨부 파일로 전파되는 e-카드 형태의 악성코드에 의해서도 설치된다. 또 유튜브 같은 사이트에서 해당 사이트를 직접 방문하게 하거나 공유 파일을 이용해 설치를 유도하기도 한다.

◇사회이슈 이용한 웨일덱 웜

웨일덱 웜(Win32/Waledac.worm)은 이스라엘의 가자 지구 침공, 밸런타인 데이, 오바마 대통령 당선, 테러 관련 뉴스 등 잘 알려진 이슈를 이용해 메일로 유포됐다. 메일 내 특정 링크를 통해 사용자를 특정 웹 페이지로 유도한다. 해당 웹 페이지로 접속하면 특정 실행 파일 다운로드 창이 나타난다. 특정 웹 서버로 접속을 시도하기도 한다. 조직적으로 제작, 유포되는 웜이다. 많은 변형으로 피해를 줄 가능성이 높다.

◇바이럿 바이러스 변형

바이럿(Win32/Virut) 바이러스는 2006년 발견된 이래 지속적으로 변형이 나오고 있다. 컴퓨터의 메모리를 감염시키므로 메모리 치료를 선행하지 않으면 반복적으로 감염된다. 보안 소프트웨어 진단을 회피하는 변형도 제작되고 있다. 최근에는 온라인게임의 패치 파일이 감염된 채 배포되기도 했다.