바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.
우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.
또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.
여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.
만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.
하지만, 궁하면 통하는 법!
어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.
오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.
단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.
외국의 검색 엔진 중의 하나인 구글(google.co.kr)은 국내에서 네이버라는 강력한 국산 검색 엔진 아니 정확히 말하자면 포탈의 위력으로 인해 일반인에게는 약간 거리감이 느껴지는 경향이 있습니다. 실제로 필자가 일반 사람의 컴퓨터를 만져 (바이러스나 기타 문제의 해결을 위해) 주다가, 어떤 특정한 프로그램을 검색하여 다운로드하려고 구글을 접속하여 검색을 하면 이게 뭐냐고 묻는 경우가 종종 있습니다.
하지만, 컴퓨터에 익숙한 사용자들이나 대학생들, 그리고 물론 IT 업계 종사자들은 구글을 자주 애용하는 모습을 볼 수 있습니다.
구글은 포탈의 성격을 가지고 있지만, 지금 언급하고자 하는 부분은 바로 사용자의 보안에 관련된 사항입니다.
구글에서 어떤 특정한 검색어로 검색을 시도하게 되면, 그 결과값을 순서대로 나열해줍니다. 하지만, 만약 (검색하기) 이전에 검색된 사이트에서 악성코드가 감염된 내력이 있는 경우에는 사용자에게 해당 사이트의 위험성을 경고합니다.(알림: MS의 인터넷 익스플로러에서는 방문할 때에 이러한 경고 메시지를 보여주지 않습니다. 크롬, 파이어폭스, 사파리 브라우저에서 사용자가 어느 특정한 사이트를 방문할 경우에 구글의 기능을 참조합니다)
이 기능을 위해 구글에서는 자동화된 스캐너를 개발하여 이를 통해 전세계에 널리 퍼져있고, 구글 검색 봇이 탐색할 수 있는 범위내에서 해킹당한 사이트를 진단하여 이를 기록 저장합니다.
문제는 바로 오진(False Positive)에 있습니다. 예를 들어, 지난 세 달 전에 SQL 인젝션으로 웹사이트가 침해된 적이 있고, 이를 해당 웹사이트 관리자가 적절하게 조치를 취했다고 하더라도 일반 사용자가 구글을 통해 해당 웹사이트에 방문하고자 하는 경우에 경고(!) 메시지를 보여 주게 되므로, 웹사이트의 신뢰도의 하락과 더불어 방문자의 수가 줄어들 가능성이 있습니다.(알림: 구글의 자동화 스캐너에서 진단한 URL 중에서 오진으로 밝혀진 내역에 대한 분석자료는 구글 또는 인터넷에서 찾을 수 없었습니다. 장점만 찾아 볼 수 있었습니다.) 분석 도구 또한 웹사이트의 관리자 또한 "또 뚫렸나" 하는 의구심이 들면서 웹사이트를 보다 심도있게 분석하는 불필요한 시간 및 노력을 소모할 수 있습니다.
이제 구글은 "URL의 분석 결과를 사용자에게 참조 용도로 알려주는 소극적"인 대응에서 "웹 사이트 관리자에게 침해된 내역을 알려 주는 보다 공격적인" 대응책을 제공하기로 하였다는 소식입니다.
웹마스터 도구(Webmaster Tools)라고 부르는 기능으로, 구글의 자동화 스캐너가 해당 웹사이트에서 진단한 악성 코드의 샘플을 제공해 줍니다. 특히, 진단하는 악성코드들은 "Malware Details" 부분을 통해 HTML 태그, 자바 스크립트, 임베디드된 플래시 파일이 감염되었는지 명확히 알려 줍니다.
웹사이트 관리자는 자신의 웹사이트의 대시보드 -> 실험실 노드 -> 악성코드 세부정보 부분에서 현재 사이트에 악성 코드가 감염되어 있는지 확인할 수 있습니다.
제가 운영하는 사이트를 확인해 보니, 행복하게도 깨끗하다고 보여줍니다.
참고로, 이 기능을 사용하기 위해서는 먼저 구글에서 자신의 웹사이트를 등록하여 관리하는 수고를 해야 합니다.
최근 SNS 서비스로 인기를 얻고 있는 트위터(http://www.twitter.com)는 보안상 결함이 발견되어 종종 얘깃거리가 되곤 합니다. 또한, 트위터를 통해 악성 코드를 유포하는 행위도 점차 눈에 띄고 있습니다.
최근 트위터에서는 DM(Direct Message, 개인간 직접 메시지)을 통해 사용자의 계정 정보를 탈취하는 웜이 출현하여 트위터 사용자를 위협하고 있습니다. 해커들은 DM의 내용에 가짜 트위터 로그온 창을 보이게 하는 링크를 포함하게 합니다. 그리고, 트위터 사용자들은 이 링크를 클릭하고 브라우저에서 로그온하게 되면, 자동으로 계정 정보가 해커들의 손아귀로 넘어가게 됩니다.
따라서, 사용자들은 의심스러운 DM을 받게 되면 주저하지 말고 삭제해야 합니다. 위의 화면과 같이 URL이 정확히 이상하게(!) 보이는 경우에는 쉽게 알아 낼 수 있습니다. 하지만, 어떤 링크가 위험한 것인지 파악하는데 오히려 트위터의 속성이 발목을 잡고 있습니다. 트위터는 하나의 트윗(글)이 140글자(영문기준)까지 적을 수 있습니다. 따라서, URL과 같이 긴 문자열을 모두 적기에는 어렵기 때문에 URL을 짧게 만들어 주는 서비스(ex. http://www.tinyurl.com)를 이용합니다. 따라서, 링크가 위험한 링크인지 아닌지 파악하는데 매우 어려움이 많습니다.
국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.
최근 AVG 안티바이러스에서 iTunes의 특정 파일을 악성코드로 진단하는 오진 사례가 발생하였습니다. 이 문제는 매킨토시에서 윈도우를 설치하는 환경에서 발생하는 것으로 알려졌습니다.
iTunes 프로그램에 포함된 파일 중 iTunes.dll과 iTunesRegistry.dll 파일이 "Troyan horse Small.BOG" 트로이 목마에 감염되었다고 진단합니다. 일부 사용자는 실제 바이러스가 걸린 것으로 생각하고 iTunes을 재설치하였지만 동일한 진단을 하였다고 합니다.
재미있는 사실은 AVG 웹 사이트에서 Small.BOG라는 이름을 가진 악성 코드가 없다는 점입니다.
아직까지 이에 대한 패치가 나오지 않았으며, 다음과 같이 실시간 감시 기능에서 해당 폴더를 제외하게 하여 임시로 사용할 수 있습니다.
하드 디스크 제조사로 유명한 시게이트에서 판매하는 일부 하드 디스크에서 트로이 목마가 탑재된 채로 출시된 것으로 밝혀졌습니다.
하드 디스크에는 트로이목마 파일(autorun.inf, ghost.pif)이 저장되어 있으며, 이 트로이 목마는 사용자의 비밀번호와 같이 중요한 개인정보를 중국의 웹 사이트 www.nice8.org와 www.we168.org에 업로드하도록 프로그래밍된 것으로 알려졌습니다.
태국 현지에서 생산된 Maxtor Basics 3200 모델 300G/500G 제품 중 약 1,800 여개에서 트로이 목마가 들어가 있었다고 합니다. 1,800 개 제품은 대만의 시장에서 판매되고 있었으며, 이 중 1,500 여개는 아직 팔리지 않은 상태로 회수되었지만 이미 300여개는 시장에서 소진된 상태라고 합니다.
한편, 이러한 사실을 인지한 시게이트 社는 부랴부랴 제품 생산 및 공급을 중단하였고, 즉시 감염된 디스크를 모조리 치료하여 정상적인 공급이 이루어지도록 조치했다고 합니다. 그리고, 이러한 사태가 벌어진 데에 사과문을 발표했다고 합니다.
중요한 사실은 아직도 시장에서 구매하여 사용하는 사람이 있으며 이러한 제품을 가진 사용자는 제품을 반품하여 줄 것을 당부하였습니다. 또한, 홈 페이지에서는 카스퍼스키 안티 바이러스 60일 평가판을 게시하여 혹시 모를 사고를 대비하는 모습을 보였습니다.(웹 사이트에서 찾지 못했습니다. 대만 글자를 모르니 T.T.)
한가지 더 재미있는 부분은 대만 당국 관계자는 이러한 바이러스를 심은 범인으로 중국 정부를 의심하고 있다는 것입니다. 이렇게 주장하는 이유는 다음과 같습니다.
문제가 발생한 하드 디스크는 용량이 매우 큰 관계로 데이터베이스 및 기타 정보를 대규모로 저장하는 정부 기관에서 주로 사용한다. 아마도 중요한 정보들은 중국 웹사이트들을 통해 빼내졌을 것이다. 정부 관계자는 이러한 공격 방법이 의외의 방법이라고 하면서 중국 정부를 의심한다고 밝혔습니다. 또한, 최근 몇년 사이에 중국 정부는 인터넷 상에서 대만의 정보를 모으기 위한 스파이 프로그램을 강력히 운영하고 있다고 말했습니다.
우리나라에서도 사용자뿐만 아니라 정부 조직에서도 컴퓨터를 사용할 때에는 이러한 부분까지 고려해야 하나 하는 한탄이 나옵니다.
요즘에는 바이러스(웜, 등등 통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.
하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.
이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?
미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.
9월 달에 새로 등록된 악성 프로그램은 Troyan.NewMediaCodec으로 특정한 웹사이트에서 성인용 비디오를 보기 위해서는 윈도우 미디어 플레이어를 업그레이드해야 한다고 속이는 프로그램입니다. 실제로 파일을 다운로드하여 설치하는데 이때에 악성 프로그램이 함께 설치 됩니다.
