야한 사진을 미끼로 한 피싱 메일이 2006년 초에 퍼지기 시작했다. 여기에 속은 사람들은 파괴형 멀웨어에 감염됐다. 문제는 그 멀웨어 자체가 아니라, 그 멀웨어 하나에 붙은 수많은 이름이었다.
3줄 요약
1. 2006년 등장한 카마수트라, 매달 3일마다 파일들을 파괴.
2. 감염 기법이 단순해 피해를 훨씬 낮출 수 있었지만, 이름이 걸림돌.
3. 아직도 다들 독립적으로 이름을 짓는 통에 대처가 효율적이지 않음.
[보안뉴스 문가용 기자] 보안 업계의 고질적인 문제 중 하나는 ‘작명’이다. 보안 사건이 발생했을 때 그 배후 세력이나 해킹 도구에 온갖 이름이 붙는데, 이 때문에 사후 대처와 보안 교육에 있어 적잖은 혼란이 야기된다. A라는 해킹 조직을 한창 추적했는데, 알고 보니 다른 업체들이 B라는 이름으로 분석해 보고서까지 낸 자들이더라, 라는 일이 자주 일어나는데, 이럴 때 보고서나 뉴스를 통해 보안 체계를 재차 점검하는 보안 담당자들의 입장에서는 같은 사건에 두세 번 놀라 비슷한 작업을 반복해야 하는 불상사를 겪게 된다.
[이미지 = gettyimagesbank]
이는 보안 업체와 기관마다 가지고 있는 작명법이 달라서이다. 죄수번호처럼 식별의 용도 외에는 아무런 의미도 없는 번호를 건조하게 붙여가는 곳이 있는가 하면, 특정 국가의 상징을 떠올리게 하는 단어(이란은 새끼고양이, 북한은 천리마, 러시아는 곰, 중국은 용 등)를 응용해 새로운 이름을 만들어내는 곳도 있다. 그러니 이쪽 저쪽에서 여러 해킹 단체에 대한 이야기가 나오는 듯하지만 거슬러 올라가면 결국 하나로 모아지는 일이 다반사다. 그러고 나서도 이름을 하나로 통일하기는커녕 그 동안 나온 모든 이름들을 병기하는 사례가 더 많다. 낭비가 아닐 수 없다.
작금의 사태를 예고한 멀웨어가 있었으니, 2006년 1월 16일에 발견된 ‘카마수트라(Kama Sutra)’ 웜이다. 20년이 지난 지금에야 카마수트라 웜이라고 편하게 부르지만, 2006년 초에는 그렇지 않았다. 보안 회사와 매체들마다 서로 다른 이름을 사용하면서 혼란이 가중됐다. 당시 이 웜을 지칭하는 이름은 CME-24, 마이와이프(MyWife), 티어렉(Tearec), 나익셈(Nyxem), 블랙말(Blackmal), 그류(Grew)였다. 차례대로 미국 침해대응센터, 맥아피, 판다, 소포스, 시만텍, 트렌드마이크로가 붙인 이름이었다.
카마수트라는 대단히 위험한 웜이었다. 매달 3일만 되면 특정 파일들을 찾아내 덮어쓰기를 하는 파괴형 멀웨어였기 때문이다. .doc, .xls, .mde, .mdb, .ppt, .pps, .rar, .pdf, .psd, .dmp, .zip이라는 확장자가 붙은 파일들은 전부 삭제(혹은 파괴!)의 대상이었다. 피해자들이 MS 오피스와 어도비 제품들을 사용해 정성껏 작업하거나 수집한 정보들이 한 순간에 사라졌다. 덮어쓰기를 하는 방식이었기 때문에 복구도 불가능했다. 인도, 페루, 이탈리아, 튀르키예에서 특히 피해가 심했고, 미국과 유럽에서도 적잖은 피해 사례가 나타났다.
카마수트라는 주로 피싱 이메일을 통해 퍼졌던 것으로 분석됐다. 공격자들은 “야한 사진”을 미끼로 피싱 이메일을 뿌렸고, 적지 않은 사람들이 이 이메일을 받아 첨부파일을 열었다. 그러고는 감염됐다. ‘웜’이라고 불렸지만, 일반적인 웜처럼 자동으로 번식하지는 않았다는 게 그나마 다행이다. 제작자가 웜 기능을 구현했지만 오류가 난 건지, 처음부터 자동 번식 기능이 없었는지는 불확실하다. 현재 분명한 건 피해자들이 야한 사진을 보고 싶어서 직접 파일을 열었을 때에만 감염됐다는 것이었다.
공격 기법이 단순했기에 언론이나 보안 업체들이 카마수트라의 위험성을 알리고 ‘메일을 통해 전달되는 야한 사진에 속지 말라’고 경고만 하면 피해가 줄어들 수 있었다. 그러나 너도 나도 각자가 정한 이름을 쓰는 바람에 대중들은 혼란스러웠고, 당시에는 비슷한 공격이 여러 가지 형태와 여러 가지 도구들을 통해 감행되는 것만 같았다. 피해가 극심하지는 않았지만, 이름만 잘 통일했어도 더 낮출 수 있었기에 아쉬운 사례로 남아 있다.
참고로 보안 업계가 다들 작명 욕심이 그득하기 때문에 이름이 중구난방인 건 아니다. 그런 점이 아예 없다고는 할 수 없지만, 대부분은 서로가 독립적으로 같은 현상을 발견해 독립적으로 추적하고 분석하기에 발생하는 일이다. A라는 업체는 B나 C라는 경쟁사가 자기와 같은 해킹 그룹을 추적하고 있다는 걸 미리 알 수가 없다. B와 C도 마찬가지다. 나중에 보고서를 발표할 정도로 윤곽이 잡히고 세상에 알릴 때가 되어서야 ‘아, 저들도 나랑 같은 자들을 쫓고 있었구나’를 깨닫게 된다. 민간 기업 간 공조 의무가 없는 이상, 즉 자율적인 경쟁이 보장되는 이상, 해킹 그룹이나 도구에 통일된 이름이 예쁘게 정리돼 붙는 미래는 오지 않을 가능성이 높다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 2006년 등장한 카마수트라, 매달 3일마다 파일들을 파괴.
2. 감염 기법이 단순해 피해를 훨씬 낮출 수 있었지만, 이름이 걸림돌.
3. 아직도 다들 독립적으로 이름을 짓는 통에 대처가 효율적이지 않음.
[보안뉴스 문가용 기자] 보안 업계의 고질적인 문제 중 하나는 ‘작명’이다. 보안 사건이 발생했을 때 그 배후 세력이나 해킹 도구에 온갖 이름이 붙는데, 이 때문에 사후 대처와 보안 교육에 있어 적잖은 혼란이 야기된다. A라는 해킹 조직을 한창 추적했는데, 알고 보니 다른 업체들이 B라는 이름으로 분석해 보고서까지 낸 자들이더라, 라는 일이 자주 일어나는데, 이럴 때 보고서나 뉴스를 통해 보안 체계를 재차 점검하는 보안 담당자들의 입장에서는 같은 사건에 두세 번 놀라 비슷한 작업을 반복해야 하는 불상사를 겪게 된다.
[이미지 = gettyimagesbank]
이는 보안 업체와 기관마다 가지고 있는 작명법이 달라서이다. 죄수번호처럼 식별의 용도 외에는 아무런 의미도 없는 번호를 건조하게 붙여가는 곳이 있는가 하면, 특정 국가의 상징을 떠올리게 하는 단어(이란은 새끼고양이, 북한은 천리마, 러시아는 곰, 중국은 용 등)를 응용해 새로운 이름을 만들어내는 곳도 있다. 그러니 이쪽 저쪽에서 여러 해킹 단체에 대한 이야기가 나오는 듯하지만 거슬러 올라가면 결국 하나로 모아지는 일이 다반사다. 그러고 나서도 이름을 하나로 통일하기는커녕 그 동안 나온 모든 이름들을 병기하는 사례가 더 많다. 낭비가 아닐 수 없다.
작금의 사태를 예고한 멀웨어가 있었으니, 2006년 1월 16일에 발견된 ‘카마수트라(Kama Sutra)’ 웜이다. 20년이 지난 지금에야 카마수트라 웜이라고 편하게 부르지만, 2006년 초에는 그렇지 않았다. 보안 회사와 매체들마다 서로 다른 이름을 사용하면서 혼란이 가중됐다. 당시 이 웜을 지칭하는 이름은 CME-24, 마이와이프(MyWife), 티어렉(Tearec), 나익셈(Nyxem), 블랙말(Blackmal), 그류(Grew)였다. 차례대로 미국 침해대응센터, 맥아피, 판다, 소포스, 시만텍, 트렌드마이크로가 붙인 이름이었다.
카마수트라는 대단히 위험한 웜이었다. 매달 3일만 되면 특정 파일들을 찾아내 덮어쓰기를 하는 파괴형 멀웨어였기 때문이다. .doc, .xls, .mde, .mdb, .ppt, .pps, .rar, .pdf, .psd, .dmp, .zip이라는 확장자가 붙은 파일들은 전부 삭제(혹은 파괴!)의 대상이었다. 피해자들이 MS 오피스와 어도비 제품들을 사용해 정성껏 작업하거나 수집한 정보들이 한 순간에 사라졌다. 덮어쓰기를 하는 방식이었기 때문에 복구도 불가능했다. 인도, 페루, 이탈리아, 튀르키예에서 특히 피해가 심했고, 미국과 유럽에서도 적잖은 피해 사례가 나타났다.
카마수트라는 주로 피싱 이메일을 통해 퍼졌던 것으로 분석됐다. 공격자들은 “야한 사진”을 미끼로 피싱 이메일을 뿌렸고, 적지 않은 사람들이 이 이메일을 받아 첨부파일을 열었다. 그러고는 감염됐다. ‘웜’이라고 불렸지만, 일반적인 웜처럼 자동으로 번식하지는 않았다는 게 그나마 다행이다. 제작자가 웜 기능을 구현했지만 오류가 난 건지, 처음부터 자동 번식 기능이 없었는지는 불확실하다. 현재 분명한 건 피해자들이 야한 사진을 보고 싶어서 직접 파일을 열었을 때에만 감염됐다는 것이었다.
공격 기법이 단순했기에 언론이나 보안 업체들이 카마수트라의 위험성을 알리고 ‘메일을 통해 전달되는 야한 사진에 속지 말라’고 경고만 하면 피해가 줄어들 수 있었다. 그러나 너도 나도 각자가 정한 이름을 쓰는 바람에 대중들은 혼란스러웠고, 당시에는 비슷한 공격이 여러 가지 형태와 여러 가지 도구들을 통해 감행되는 것만 같았다. 피해가 극심하지는 않았지만, 이름만 잘 통일했어도 더 낮출 수 있었기에 아쉬운 사례로 남아 있다.
참고로 보안 업계가 다들 작명 욕심이 그득하기 때문에 이름이 중구난방인 건 아니다. 그런 점이 아예 없다고는 할 수 없지만, 대부분은 서로가 독립적으로 같은 현상을 발견해 독립적으로 추적하고 분석하기에 발생하는 일이다. A라는 업체는 B나 C라는 경쟁사가 자기와 같은 해킹 그룹을 추적하고 있다는 걸 미리 알 수가 없다. B와 C도 마찬가지다. 나중에 보고서를 발표할 정도로 윤곽이 잡히고 세상에 알릴 때가 되어서야 ‘아, 저들도 나랑 같은 자들을 쫓고 있었구나’를 깨닫게 된다. 민간 기업 간 공조 의무가 없는 이상, 즉 자율적인 경쟁이 보장되는 이상, 해킹 그룹이나 도구에 통일된 이름이 예쁘게 정리돼 붙는 미래는 오지 않을 가능성이 높다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
