[문스랩닷컴] 삶에는 왕도가 없습니다

바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.

우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.

또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.

여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.

만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.

하지만, 궁하면 통하는 법!

어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.


오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.

단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.

돈버는 것도 역시 틈새시장이 최고로 보입니다.

참고자료: http://www.wired.com/threatlevel/2009/12/virus-check/?

시만텍은 ITW(In The Wild, 인터넷 또는 컴퓨터에 실제로 출현한 악성 프로그램) 바이러스가 100만개를 돌파했다고 밝혔다.

시만텍이 발간한 인터넷 보안 위협 보고서(Internet Security Threat Reprot)에서는 2006년에 125,243 개의 바이러스가 출혀하고, 2007년도에는 711,912개가 새롭게 출현했으며, 전체 숫자는 1,122,311개에 달한다.

보고서에서는 대부분의 바이러스들이 윈도우 운영체제를 대상으로 하고 있으며, 새로운 바이러스를 제작하는데 있어 소프트웨어의 취약점을 이용하거나 기존 코드를 응용하여 변형한다고 밝혔다.

2006년에 비해 2007년도에 바이러스의 수가 증가한 대표적인 원인은 악성 코드를 제작하는 전문 프로그램의 증가와 이러한 위협을 실제 인터넷(컴퓨터)에 퍼뜨리기 위해 전담하는 프로그래머들의 조직화에 있다고 한다.

프로그래머 그룹은 하나의 악성코드를 작성하는 대신 다양한 새로운 위협 수단을 창출하고 있다. 목적은 대부분은 경제적인 이득을 얻기 위함이며 이런 방식을 통해 프로그래머들은 새로운 위협 방안을 생산해내는데 비용을 사용한다고 한다.

이들의 희망은  안티바이러스 제작사들이 문제점을 처리하는데 실망하는데 있다고 하며 카스퍼스키는 2008년 중에 악성 프로그램의 수가 10배 이상 증가할 것이라고 하며 이제 억성 프로그램의 양적 증가에 대한 경종을 울려야 한다고 한다.

양적인 성장 이외에도 악성 프로그램의 품질 또한 향상되고 있다고 카스퍼스키 사의 수석 기술 컨설턴트인 데이비드 엠(David Emm)이 경고하고 있다.

예를 들어 악명 높았던 Zhelatin(스톰 웜)과 같이 복잡한 샘플로 볼 때 다양한 악의적 행동과 배포 방법을 다양화하는 것을 단적으로 보여주고 있다.

이러한 문제점은 이미 IBM에서 제기한 적이 있으며 이에 대한 자료는 아래 링크를 참고한다.
http://www.pcpro.co.uk/news/186666/ibm-security-business-a-futile-pursuit.html

최근 Best Buy에서는 디지털 사진 액자 프로그램의 판매를 중지한 것으로 알려졌는데 그 이유는 프로그램이 바이러스에 감염된 것이라고 합니다. 다행이도 이 바이러스는 Insignia NS-DPF10A 라는 제품에만 한정되어 감염되었으며, 이 제품은 10.4인치 액자 크기라고 합니다.

Best Buy에서는 거의 한달 가량 이 바이러스에 대해 인지하고 있었으며 이 문제를 처리할 때까지 고객들에게 알리지 않고 있었다.

이 바이러스는 이미 오래전에 출현한 바이러스로 최신의 안티 바이러스 제품에서는 대부분 진단 및 치료가 가능하다고 합니다.

  바이러스 평가 기관인 Virus Bulletin에서 이번 12월을 맞이하여 Windows 2000 운영체제를 대상으로 한 결과를 발표하였습니다.

홈페이지: http://www.virusbtn.com

# 평가를 통과한 제품
Agnitum Outpost
BitDefender AntiVirus
Bullguard Bullguard
CA eTrust
ESET NOD32
F-Secure Anti-Virus 2008
GDATA Anti-virus
Grisoft AVG
McAfee VirusScan
Microsoft Forefront
MWTI eScan
PCTools Anti-Virus
Quick Heal Quick Heal
Symantec Endpoint Protection
VirusBuster VirusBuster

# 평가를 통과하지 못한 제품
AEC Trustport Antivirus
Alwil avast!
Avira AntiVir
CA Antivirus
Doctor Web Dr. Web
Fortinet Forticlient
Frisk F-PROT
Ikarus Virus Utilities
Iolo Antivirus
Kaspersky Anti-Virus
Kingsoft AntiVirus
Norman Virus Control
PCTools Spyware Doctor
Redstone Redprotect
Rising Antivirus
Sophos Anti-Virus
Trend Micro OfficeScan

참고로, 위의 결과가 바이러스를 잘 잡는다 못 잡는다의 핵심적인 기준이 될 수는 없다는 점을 주의하시기 바랍니다.

요즘에는 바이러스(웜, 등등  통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.

하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.

이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?

미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.

http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

<그림 #1. 악성 프로그램의 발생 순서에 따른 진단명, MD5 값을 보여 준다.>

여기서는 최신으로 발생하는 악성 프로그램을 시간 순서로 보거나, 월별로도 볼 수 있다. 아래는 11월 10일날 발견된 Troyan-Downloader.Win32.Agent.ezm 악성 프로그램의 진단 시점에 대해 안티 바이러스 제품별로 자세히 보여 준다.
<그림 #2. Troyan-Downloader.Agent.UZM 의 진단 시점>

초록색은 발생하자 마자 진단이 된 것으로 발생 초기부터 진단했다는 의미이고, 주황색은 일정한 시간 후에, 그리고 빨강색은 진단 기간동안 감지하지 못한 것을 의미한다.

자세한 사항은 오른쪽 위 그리고 아래에 있는 Download Data 링크에서 엑셀 파일로 제공한다.

특히, 월별로 데이터를 산출해 보면, 악성 프로그램 별로 걸리는 시간을 더욱 쉽게 알아 볼 수 있다.
<그림 #3. 안티바이러스 제품별로 월별 진단 시간, 가능 여부를 볼 수 있다>

이러한 자료를 통해 안티 바이러스 제품의 기동력(!)을 한번 더 평가하는데 도움이 되었으면 한다.

우리가 많이 사용하는 윈도우 운영체제에서는 바이러스 등 악성 프로그램의 피해가 매우 심각합니다만, 매킨토시의 경우 어느 정도 바이러스 제작자의 타겟이 아니므로 바이러스가 거의 없다고 볼 수 있었습니다.

하지만, 드디어 매킨토시를 공격하기 위한 첫번째 바이러스(정확히는 트로이 목마)가 발견되었다는 소식입니다.

이 바이러스는 한 포르노 웹사이트에서 제공하는 소프트웨어(동영상 코덱)에 숨겨져 있으며 사용자가 이를 모르고 다운로드하여 실행할 경우에는 컴퓨터의 제어권을 빼앗기게 된다고 합니다. 즉, 포르노 동영상을 보기 위해서는 이 가짜 코덱을 설치해야 한다고 속여서 감염을 시도합니다.

가장 먼저 발견하여 언급한 곳은 인티고(Intego)라는 매킨토시 관련 포럼으로 알려졌으며 애플은 이 사실을 공식 확인했다고 합니다.

한 편, 보안 벤더 중 하나인 트렌드 마이크로 社는 이 바이러스가 2006년에 유행했었던 ZLOB의  변종으로 윈도우용 트로이 목마가 매킨토시로 진화한 것이리고 밝혔습니다.

이러한 사실을 본 때 앞으로는 윈도우 운영체제 뿐만 아니라 매킨토시 운영체제에서도 바이러스에 대한 다양한 연구와 이를 방어하기 위한 보안 프로그램 개발이 진행될 것으로 생각됩니다.

물론 기존의 보안 벤더에서는 매킨토시용 안티 바이러스 제품을 개발 중이거나 판매 중인 곳도 있습니다만, 이제 올것이 온것이라~는 느낌을 지울 수가 없습니다.

일련의 보안 자료를 보면, 해가 가면 갈수록 바이러스, 웜 등의 악성 프로그램의 발생 건수가 기하급수적으로 증가하고 있습니다.

일반적으로 안티 바이러스 제품은 서명(시그내처) 기반의 진단 기술을 사용하기 때문에 바이러스가 발견된 이후에 그에 대한 데이터베이스가 업데이트되는 형편입니다. 물론, 일부 안티 바이러스 제품은 사전 방역, 휴리스틱 진단 기법을 통해 아직 발견되지 않은 악성 프로그램을 미리 예방할 수도 있습니다. 하지만, 장점이 있으면 단점이 있는 법! 오진의 가능성이 서명 기반의 안티 바이러스 제품보다 높다는 단점이 존재합니다.

우스갯소리로 안티바이러스 분석팀은 일년내내 일을 해도 다 못한다는 말이 있습니다. 그만큼 갈수록 업무가 증대되고 있으며 사람이 수작업으로 진행한다면 처리할 수 있는 일에는 보나마나 한계가 있을 수 밖에 없습니다. 최근 보안 벤더들은 자동으로 처리할 수 있는 가상화 기술/소프트웨어를 도입하여 사용합니다.

악성 프로그램 제작자들은 새로운 악성 프로그램을 탄생(!)시키기 보다는 기존의 악성 프로그램을 변형하는 방법을 주로 취합니다. 물론 작성자는 자신의 코드를 충분히 이해할 수 있다는 가정을 한다면, 변종(Variant)을 떡 주므르듯이 마구 만들어서 널리 감염시킬 수 있을 것입니다.

최근 외국의 유명한 보안 전문가는 최근 안티 바이러스 제품의 허를 찌르는 글을 하나 게재했습니다.

서명 기반의 바이러스 백신 제품의 기술로는 바이러스로 검출되는 코드(이하 스크립트와 동일함)는 동일한 패턴이 나타나면 거의 100% 진단할 수 있는 기술을 보유하고 있습니다.

여기서 언급하는 스크립트는 인터넷 익스플로러에서 동작하는 악성 프로그램을 말합니다.

하지만, 코드의 일부분에 공백이나 숫자등을 채우는 이른바 패딩(padding) 기법으로 변조할 경우에는 제대로 바이러스 여부를 진단할 수 없다고 합니다.

이렇게 채우는 값을 최대 255 바이트까지 늘릴 경우에는 거의 대부분의 바이러스 백신에서 제대로 진단하지 못한다는 테스트 결과도 나온 적이 있습니다.

상식적으로 생각해 봐도, 악성 프로그램의 변종을 만들어 내는 것은 스페이스 바~ 누르는 것처럼 아주 쉽겠죠?

아래 그림은 악성 스크립트를 vi 편집기로 본 화면입니다.

그리고, 헥사 덤프(16진수로 보여주는)로 본 화면입니다. 중간에 0x00 값을 많이 채워넣었습니다.

이러한 방식으로 코드를 변조한 상태에서 바이러스토탈(http://www.virustotal.com)에서 진단한 결과를 보면 32개 제품 중에 15개 제품만이 악성 프로그램으로 진단하였다는 결과가 나온 적이 있습니다.

한 편, 스크립트에서 의미없는 0으로 채워진 값을 제거한 상태에서는 32 제품 중에 25개 제품이 진단에 성공하였습니다.


마이크로소프트의 관계자에 따르면 이러한 공백 처리 부분은 인터넷 익스플로러의 구조적인 설계에 기인한다고 수년 전에 발표한 적이 있습니다. 하지만, 구조적인 설계가 잘못된 경우라고 한다면 IE7이 나오면서 이러한 문제를 보완하는 새로운 설계가 나와야 하는 것은 아닐까요?

참고로 이러한 문제점에 대항하기 위해 맥아피의 바이러스 스캔(VirusScan) 제품에서는 스크립트스캔(ScriptScan)이라는 전용 모듈을 추가하여 이러한 문제점에도 불구하고 충분히 진단이 가능한 기술을 추가한 상태입니다. 아래 동영상 참조하세요.


감사합니다.

자료 출처: http://blog.didierstevens.com/2007/10/23/a000n0000-0000o000l00d00-0i000e000-00t0r0000i0000c000k/

최근의 안티 바이러스의 추세는 무료 그리고 통합의 방향으로 진행되고 있는데, 중국의 판다 소프트웨어에서 웹 페이지 및 블로그 전용 온라인 바이러스 스캐너를 출시하였습니다.

이 제품은 나노스캔(NanoScan)이라는 이름으로 불리우며, 블로그를 방문하는 사람은 누구나 무료로 바이러스를 검사할 수 있게 됩니다.

그리고, 블로그에서 구글 광고를 삽입하는 것과 같이 아주 손쉬운 방법으로 블로그에 이 기능을 추가할 수 있습니다.  해당 웹페이지: http://www.infectedornot.com/gadgets/infex/webmasters/

조그만 빨간색 사격형은 Infex(Infection Index, 감염 지수)는 검사한 모든 PC 가운데 바이러스, 스파이웨어, 트로이목마 등에 감염된 PC의 백분율을 의미합니다. 지금 보니, 바이러스 백신이 있느 상태에서 14%의 감염율을 보이고 있습니다.

또한, 나노스캔은 다양한 프로그램과 연계하여 사용할 수 있으며, 예를 들어 구글에서는 개인화 홈페이지(Personalized homes)라는 기능을 제공합니다. 이러한 서비스를 제공하는 웹 서비스는 구글, 윈도우 라이브, netvibes, PageLakes, yourminis, My Yahoo! 등이 있습니다.  여기서 클릭하게 되면 아래와 같이 실제 홈페이지로 이동하게 됩니다.
해당 웹 페이지: http://www.infectedornot.com/

그리고, 구글, 윈도우 라이브,netvibes, PageLakers에서는 온라인 스캐너인 나노스캔을 넣어 사용할 수 있습니다. 나노스캔 홈페이지를 이동하여 직접 검사할 수도 있습니다. http://www.nanoscan.com

오락실 세대의 사용자라면 보글보글, 갤러그, 슈퍼 마리오를 아련한 추억으로 가지고 있을 것입니다. 요즘에는 MAME라고 하는 롬 에뮬레이터를 무료(!)로 사용할 수 있어 이러한 고전 게임을 PC에서 손쉽게 실행하여 재미를 맛볼 수 있습니다.

최근 닌텐도 사의 슈퍼 마리오 게임을 빙자하는 새로운 웜 Romario-A가 출현했습니다. 이 웜은 이메일 메시지의 첨부파일을 통해 전파됩니다. 사용자가 클릭하면 게임을 실행할 수 있지만 그러는 동안에 웜에 감염되게 됩니다.

웜에 감염되면 다른 PC나 이동형 매체(메모리 스틱과 같이 저장소)에 감염을 시도합니다. 이 웜에 대한 자세한 정보는 http://www.sophos.com/security/analyses/w32romarioa.html 를 참고하세요.

컴퓨터 바이러스는 컴퓨터 뿐만 아니라 다양한 오락적 요소 즉 영화, 책 등에서도 단골로 등장하는 소재이다. 어제 봤던 다이하드 4.0에서도 이러한 컴퓨터 바이러스와 해킹의 묘미가 중요한 구성 요소가 되기도 한다.

우리가 보통 알고 있는 최초의 컴퓨터 바이러스는 아마도 브레인(Brain) 바이러스가 아니었나 싶다. 이 바이러스는 파키스탄에서 제작된 것으로 알려져 있으며 지금은 거의 사용하지 않는 5.25인치 플로피 디스켓의 부트 섹터에 감염되는 부트 바이러스이다.

하지만, 실제 이 바이러스보다 훨씬 이전에 바이러스가 존재했었다는 소식이다. 1982년 7월, IBM이 IBM PC라는 컴퓨터를 만들기 전에 이미 존재했다.

첫 번째 바이러스는 엘크 클로너(Elk Cloner) 바이러스로, 피츠버그의 고등학교에 다니던 학생이 만든 것으로 애플 II 컴퓨터에서 동작하며 감염 매체는 플로피 디스켓이었다. 엘크 클로너는 당시 나이 15세이던 Rich Shrenta가 작성하여 이름을 붙인 것이었다.

엘크 클로너는 애플 II 운영체제를 감염시켜 전파되는 것으로 그 당시 저장매체였던 플로피 디스켓을 통해 저장되고 감염되었다. 컴퓨터를 플로피 디스켓을 이용하여 부팅할 때 바이러스의 사본이 자동으로 실행된다. 컴퓨터에서 실행되고 있는 바이러스는 감염되지 않은 디스켓이 삽입될 때마다 자동으로 사본을 복사하여 저장한다. 이렇게 하여 천천히 디스켓으로 전파된 것이다.

이 바이러스는 어떤 물질적인 즉, 데이터의 손상, 컴퓨터를 느리게 하는 등의 위험한 위협적인 요소를 가지고 있지는 않았다. 물론, 바이러스의 사본을 저장하기 위해 디스켓의 예비 영역에 덮어쓰기하기는 한다. 이 바이러스는 50번째 부팅할 때 짧은 '시'를 보여 준다.

이 당시에는 안티 바이러스 즉, 바이러스 백신 자체가 존재하지 않았던 시절이었다. 다행인 것은 이 바이러스는 제거가 가능하였다고 하는데 직접 바이러스 영역을 수정해야 하는 불편함이 있었다고 한다. 그 이후에 하드 디스크로 부팅되는 시스템에서는 이 바이러스가 동작하지 않게 되었다고 한다.