안철수연구소, "1분기 신종 악성코드 사상 최다"

-신종 발견 전년 동기 대비 11% 증가로 최고치 경신
-스파이웨어가 일반 악성코드보다 피해 더 많아
-악성 IRC봇, 트로이목마 피해 급증..보안 위협 통합 가속화
-최악의 악성코드는 넷스카이 웜..새서 웜 다시 기승

국내 최대 정보보안 기업인 안철수연구소(대표 김철수 www.ahnlab.com)는 올해
1분기 국내에서 새로 발견된 악성코드가 1988년 이래 매해 1분기 수치 중
최고치를 기록했다고 12일 발표했다. 피해 신고 측면에서는 2004년 최악의 웜인
넷스카이.29568이 올 1분기에도 가장 많은 피해를 일으켰으며, 윈도 취약점을
통해 감염되는 새서 웜이 그간 수그러들었다가 올 1분기에 다시 급증했다. 이번
1분기의 주요 특징으로는 ▶여러 악성코드의 결합에 따른 보안 위협의 통합화 ▶
스파이웨어와 악성 IRC봇 웜의 지속적 강세 ▶은폐형 악성코드, 스파이웨어 증가
▶피해를 많이 준 악성코드가 특정 몇 개에 편중되던 과거와 달리 여러 개로 분산
등을 꼽을 수 있다.

신종 발견 사상 최고 기록
국내에서 집계를 시작한 1988년부터 현재까지의 통계를 보면 지속적으로
성장하다 2001~2002년에 감소하고 2003년부터 다시 상승하는 추세다. 올해
1분기는 2004년 동기 대비 11% 증가해 사상 최고치를 기록했다.

사용자가 직접 신고한 건수를 기준으로 순위를 매긴 결과 넷스카이.29568 웜이
전체 악성코드(스파이웨어 제외) 신고 건수(6342건)의 24.3%(1539건)를 점유,
최악의 악성코드로 나타났다. 다음으로 넷스카이 변종 3개가 나란히 2위~4위를
차지했고, 새서.15872 웜이 공동 4위에 올랐다.

넷스카이 웜 변종들은 메일은 물론 카자(KaZaa) 등의 P2P 응용 프로그램을 통해
전파되며, 네트워크 폴더에도 웜 파일을 복사해두어 그 파일을 실행한 PC에도
감염되어 확산력이 큰 것이 특징이다. 메일에 첨부된 파일을 함부로 열어보지
않는 것이 안전하다.

2004년 5월부터 유포돼 많은 변종이 있는 새서.15872 웜은 윈도 MS04-011
취약점을 이용해 전파되며, 감염되면 CPU 사용량이 100%까지 올라가 컴퓨터
속도가 현저히 느려지거나 시스템이 자동 종료되기도 하고 특정 포트가 오픈돼
해킹당할 우려가 있다. 한동안 잠잠하던 새서 웜이 높은 순위에 오른 것은 새해
들어 PC를 교체하거나 운영체계를 재설치하는 과정에서 취약점 패치가 안 된
PC가 많아서인 것으로 분석된다. 따라서 사용자는 PC를 새로 구입했거나
운영체계를 재설치할 경우 우선 백신을 설치한 후 취약점에 대한 패치를
적용하는 것이 안전하다.

보안 위협 통합화
웜, 바이러스, 스파이웨어, 트로이목마 등이 통합된 형태가 다수 등장했다. 특히
부베(Bube.4350) 바이러스는 스파이웨어에 의해 감염되고, 감염 후 또 다른
스파이웨어를 다운로드하는 첫 사례이다. 웜이나 스파이웨어 설치 시
트로이목마가 함께 설치되는 경우는 비일비재하며, 이에 따라 트로이목마의
피해가 15%나 증가했다. 트로이목마의 신규 발견도 늘어나 2004년 1분기에
22.1%에 그쳤으나 올해 27.2%로 증가했다.

스파이웨어, 악성 IRC봇 웜의 지속적 강세
올해 1분기 신종 악성코드를 종류별로 구분하면 웜이 503개로 가장 많고 이 중
악성 IRC봇 웜이 63%(317건)를 차지해 가장 비중이 높았다. 마이톱처럼 일반
웜이 악성 IRC봇의 기능을 일부 내포한 경우도 적지 않다. 악성 IRC봇 웜
제작자들이 커뮤니티를 통해 소스를 교환하고 조직적으로 변형을 제작하고 있어
지속적으로 강세를 보이고 있다. 이 웜은 외부의 특정 IRC 서버와 접속해서 웜
제작자(추정)의 원격 명령에 따라 웜 유포 등의 악의적인 행위를 하며, MS
윈도의 보안 취약점이나 관리 목적의 공유 기능을 이용해 침투한다. 네트워크
트래픽의 과부하를 유발해 네트워크 망 전체의 속도를 떨어뜨리거나
다운시키기도 한다.

스파이웨어는 지난해에 이어 올해도 악명을 떨쳤다. 일반 악성코드보다 48% 더
많은 9407건의 문의/신고를 받았으며, 발견된 개수도 매달 증가해 2342건에
달했다. 3월에는 한글 키워드 서비스 업체 간 경쟁이 심해지면서 한글 키워드
플러그인을 설치하는 스파이웨어까지 등장해 많은 피해 신고가 있었다. 기존과
달리 플래쉬 파일을 이용해 배포되는 스파이웨어가 2월에 처음 등장하기도 했다.

은폐형 악성코드, 스파이웨어 증가
은폐형 악성코드 및 스파이웨어가 증가하고 있다. 감염 사실을 숨기는 은폐
기법은 주로 트로이목마에 적용됐으나 올해 들어 웜이나 스파이웨어에도 확대
적용되고 있다. 악성 IRC 봇 웜뿐 아니라 최근 발견된 마이톱 웜 변형들 일부도
은폐 기법을 이용하고 있다.

피해 분산화
또한 전체 피해에서 1위가 차지하는 비중이 전년 동기 대비 현격히 줄었다. 즉,
지난해 1분기 최악의 웜이었던 두마루.9234가 41.9%였으나 올 1분기 최악의 웜인
넷스카이.29568은 24.3%로 나타났다. 이는 피해를 주는 악성코드가 소수에
집중되었으나 점차 다수의 악성코드로 분산되고 있음을 보여주는 현상으로
분석된다.

이 밖에 인기 온라인 게임의 계정을 훔쳐내 게임 실행 시 키보드 입력 값을
저장해 해커의 것으로 추정되는 이메일 주소나 FTP(파일전송규약)에 이를
전송하는 리니지핵 트로이목마가 등장했으며, WMA(윈도 오디오 미디어)의
DRM(Digital Right Management) 기능의 허점을 이용한 스파이웨어가 처음
등장했다. WMA 는 디지털 저작권의 관리를 위해 특정 호스트에 접속하는데
이것을 스파이웨어를 내려받는 곳으로 변경한다. 또한 외국에서는 라스코 웜을
비롯한 핸드폰용 웜이 잇달아 제작돼 미국 MIT가 최근 ‘올해 10대 유망 기술’ 중
하나로 휴대폰 바이러스 퇴치 기술을 선정하는 등 관심을 모으고 있다. 또한
피싱에서 한 단계 진화한 파밍이 등장해 새로운 위협 요소로 주목받고 있다.

안철수연구소 시큐리티대응센터 강은성 상무는 "최근의 악성코드는 이메일은
물론 운영체계의 보안 취약점, MSN 메신저 등 다양한 경로로 전파되며, 다양한
위협 요소가 통합되는 추세이다. 사용자는 정보보호가 필수임을 인식하고,
전문적이고 신뢰할 수 있는 보안 솔루션과 서비스를 선택하는 것이
안전하다."라고 강조했다. <Ahn>

* 표 1. 2000∼2005년 각 1분기 국내 발견 신종 악성코드 통계
|-----------+---------+---------+-------+---------+-------+--------|
| 연도 | 2000 | 2001 | 2002 | 2003 | 2004 | 2005 |
|-----------+---------+---------+-------+---------+-------+--------|
| 악성코드 | 176 | 36 | 31 | 316 | 691 | 765 |
| 수 | | | | | | |
|-----------+---------+---------+-------+---------+-------+--------|


* 표 2. 1988∼2004년 연간 국내 발견 신종 악성코드 통계
|-----------+------+------+------+------+------+------+------+------+------+------|
| 연도 | 1988 | 1989 | 1990 | 1991 | 1992 | 1993 | 1994 | 1995 | 1996 | 1997 |
|-----------+------+------+------+------+------+------+------+------+------+------|
| 악성코드 | 1 | 6 | 28 | 21 | 17 | 34 | 76 | 128 | 226 | 256 |
| 수 | | | | | | | | | | |
|-----------+------+------+------+------+------+------+------+------+------+------|

|-----+-----+-----+-----+-----+------+------+------|
| 1998|1999 |2000 |2001 |2002 | 2003 | 2004 | 총계 |
|-----+-----+-----+-----+-----+------+------+------|
| 276 | 379 | 572 | 435 | 272 | 1,239| 4,587| 8,553|
|-----+-----+-----+-----+-----+------+------+------|



* 표 3. 2005년 1분기 국내 발견 신종 악성코드 통계
|--------+--------+----------+--------+--------+--------+---------+--------|
| 월/종류| 웜 |트로이목마| 드롭퍼 |스크립트| 파일 | 기타 | 합계 |
|--------+--------+----------+--------+--------+--------+---------+--------|
| 1월 | 197 | 84 | 7 | 5 | 0 | 8 | 301 |
|--------+--------+----------+--------+--------+--------+---------+--------|
| 2월 | 203 | 41 | 1 | 0 | 1 | 10 | 256 |
|--------+--------+----------+--------+--------+--------+---------+--------|
| 3월 | 103 | 83 | 2 | 0 | 0 | 20 | 208 |
|--------+--------+----------+--------+--------+--------+---------+--------|
| 합계 | 503 | 208 | 10 | 5 | 1 | 38 | 765 |
|--------+--------+----------+--------+--------+--------+---------+--------|


* 표 4. 2004년 1분기 국내 발견 신종 악성코드 통계
|--------+--------+---------+--------+--------+--------+--------|
| 월/종류| 웜 | 트로이 | 드롭퍼 |스크립트| 파일 | 합계 |
|--------+--------+---------+--------+--------+--------+--------|
| 1월 | 58 | 50 | 7 | 6 | 0 | 125 |
|--------+--------+---------+--------+--------+--------+--------|
| 2월 | 146 | 130 | 8 | 1 | 1 | 286 |
|--------+--------+---------+--------+--------+--------+--------|
| 3월 | 196 | 75 | 5 | 3 | 1 | 280 |
|--------+--------+---------+--------+--------+--------+--------|
| 합계 | 400 | 255 | 20 | 10 | 2 | 691 |
|--------+--------+---------+--------+--------+--------+--------|


* 표 5. 2002~2005년 각 1분기 악성코드 국내 신고 통계
|------------+----------+----------+----------+------------+-----------+-----------|
| 월/연 | 2002 | 2003 | 2004 |2005(악+스) |2005(악성) |2005(스파) |
|------------+----------+----------+----------+------------+-----------+-----------|
| 1월 | 2660 | 3618 | 5580 | 4730 | 2432 | 2298 |
|------------+----------+----------+----------+------------+-----------+-----------|
| 2월 | 2034 | 2154 | 6641 | 4979 | 1979 | 3000 |
|------------+----------+----------+----------+------------+-----------+-----------|
| 3월 | 1511 | 2282 | 5147 | 6040 | 1931 | 4109 |
|------------+----------+----------+----------+------------+-----------+-----------|
| 1분기 합계 | 6205 | 8054 | 17368 | 15749 | 6342 | 9407 |
|------------+----------+----------+----------+------------+-----------+-----------|


* 표 5. 2002~2004년 연간 악성코드 국내 신고 통계
|------------------+----------+----------+----------|
| 연도 | 2002 | 2003 | 2004 |
|------------------+----------+----------+----------|
| 신고 건수 | 28,220 | 71,901 | 101,626 |
|------------------+----------+----------+----------|


* 표 7. 2004년~2005년 각 1분기 국내 피해 신고 순위
2004년 2005년
|------+----------------+-----------+-------+----------------+----------|
| 순위 | 이름 | 신고 건수 | 순위 | 이름 |신고 건수 |
|------+----------------+-----------+-------+----------------+----------|
| 1 | Dumaru.9234 | 7268 | 1 | Netsky.29568 | 1539 |
|------+----------------+-----------+-------+----------------+----------|
| 2 |Blaster.6176 | 1438 | 2 |Netsky.17920 | 307 |
|------+----------------+-----------+-------+----------------+----------|
| 3 |Netsky.22016 | 801 | 3 |Netsky.16896.B | 211 |
|------+----------------+-----------+-------+----------------+----------|
| 4 |Mydoom.22528 | 402 | 4 |Netsky.22016 | 210 |
|------+----------------+-----------+-------+----------------+----------|
| 5 |Netsky.25352 | 362 | 4 |Sasser.15872 | 210 |
|------+----------------+-----------+-------+----------------+----------|



* 표 8. 2005년 1분기 국내 스파이웨어 발견 건수 통계
|------------+----------|
| 월 |발견 건수 |
|------------+----------|
| 1월 | 321 |
|------------+----------|
| 2월 | 698 |
|------------+----------|
| 3월 | 1323 |
|------------+----------|
| 합계 | 2342 |
|------------+----------|

* 이 글은 안철수연구소 측이 배포한 보도자료 원문입니다.
Writer profile
author image
링블로그 주인장 그만입니다. 그만에 대한 설명은 http://ringblog.net/notice/1237 공지글을 참고하세요. 제 글은 CC가 적용된 글로 출처를 표기하시고 원문을 훼손하지 않은 상태로 퍼가셔도 됩니다. 다만 글은 이후에 계속 수정될 수 있습니다.
2005/04/13 23:52 2005/04/13 23:52

TRACKBACK :: 이 글에는 트랙백을 보낼 수 없습니다

카테고리

전체 (1951)
News Ring (644)
Column Ring (295)
Ring Idea (1004)
Ring Blog Net (8)
Scrap BOX(blinded) (0)

달력

«   2024/03   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

링블로그-그만의 아이디어

그만's Blog is powered by TEXTCUBE / Supported by TNM
Copyright by 그만 [ http://www.ringblog.net ]. All rights reserved.