본문 바로가기

벌새::Security

만우절 악성코드 - Conficker.C

매년 4월 1일은 만우절이면서 보안과 관련해서는 다양한 만우절 이벤트성 악성코드가 출현한 날이기도 합니다.

특별히 만우절과 관련된 악성코드가 당일날 출현하는 것보다는 그 날을 기준으로 전후에 다양한 악성코드가 출현한 것으로 알고 있습니다.

이번에는 예전과 달리 만우절 악성코드(바이러스)라는 Conficker.C 웜에 대한 대비와 일부 부풀려진 정보로 인하여 마치 과거 인터넷 대란 수준을 생각하는 분들이 있는 것 같아서 제가 아는 상식 수준에서 이 부분에 대해 정리해 보겠습니다.

Conficker(일명 Downup, Downadup, Kido) 웜은 2008년 11월경 Windows 보안 취약점 MS08-067을 악용한 악성코드로 만들어졌습니다.

초기에 등장한 Conficker 웜은 해당 보안 취약점 패치가 이루어지지 않은 컴퓨터를 공격하여 감염시키고, 동일 대역에 존재하는 다른 미패치 컴퓨터를 감염하는 방식으로 현재 전 세계적으로 100~200만대 이상의 컴퓨터를 감염시킨 것으로 알려져 있습니다.

그 후, 변종 Conficker.B가 등장하면서 현존하는 최악의 웜 바이러스로 불리워지는 영광을 얻게 되어 결국 마이크로소프트(Microsoft)사에서는 해당 악성코드를 제작한 사람에 대한 정보를 제공하는 경우 25만 달러를 지급한다는 현상금까지 내걸게 된 것으로 압니다.

그런 와중에 최근 Conficker.C 변종이 발견되었고, 보안업체에서 해당 악성코드를 분석하는 과정에서 해당 악성코드가 4월 1일을 기점으로 업데이트를 진행하여 전파할 수 있다는 내용을 발표한 것으로 압니다.

이전에 존재한 Conficker 악성코드에 감염된 컴퓨터의 경우에도 자동으로 최신 변종으로 업데이트가 된다는 정보도 나온 상태에서 실제 감염된 컴퓨터는 만우절날 활동을 개시할 수 있다고 볼 수 있습니다.

그런데, 문제는 이러한 내용이 전 세계 언론을 통해 퍼지면서 일종의 공포감을 유발하였고, 일부에서는 인터넷에 연결된 컴퓨터는 무조건 걸릴 수 있다는 식으로 잘못 알게 되었던 것 같습니다.

아직은 Conficker.C 변종이 어떤 명령을 받아서 어떤 동작을 취할지는 아무도 알 수 없지만, 전형적으로 이런 류의 악성코드는 공격자의 명령을 받으면 스팸 이메일 발송, 감염된 컴퓨터의 정보 탈취, 미패치된 컴퓨터 찾기, DDoS 공격에 이용하기 등의 역할을 하리라 추정됩니다.

그리고 해당 웜의 최종적인 목표는 감염된 컴퓨터를 봇넷(BotNet)으로 구성하여 언제든지 자신의 명령에 따라 동작을 하는 좀비를 만드는 것이 목표입니다.

그러므로 이런 Conficker 웜에 감염되지 않기 위해서는 근본적으로 해당 윈도우 보안 패치를 적용하시면 됩니다. 일부 컴퓨터를 만우절날 이용하지 않는다거나, 컴퓨터 시스템 날짜를 변경하는 행동으로는 해결책이 될 수 없습니다.

그 이유는 해당 Conficker 웜은 만우절 이전에도 있던 악성코드이며, 만우절이 지난 후에도 계속 전파가 되는 악성코드이기 때문입니다.

현재 유명 보안업체에서는 Conficker 웜 전용 치료툴을 무료로 배포하고 있으므로 자신이 사용하는 컴퓨터에서 사용하는 보안 제품에서 진단이 될 경우 해당 웜의 특성 중의 하나인 보안 제품을 방해 및 보안업체 사이트 접근 차단 기능으로 치료가 잘 되지 않을 경우에는 전용 치료 툴을 이용하는 센스를 발휘하시기 바랍니다.

참고로, 시스템 날짜 변경으로 해결이 되지 않는 이유는 일반적으로 이런 류의 악성코드는 컴퓨터를 감염시킨 후 해당 컴퓨터의 시스템 날짜보다는 특정 웹 사이트에 접근하여 해당 서버의 날짜를 파악하는 습성이 있으므로 컴퓨터 시스템 날짜 변경은 무용지물이 될 수 있습니다.