지속적으로 변종 생성··· 향후 DDoS 등 위험한 공격에 활용될 수 있어

안티바이러스 백신 개발업체 뉴테크웨이브(대표 김재명, www.viruschaser.com)는 '2월 국내 악성코드 동향 분석'을 통해, 지난해 맹위를 떨쳤던 '바이럿'과 같은 '파일 감염형 바이러스'가 다시 나타나고 있어 주의가 요구된다고 밝혔다.

최근 파일 감염형 바이러스인 '록스(Win32.HLLP.Rox)'가 출몰했으며 단기간 내 여러 개의 변종이 발견되고 있는 것이다. 파일 감염형 바이러스는 윈도가 아닌 도스(DOS) 사용 시절에도 존재했던 악성코드의 고전 중 하나로, 다른 도스형 악성코드가 운영체제 발전에 따라 사라진 것과 달리 지금도 진화를 거듭하며 여전히 사용자들을 괴롭히고 있는 것으로 알려진다.

'록스'는 지난 1월 23일 최초로 발견되었는데, 처음에는 트로이목마 성격을 띠며 감염된 컴퓨터의 이동식디스크에 자신을 복사, 전파하는 기능만을 가지고 있었다. 그러나 약 일주일 후인 1월 29일 발견된 변종은 전파 기능뿐 아니라 감염 시스템의 실행 파일에 자신의 코드를 삽입하는 감염 기능도 포함하고 있다. 이어 지난 달 18일 발견된 또 다른 변종은 기존 '록스'의 기능에, 안티 바이러스 백신과 방화벽 등의 보안 프로그램 동작을 방해하는 기능이 추가됐고, 악성코드 분석이 어렵도록 여러 가지 실행압축 형태를 보이고 있다.

'록스'가 실행파일에 자신을 감염시키는 과정에서 원본 파일을 손상시킬 경우, 시스템을 포맷하거나 윈도를 다시 설치해야 하는 상황에 처할 수도 있다. 또한 록스는 하드디스크 외에도 시스템에 삽입되어 있는 각종 이동식디스크(USB 메모리, 핸드폰, MP3 등) 폴더의 실행파일도 감염시킬 수 있어, 해당 시스템을 치료했더라도 재감염 현상이 나타날 수 있다는 게 특징이다.

뉴테크웨이브는 '록스'의 동작 형태를 볼 때 아직 개발이 완료되지 않았을 것이라고 분석했다. 현재 전파 기능과 보안 프로그램 우회 기능만을 가지고 있을 뿐, 특정 웹사이트에 분산서비스(DDoS) 공격을 시도하거나, 감염 시스템으로부터 아이디, 패스워드를 빼가는 것 같은 악성코드의 주된 목적은 보여주지 않고 있기 때문이다.

이와 관련해 뉴테크웨이브 기술연구소의 한주영 연구원은 "파일 감염형 바이러스는 꾸준히 진화되어 왔고 지난 해 사회적으로 큰 문제를 일으켰던 '바이럿' 역시 그 일종"이라며 "최근 발견된 '록스' 또한 지속적으로 변종을 생성하고 있어 향후 분산서비스(DDoS) 공격 같은 위험한 공격에 활용될 가능성도 배제할 수는 없다"라고 전했다.

한편, 뉴테크웨이브는 지난 달 악성코드 통계 결과, 신규 악성코드는 1월 대비 4.9%, 감염 컴퓨터 수는 12.5% 늘어 석 달 만에 다시 증가세로 돌아섰다고 밝혔다. 또한 이달에는 화이트데이 관련 메신저 바이러스나 이메일 웜의 유행 가능성이 크므로, 첨부된 파일은 물론 링크주소를 열 때도 반드시 발송자의 확인을 거칠 것을 당부했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지