[김수연기자] 악성코드는 끊임 없는 변형과 진화를 거듭하며 질긴 생명력을 유지해 왔다.앞으로도 보안 레이더 망을 피하기 위해 더욱 진화된 기술로 무장하며 사이버 공간을 위협할 것으로 전망된다.
보안 전문가들은 미래 악성코드에 대해 어떻게 대응해야 할 지 준비해야 한다고 강조한다.전문가들이 조언하는 가장 좋은 방법은 과거 출현했던 악성코드들과 이것이 국내에 미친 영향을 돌아보고 이들의 변화상을 읽어내며 앞으로를 예측하는 것이다.
◆ 20여년 간 국내 사이버 공간을 괴롭힌 악성코드들은 무엇?
국내에 컴퓨터 바이러스가 처음으로 유입된 것은 지난 1988년이다. 당시 발견된 악성코드는 파키스탄에서 제작된 IBM PC 바이러스인 '브레인 바이러스'였다. 브레인은 360 킬로바이트(KB) 용량의 5.25 인치 플로피 디스크만 감염시키는 부트 바이러스다.
이 시기 국내에서는 컴퓨터 바이러스에 대한 개념도 잘 정립되지 않았었다.컴퓨터 바이러스와 사람에게 감염되는 생물학적 질병을 혼돈하는 사람들까지 있었다고 안랩은 회고한다.
이 때 등장한 '브레인 바이러스'는 비록 좋은 취지로 만들어지지는 않았지만 국내 백신 개발의 동기를 마련했다는 점에서 의미가 있다.
'브레인 바이러스'는 안철수 박사가 개발한 V1(V3 전신) 백신 프로그램으로 퇴치됐다. 이후 안 박사는 7년간 무료 백신 프로그램 V1, V2, V3를 만들었고 조직적이고 체계적인 개발 작업을 위해 지난 1995년에는 안철수연구소(현 안랩)를 설립했다.
1989년에는 국산 바이러스 1호인 'LBC 바이러스'가 등장했다. 파키스탄산 '브레인 바이러스'가 국내에 유입된 지 1년 만에 만들어진 이 바이러스는 짧은 기간에 전국적으로 확산됐다.
하드디스크의 부팅을 불가능하게 만들어 버리는 이 바이러스 때문에 당시 많은 사람들은 하드디스크를 포맷해야 했다. 컴퓨터 바이러스가 실제 큰 피해를 유발할 수 있다는 것을 보여준 악성코드인 셈이다.
시간이 흘러 1997년에는 기업 사용자들에게 백신 프로그램의 필요성을 깨닫게 만든 '라루 바이러스'가 등장했다. '라루 바이러스'는 기업에서 주로 사용하는 마이크로소프트(MS) 엑셀 문서를 감염시키는 엑셀 매크로 바이러스로, MS 오피스 워드 문서에 포함된 매크로를 이용해 전파됐다.
이듬해인 1998년에는 원격 제어 방식의 새로운 형태의 악성코드인 '백오리피스'가 등장했다. 원격 시스템에 접속해 사용자가 보유한 정보를 유출하는 백오리피스는 악성코드로 개인정보나 기밀 자료가 유출될 수 있다는 것을 보여줬다.
1999년에 등장한 'CIH 바이러스'는 감염 컴퓨터의 하드 드라이브를 완전히 삭제하도록 프로그래밍돼 수많은 컴퓨터 하드디스크의 데이터를 파괴시켰다.국내 사이버 공간은 일대 혼란에 빠졌다. CIH 바이러스는 대부분의 백신 프로그램으로 진단과 치료가 가능했지만 백신 사용자가 적어 피해가 컸다는 게 보안 업체들의 설명이다.
2000년에는 'I love you'라는 문구로 사용자의 호기심을 자극한 후 전자메일로 단기간에 확산된 '러브레터 바이러스'가, 2001년에는 네트워크패킷 형태로 전파되는 '코드레드 웜'이 등장했다.
특히 특정 파일이 복사되는 형태가 아닌 메모리와 네트워크패킷 형태로만 존재하는 '코드레드 웜'의 등장으로 바이러스는 해킹과의 경계도 허물었다.네트워크패킷 필터링 기능 등 방화벽 기능이 추가된 인터넷 보안 제품이 등장하기 시작한 것이 이 때다.
2003년에는 '코드레드 웜'과 마찬가지로 취약점을 이용해 네트워크로 전파되는 악성코드인 '슬래머 웜', 인터넷에 연결된 컴퓨터를 켜두기만 하면 감염되는 '블래스터 웜'이 발견됐다.
'슬래머 웜'은 윈도 보안 취약점을 악용해 네트워크 과부하를 발생시켜 네트워크를 다운시키는 방법으로 2003년 1월25일 한국을 포함한 다수 국가의 인터넷망을 불통상태로 만들어 버렸다.
'1.25 인터넷 대란'으로 국내에서는 악성코드에 대한 민관 협력 체계 구축에 대한 논의가 본격화됐고, 이듬해 정부에서는 해킹과 악성코드로부터 국가 전산망을 보호하기 위해 국정원 국가사이버안전센터를 개소하기도 했다.
2009년에는 악성코드에 감염된 개인PC를 좀비PC로 삼아 특정 사이트를 집중 공격하는 분산서비스거부(디도스) 공격으로 정부 사이트와 민간 사이트를 마비시킨 '7.7 디도스 공격'이 발생했다.
2011년 3월과 10월 각각 발생한 '3.4 디도스 공격'과 중앙선 거관리위원회에 대한 디도스 공격으로 정부와 일반 대중의 디도스 공격에 대한 관심이 높아지게 됐다.
2010년 이후 스마트폰이 보급되고 안드로이드 앱 시장이 활성화되면서 모바일 환경의 취약점을 악용한 모바일 악성코드들이 등장하기 시작했으며, 현재 이러한 모바일 악성코드는 급증하고 있다.
실제 안랩(대표 김홍선)에 따르면 올해 1월 1천900여 건이었던 모바일 악성코드 진단수는 지난 8월 2만8천여 건으로 급증했고, 10월에는 2만3천여 건의 모바일 악성코드가 발견됐다.
맥아피의 2012년도 2분기 보안위협 보고서에 따르면 2011년 약 1천800종에 불과했던 모바일 악성코드는 2012년 상반기에만 약 1만3천여 종으로 증가했다.
또한 최근 경제적이거나 정치적인 목적을 갖고, 문서 파일의 취약점을 이용한 모듈화된 악성코드로 특정 대상을 지속적으로 공격하는 '지능적 지속위협(APT)' 공격이 기승을 부리고 있는 상황이다.
◆ 지속적인 신종 악성코드 출현으로 폭증하는 악성코드
한국인터넷진흥원(원장 이기주, 이하 KISA)이 가상 네트워크 '허니넷'을 통해 올해 1월부터 9월까지 수집한 신규 악성코드는 34만9천700여 개.
'허니넷'의 경우 윈도 보안 취약점을 이용해 네트워크로 자동 전파되는 유형의 악성코드만 수집하기 때문에 실제 신규 악성코드 수는 훨씬 많을 것이라는 게 KISA 측 설명이다.
실제로 안랩이 집계한 바에 따르면 올해 9월까지 발견된 신종 악성코드 수는 571만7천569개에 이른다. 하루 평균 2만943개의 신규 악성코드가 수집된 것이다.
한국카스퍼스키랩(대표 이창규)의 경우, 하루 평균 7만5천개의 신종 악성코드가 발견되고 있는 것으로 파악하고 있다. 매일 수만 건의 알려지지 않은 악성코드가 생성되고 있는 셈이다.
하우리(대표 김희천)도 2007년까지 발견된 악성코드 수는 1천만 개 정도며, 이 수는 2011년말 약 6천500만 건, 2012년 10월 현재 8천만 건으로 기하급수적으로 증가했다고 밝혔다. 내년에는 전체 악성코드 수가 1억 개를 돌파할 것이라는 게 하우리 측 전망이다.
◆ 고도화된 악성코드 + 홈네트워크 겨냥 + 사이버전 무기
보안 전문가들은 모바일 악성코드가 점점 고도화되고 홈네트워크 환경을 겨냥한 악성코드와 사이버전 무기로서의 악성코드가 사이버 환경을 위협할 것으로 예측한다.특히 PC 기반의 악성코드가 진화해 온 것처럼 모바일 악성코드 역시 점차 고도화될 것이라는 전망이다.
한국카스퍼스키랩은 스마트폰을 비롯한 모바일 기기의 성능이 PC 못지 않게 발달하면서 악성코드 역시 모바일에서도 다양하고 정교하게 진화해 나갈 것으로 보고 있다. 특히 모바일 봇넷이 사용자 단말을 공격에 동원할 수 있는 좀비폰으로 만들어 버릴 수 있어 모바일 악성코드가 PC 악성코드보다 치명적인 보안 위협이 될 수도 있다고 경고한다.
시만텍코리아(대표 정경원) 윤광택 보안담당 이사는 "PC 악성코드는 대중화된 플랫폼, 쉽게 이용 가능한 개발 툴, 수익성 등 세 가지 요소를 통해 급속 확산될 수 있었다"며 "모바일 악성코드의 경우, 안드로이드라는 보편적인 플랫폼이 있다는 점, 배포 앱에 대한 중앙 통제가 없어 악성코드 제작자들이 앱 제작과 배포를 쉽게 할 수 있다는 점, 모바일 환경이 사이버 범죄자들에게 새로운 시장 기회를 제공하고 있다는 점에서 앞으로 더 확산될 것"이라고 관측했다.
안랩 이호웅 시큐리티대응센터장 역시 "앞으로 사용자들은 스마트폰을 비롯해 개인화된 디지털 기기들을 더 많이 이용하게 되고 이 기기들은 모두 운영체제와 취약점을 갖고 있다"며 "악성코드들이 뛰어놀 수 있는 놀이터가 더 다양하게 제공되는 셈"이라고 말했다.
윈스테크넷(대표 김대연) 손동식 침해사고대응센터장은 "PC 운영체제의 대부분은 MS가 치지하고 있지만, 모바일 운영체제는 아직 명백한 선도기업이 없다"며 "앞으로 모바일 기기를 시작으로 운영체제 시장이 다변화하고 이를 타깃으로 하는 공격이 증가할 것"이라고 예상했다.
홈네트워크 환경이 확산되면서 가전 제품이 악성코드의 새로운 타깃이 될 것이라는 전망도 있다.
하우리 기술연구소 최상명 선행연구팀장은 "홈네트워크 환경의 확산으로 스마트폰 뿐 아니라 인터넷이 연결된 가전제품, 스마트카 등을 통해 악성코드에 감염되는 피해가 발생할 것"이라며 "플랫폼의 취약점을 악용한 악성코드가 침투할 수 있다"고 내다봤다.
이밖에 더욱 정교해진 악성코드들을 무기로 국가 차원의 사이버전이 지속될 것이라는 예측도 있다.
가까운 미래에는 금전적 이득을 노린 악성코드는 물론 스턱스넷처럼 기관과 정부, 중요 시설에 대한 정치적, 집단적 공격을 목표로 한 악성코드가 보다 활발히 활동할 수 있다는 것이다.스턱스넷은 이란 원전 건설을 방해하기 위한 목적으로 제작된 악성코드로 지난 2010년 6월 발견된 바 있다.
파이어아이 코리아(대표 전수홍)의 양경윤 이사는 "올해 초 중동 핵시설을 겨냥한 것으로 추정되는 악성코드 '플레임'의 경우 전체 모듈의 크기가 약 20MB에 이를 정도의 정교한 코드로 이뤄져 있다"며 "과거와는 비교할 수 없을 정도로 정교한 악성코드들이 조직화된 기관의 스폰서십을 통해 계속해서 개발되고 이러한 악성코드가 국가기간망이나 산업시설을 타깃으로 하는 사이버전에 활용되는 추세가 가속화될 것"이라고 내다봤다.
김수연기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기