악성프로그램 80% 이상 MS 취약점 이용...패치가 중요


일반적으로 악의적인 목적으로 제작된 형태의 프로그램들은 자신의 실행을 위장 축소 하거나 은폐시키기 위한 기능을 가장 우선시 하는 경우가 많다. 그래야만 컴퓨터 사용자로부터 자신을 숨기고 특정 목적의 기능을 수행할 수 있는 환경적인 조건을 만들 수 있기 때문이다.

하지만 예외의 경우가 종종 발견되는데, 그 중 대표적인 것이 Multi Drop 기능을 가진 형태의 트로이목마들로 실행할 경우 수 십 개의 악성코드를 시스템에 생성하기 때문에 상대적으로 쉽게 발견될 가능성이 높다.

인터넷 기반의 트로이목마들은 웹 다운로드 기능을 이용하여 다양한 변종을 추가 설치하는 것을 선호하지만, 이런 경우 해당 URL이 차단되어 무용지물이 될 수 있는 단점을 가지고 있기 때문에 긴 수명을 가지고 있지는 못하다.

국내외로 많은 변종이 유포되었던 WhBoy나 Viking 바이러스 등도 Multi Downloader 기능을 이용한 대표적인 기생 바이러스라 할 수 있는데, 자동 제작프로그램 등에 의하여 특정 URL에 많은 링크주소를 생성하거나 리스트 파일을 이용하여 멀티 다운로드 기능을 수행하기도 한다.

특히 AutoRun.inf 파일을 이용하여 Local HDD나 USB 저장매체에 접근 시 자동으로 실행하도록 하기도 하며 다운로드 수행 기능에 시간차를 두어 신속한 분석을 어렵게 하기도 한다.

아래 그림은 잉카인터넷에서 제공한 것으로 실제 중국에서 제작되어 배포되었던 다운로드 생성 프로그램이며 사용자가 손쉽게 악성프로그램을 제작할 수 있는 도구이다. 다음 그림은 WhBoy  다운로더 생성기 프로그램이다.
 



반면 Package 형태의 Multi Dropper는 상대적으로 쉽게 설치할 수 있다는 장점으로 인하여 다양하게 이용되어 오고 있으며, 단순 자동압축해제(SFX)로 제작된 것부터 정식 Installer 등을 이용하는 경우까지 그 범위가 매우 폭 넓게 사용되고 있다.

이러한 경우 백신프로그램은 압축해제(Unpack) 기법에 따라 진단방식이 달라지는데, 내부에 포함되어 있는 원본 파일을 DB화하는 것이 일반적인 추세라 말할 수 있지만, 현실적으로 다양한 환경의 압축프로그램을 모두 반영하기 어려운 과제가 뒤따르며 내부에 포함된 악성코드 중 일부만 교체하여 재 배포될 경우 변형이라는 사실을 쉽게 눈치채기 어려운 문제가 발생할 수 도 있다.

아래 화면은 실제로 Multi Drop기능을 가진 특정 악성프로그램의 내부화면으로 하나의 파일에 약 12개의 악성코드가 추가적으로 포함되어 있는 모습을 볼 수 있으며, 그 외 인터넷 바로 가기 등의 아이콘도 포함되어 있는 것을 확인할 수 있다.
 

중국에서 제작된 이 악성프로그램은 각종 트로이목마와 Rootkit, Adware 등을 포함하고 있기 때문에 실행할 경우 시스템은 다양한 악성코드의 감염으로 인하여 컴퓨터 사용에 막대한 지장을 받게 되는 것은 물론, 웹 다운로드로 인하여 더 많은 악성코드가 추가 유입되는 피해를 입게 되는 것이 일반적이다.

아래 내용은 실제 감염될 경우 어떠한 부작용과 피해가 발생하는지 가상 에뮬레이터 공간에서 모의 테스트를 진행하는 화면으로 정지 화면상에는 보이지 않지만 계속해서 다른 악성코드가 연결되어 연속적으로 실행되기 때문에 프로세스에는 많은 수의 악성코드가 실행되었다가 종료되는 것을 볼 수 있다. 다음 그림은 감염 된 후의 프로세스 변화 모습이다.
 



또한, 시스템 폴더에는 순식간에 약 20 여 개의 악성코드 파일들이 생성된 것을 눈으로 확인할 수 가 있으며, 이와 같은 경우 사용자는 악성코드 감염으로 인하여 다양한 피해를 입게 된다는 것을 어느 정도 짐작해 볼 수 있을 것이다.

이러한 종류의 Multi Dropper는 감염된 경우 치료의 어려움이 발생할 가능성이 매우 높은 편인데, 그 이유는 백신프로그램이 치료하기 전에 시스템에 각 종 손상이 먼저 발생하는 경우와 다양한 변종을 모두 일괄 처리하지 못하여 숙주 본에 의하여 재 감염되는 경우가 반복적으로 지속되는 형태라 할 수 있다. 아래는 시스템폴더에 생성된 악성코드 화면이다.
 



특히 설치된 형태의 악성코드 중에 실행파일을 감염시키는 파일 바이러스가 가끔 발견되고 있는데 이러한 경우는 감염시스템의 손상 정도가 매우 심각한 수준으로 발전할 수 있어 무시할 수 없는 보안위협 중 하나이기도 하다.

잉카인터넷 관계자는 “이처럼 다양한 형태로 발전되어 사용되고 있는 악성코드로부터 시스템과 중요 정보를 보호받기 하기 위해서는 무엇보다 유입 전 차단이 필수적이며, 그러기 위해서는 기본적인 보안패치 프로그램과 백신프로그램을 최신 버전으로 유지하고 신뢰할 수 없는 프로그램의 실행은 주의 깊게 살펴보는 것이 중요하다”고 밝혔다.

실제 최근에 유포되는 대부분의 악성프로그램들은 80% 이상이 MS보안취약점을 이용하고 있기 때문에 보안 업데이트와 패치만 적절히 설치한다면 각종 보안위협으로부터 어느 정도 안전을 보장받을 수 있다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>