공격 대상 사이트를 갱신해 디도스(DDoSㆍ분산서비스거부) 공격을 퍼붓던 악성 코드가 이번에는 무기를 바꿨다. 새로 바꾼 무기는 스스로 자폭해 숙주인 감염PC(좀비 PC)까지 파괴하는 폭탄이다.
10일 안철수연구소 등 보안업계에 따르면 악성 코드는 10일 0시부터 칼날을 거꾸로 향해 디도스 공격에 이용했던 감염 PC를 공격했다. 악성 코드는 PC의 중요 구성품인 하드디스크의 특정 부위에 'Memory of the Independece Day'라는 글자를 덮어쓰는 방식으로 기록해 하드디스크를 파괴했다. 마치 2차 세계대전 당시 일본군의 자살 공격 비행기인 '가미가제'처럼 스스로 자폭한 셈이다.
자폭 PC의 특이점
백신으로 치료를 하지 않아 악성 코드의 공격을 받은 감염 PC는 하드디스크에 저장된 모든 파일들의 이름이 이상하게 바뀌고, 각종 소프트웨어 실행이 되지 않았다. 이 경우 PC를 껐다가 다시 켜면 파란 화면이 나타나면서 PC가 아예 동작하지 않았다. 하드디스크가 파괴된 것이다.
이렇게 파괴된 하드디스크는 다시 복구할 수가 없다. 단순히 내부에 저장된 파일들만 손상을 입은게 아니라 PC 동작을 좌우하는 중요한 부분이 훼손되기 때문이다.
무서운 것은 이 같은 악성 코드의 감염 PC 공격 기능이 처음부터 들어있었던 것은 아니라는 사실이다. 한국정보보호진흥원(KISA)과 보안업계에 따르면 악성 코드는 1차 공격 직후인 8일에 다수의 인터넷 사이트에 스스로 접속해 자폭 무기를 전송받았다. 악성 코드가 필요에 따라 무기까지 바꿀 수 있다는 뜻이다.
안철수연구소가 찾아낸 일종의 무기 창고인 업데이트 사이트는 무려 86개였다. KISA는 9일 새벽 1시에 안철수연구소로부터 86개 사이트 목록을 넘겨받아 국내에서 접속하지 못하도록 차단했다. 하지만 이 시점까지 KISA는 악성 코드가 언제 감염 PC를 공격하는지 몰랐다.
뒤늦게 악성 코드 분석을 통해 10일 0시부터 악성 코드의 감염 PC 파괴 활동이 일어난다는 것을 파악하고 부랴 부랴 9일 밤 11시 40분에 긴급 자료를 발표했지만 이미 늦은 상황이었다.
주목해야 할 점은 감염 PC가 모두 훼손되지는 않았다는 점이다. 악성 코드의 자폭 무기는 마이크로소프트(MS)의 소프트웨어 지원체계인 '닷넷 프레임워크'(이하 닷넷)에서만 작동했다.
닷넷은 MS의 운용체제(OS) '윈도비스타'에는 기본 포함돼 있으며, '윈도XP'의 경우 온라인 게임사이트나 동영상 전송 사이트 등에서 이용자가 프로그램을 전송받아 설치할 때 함께 설치된다. 따라서 닷넷이 설치되지 않은 감염 PC는 백신으로 치료하지 않아도 공격받지 않았다. 어찌보면 악성코드 제작자가 네티즌들이 인터넷 사이트에서 무분별하게 전송을 받는 행위에 대해 경고를 울린 셈이다.
추가 공격 가능성 있다
보안전문가들은 현재 악성 코드의 디도스 공격이 소강 상태를 보이고 있지만 언제 재개될 지 알 수 없다는 분석이다. 악성 코드의 특이한 양상 때문이다.
지금까지 디도스 공격에 쓰인 악성 코드는 단순하게 정해진 목표에 과도하게 접속신호만 보낼 뿐이었다. 공격 대상을 바꾸거나 새로운 공격 기능을 추가로 갖추는 행동은 전혀 하지 않았다.
그런데 이번 악성 코드는 달랐다. 인터넷에서 공격 대상 목록을 새로 받아 공격 방향을 바꾸고 무기도 교체했다. 사상 유례없는 행동을 한 셈이다. 류찬호 KISA 분석예방팀장은 "과거에는 디도스 공격에 쓰인 악성 코드가 감염 PC를 훼손한 사례가 없었다"며 "이번 악성 코드는 여러 가지 기능을 결합한 융합형"이라고 정의했다. 그만큼 악성 코드 제작기술이 진일보했다는 뜻이다.
따라서 악성 코드 제작자가 지금까지 백신 및 보안체계를 피할 수 있는 새로운 악성 코드를 만들어 배포할 가능성이 높다. 보안 전문가들은 공격 대상은 물론이고 공격 방법까지 기존 방식과 달라질 수 있다고 보고 있다.
최연진 기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0