7일 한국정보보호진흥원(KISA)의 '2월 인터넷침해사고 동향 및 분석자료'에 따르면, 최근 은폐 기능이 구현된 악성코드가 많이 출현하고 있는 것으로 나타났다.
이러한 은폐기능은 악성코드 파일이나 프로세스 등을 숨겨 사용자가 감염사실을 쉽게 알아내지 못하도록 함으로써 원래 침투시킨 악성코드를 더 오래 PC에 생존할 수 있도록 하기 위한 목적이다.
KISA가 최근 확인한 피해사례에 따르면, 악성코드 제작자는 자신이 원격지에서 조종할 수 있는 악성코드를 타인의 PC에 깔리게 한 뒤 이 악성코드를 숨기기 위해 은폐 전용 악성코드(iistart.exe)를 추가로 설치했던 것으로 밝혀졌다.
은폐 전용 악성코드는 악성 프로세스나 파일, 악성 네트워크 접속 등 PC감염 이후 벌어지는 악성활동들을 숨기는 게 주기능. 또 은닉 대상을 임의로 설정하거나 변경할 수 있도록 만들어졌다.
이 경우, 감염이 의심되는 PC가 있더라도 조기에 대응하기 어렵다. 이는 곧 감염된 악성코드의 생존률을 높여 PC 이용자가 악성코드 감염여부를 확인하기 이전에 정보를 빼가거나 제3의 사이버범죄에 악용될 소지가 다분하다.
실제 이번 피해사례에서 은폐 전용 악성코드가 숨기려했던 원본 악성코드는 휴피곤 계열의 악성코드로 해커가 원격지에서 감염 PC를 마음대로 조정할 수 있으며, 파일유출이나 키로깅 등 정보유출을 시도하는 파일이었다.
KISA측은 "이번에 발견된 은닉 악성코드의 경우, 그나마 탐지 및 치료가 쉬웠지만, 보다 치료가 어려운 커널 후킹을 통한 은닉 악성코드도 많이 발견되고 있다"며 "백신을 업데이트해 주기적으로 점검하고 윈도 OS나 MS 오피스, 어도비 등 자주 사용하는 프로그램에 대한 최신 패치를 적용해 감염을 사전에 예방할 필요가 있다"고 당부했다.
한편, 지난 2월 전세계 악성 봇 감염추정 PC 중 국내 감염PC가 차지하는 비중은 13%로 전달에 비해 2.3% 포인트 증가한 것으로 나타났다. 해커의 명령에 따라 PC내 정보가 유출되거나 국내외 웹사이트를 대상으로 분산서비스거부공격(DDoS) 근원지로 악용되는 좀비PC 100대 중 13대가 국내에 있다는 얘기다.
이는 보안 업데이트를 하지않은 PC가 여전히 많고, 이처럼 취약한 PC에서 악성 봇 감염이 계속되고 있기 때문이라고 KISA측은 분석했다.
KISA는 윈도XP SP1 PC사용자는 보안이 강화된 SP2로 업데이트하고, 최신 보안업데이트를 하지않은 윈도XP SP2 PC사용자는 매달 주기적으로 보안업데이트를 실시해 악성 봇 감염을 막아야한다고 덧붙였다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]