다단계 악성코드 주의해야...

https://news.naver.com/main/read.nhn?mode=LS2D&mid=sec&sid1=105&sid2=283&oid=147&aid=0000035586악성코드 하나를 주입한 후 다른 악성코드까지 대량으로 내려 받게 하는 ‘다단계’ 전파방식의 악성코드가 최근 자주 발견되고 있다. 이들 악성코드는 대부분 게임 계정이나 개인정보 유출에 악용되고 있어 사용자들의 각별한 주의가 요구된다.

뉴테크웨이브(대표 김재명, www.viruschaser.com)는 1일 ‘10월 국내 악성코드 동향’ 분석을 통해, 지난 달 가장 눈에 띄었던 악성코드로 ‘오토러너(Win32.HLLW.Autoruner)’ 웜을 지목했다.

‘오토러너’ 웜은 특정 사이트로 접속한 후 다른 악성코드를 대량으로 다운로드 해 피해를 입힌다. 윈도 구성파일인 ‘autorun.inf’를 이용하여 USB와 같은 저장매체와 네트워크를 이용해 전파하기 때문에 확산이 빠르다. 지난 달 발견된 ‘오토러너’ 웜은 무려 10종의 트로이목마를 다운로드 했었다.

지난 달 18일 발견된 변종은 ‘스니프(Sniff)’라는 트로이목마를 이용해 ARP 스푸핑 기법까지 도입했다. 같은 네트워크 내의 시스템들이 특정 웹사이트로 접속할 때 트래픽을 가로채어 수신되는 트래픽을 변조해 악성 아이프레임(Iframe) 코드를 삽입시킨 후 다른 악성코드 유포사이트로 접속하게 하는 방식이다. 이로 인해 패스워드 스틸러 등 또 다른 악성코드에 감염됐으며 결국 과도한 트래픽으로 인터넷이 지연되거나 아예 되지 않는 피해를 입기도 했었다.

뉴테크웨이브 기술연구소의 연구원은 “최근 중국으로부터 유입되는 악성코드를 보면 꼬리에 꼬리를 물고 다량의 악성코드를 전파하는 형태를 띄고 있다”며 “앞으로도 게임 아이디와 패스워드 유출을 위한 다양한 공격 시도가 늘 것으로 보인다”고 전망했다.

뉴테크웨이브는 최근 많이 나타나는 악성코드의 양상 중, 윈도 표준시간을 변경하여 백신의 업데이트를 방해하는 현상에 대해서도 지적했다. 이 경우 해당 악성코드를 치료하더라도 윈도 표준시간은 백신이 원래대로 변경하지 않기 때문에, 윈도 업데이트가 자동으로 실행되지 않거나 특정 보안 프로그램이 오작동할 수 있다.

뉴테크웨이브는 “악성코드들은 자기 자신의 전파나 수명 연장을 위해 ARP 스푸핑처럼 복잡하고 정교한 기술도 사용하지만 윈도 표준시간 변경 같이 가장 기본적인 보안 허점을 노리기도 한다”며 “새로운 취약점에 노출되지 않기 위해서는 정기적 보안 업데이트와 함께 윈도 표준시간을 확인하는 작은 노력도 필요하다”고 당부했다.

박광선 기자 kspark@pbj.co.kr