최근 보안연구진들이 새로운 종류의 말웨어의 유형을 발견하였는데, 해당 말웨어는 한번 다운로드되어 사용자의 디지털기기에 잠입하게 되면 보안소프트웨어를 잠재적으로 무력화시키고 악의적인 보안유출 소프트웨어의 변종들을 지속적으로 생산해내는 것으로 나타나 사용자들의 주의가 요구된다 할 수 있어 관련 내용을 상세히 알아보고자 한다.

Microsoft社의 말웨어보호센터의 연구진들은 1월 4주, 자신들의 연구결과를 발표하였는데, 새롭게 발견된 말웨어의 작성코드가 기존에 유포되어왔던 말웨어와 코드와는 확연하게 다름에 주목하였고, 말웨어가 다운로드되거나 exe유형으로 생긴 실행파일에 잠복되어 있지 않은 것으로 나타났다고 한다. [출처: https://blogs.technet.com/b/mmpc/archive/2012/01/24/a-different-breed-of-downloader.aspx?Redirected=true]

보통 말웨어는 디지털기기에 명백하게 유해한 코드를 다운로드받게 만드는 방식을 취하고 있는 편이지만, 이번에 발견된 말웨어코드는 실행파일이 압축이 풀리며 사용자의 기기에 설치될 때 어떠한 악의적인 코드도 설치하지 않았다고 한다.

인터넷연결이 이루어진 상태에서 일단 어플리케이션이 실행되고 나면, 해당 말웨어는 자신의 파일을 복제한 복제파일을 웹으로부터 다운로드 받게 만들며, 윈도우 시스템 폴더에 misys.exe라는 파일명으로 사용자 기기에 설치가 되며, 이후 키보드로 입력하는 모든 내용을 낚아챌 수 있는 키로깅 (keylogging)을 실행한다고 한다.

이번 말웨어의 유형변화는 말웨어 코드분석 자체를 통한 악성코드 유무의 판단이 더 이상 효과적일 수 없다는 것을 암시하는 것일 수 있으며, 기존의 디지털 보안제품들이 바이러스 소프트웨어의 유무를 판단할 때 사용해온 기법들이 무시될 수 있다는 점에서 주목할 필요가 있다고 할 수 있다.

기능적인 측면에서 변화를 준 이번 말웨어는 사용자의 디지털기기에 잠복한 이후 자체적인 프로세스에 따라 직접적으로 새로운 지시를 다운로드 받는 수법을 따르고 있어 기존 말웨어들이 레지스트리에 변화를 주거나 시스템 프로세스에 영향을 주는 것과는 사뭇 다르다 할 수 있다.

변종 말웨어를 통해 다운로드 된 지침이 또 다른 프로세스를 생성해내거나 저장장치로 침투하는 방식을 취하지 않고, 다운로드를 할 때마다 말웨어 기능이 새롭게 부과된다는 점에 주목해야 할 것이다. 해당 말웨어는 기초적인 말웨어 빌더 툴을 통해 매우 간단하게 만들어낼 수 있을 정도로 간단한 수준에서 제작이 될 수 있으며, 이는 다시 말해 향후 거대한 보안위협으로 등장할 가능성이 높다고 할 수 있다.

또한 말웨어 유포자들이 특정 데이터를 훔치거나 전송받기 위해서 표적이 될 디지털기기에 언제고 말웨어를 안착시켜 놓을 확률이 높다는 점에서 사용자들의 주의가 필요하다 할 수 있다.

10여 년 전만 해도 대부분의 바이러스와 웜은 호기심 많은 학생이나 장난꾼들이 자신의 기술을 과시하거나 단순히 오락을 위해 만드는 경우가 많았다. 이러한 추세는 이제 조직적인 범죄자들에 의해 금전적 이익을 얻기 위한 목적으로 빠르게 변화하고 있다. 이제 각국 정부도 이에 주목하고, 국가적으로 지원하는 사이버전(cyberwar)에 대한 준비로서 사이버 공격무기에 대한 개발에 열중하고 있는 형국이다.

예를 들면 일본의 국방 전문가들은 최근 디지털 바이러스를 개발했다고 발표했는데, 이는 공격 시스템을 추적하고 판별하여 무력화시키는 기술이다. 이 바이러스의 개발은 3년 전부터 시작되었으며, 아직은 폐쇄적인 네트워크에서만 테스트되었다고 일본의 일간지 요미우리가 보도했다.

사이버 공격을 억제하기 위해 디지털 바이러스가 사용될 수 있다는 아이디어는 그리 새로운 것은 아니다. 2001년 악명 높은 Code Red 웜이 발견된 이후 Code Blue와 Code Green 등 다수의 웜들이 Code Red 웜 감염에 취약한 시스템을 패치하기 위해 배포되었다. Code Green은 심지어 Code Red에 감염된 시스템을 치료하기위해 사용이 시도된 사례도 있다.

군대 사정에 정통한 전문가들의 보고에 따르면, 2005년을 전후하여 미국 정부는 사이버전(cyberwarfare)을 치룰 수 있을 만큼의 능력을 배양하기 위해 상당한 금액을 투자하기 시작하였다. 개발 기술은 봇넷(botnet)에서부터 강력한 웜 소프트웨어에 이르기까지 다양하게 나타났다. 오늘날 대부분의 대규모 정부조직은 사이버전쟁을 치룰 수 있을 정도의 능력을 갖추고 있는 것으로 예상된다.

많은 이들은 이란의 핵시설을 공격한 스턱스넷(Stuxnet)이 이스라엘의 도움을 받았건, 받지 않았건 간에 미국 정부의 작품인 것으로 의심하고 있다.

국 가 대 국가의 전쟁 상황이라면, 자동화된 대응 능력을 갖추기 위한 노력은 당연한 것이라고 Spire Security社의 연구책임자인 피트 린드스트롬(Pete Lindstrom)은 말했다. 인간은 컴퓨터에 의한 대규모 공격을 감당할 수 없다고 그는 주장했다.

그러나 만일 정부가 공격에 대응하여 공격을 무력화하기 위한 도구로서 바이러스와 웜, 또는 DDoS 공격 등을 활용해 대규모 전자적 반격을 시작한다면, 이로 인한 파급효과는 상상하기 어려울 정도로 심각할 수 있다고 그는 지적했다. 즉, 전자적 대응이 일단 시작되면 어떠한 시스템과 네트워크에 어떠한 영향을 미칠 수 있을지 모를 수 있다고 그는 경고했다.

보 안연구 기업인 Securosis社의 연구원인 데이비드 모트만(David Mortman)은 기업의 보안 관리자들은 지난 20년 동안 우리가 목격한 동일한 모든 유형의 공격을 숙지해야 한다고 말했다. 그는 바이러스와 웜, 서비스 거부 공격, 봇넷, 소프트웨어 취약점 공격, 사회공학적 공격 등에서 새로운 것을 발견해낼 수 있는 확률은 거의 없다고 주장했다. 그러나 현재 그 규모는 매우 확대된 것을 알 수 있으며, 이러한 공격으로부터 자신을 보호하기 위해서는 이미 추진했어야 할 모든 대비책을 실행할 필요가 있으며, 다시말해 이는 기존의 공격과 재난에 대한 정당한 대응과 계획을 준수하는 것이라고 그는 지적했다.