전용백신 제공해 악성코드 진단/치료 및 가짜 백신 통한 피해 예방
이번 전용백신은 급증하는 외산 가짜백신의 위협으로부터 일반 사용자의 컴퓨터 피해를 방지하고 인터넷 환경을 보호하기 위해 긴급히 제작, 배포하는 것이라고 안연구소는 말했다. 전용 백신은 안연구소 웹 사이트(http://kr.ahnlab.com/info/download/dwVaccineList.ahn)를 통해 제공된다.
'페이크AV.31744'는 가짜백신 프로그램인 '안티바이러스XP2008(AntiVirusXP2008)'의 일부 변종과 함께 설치돼 스팸 메일을 발송하거나 다른 악성코드를 설치한다. 백신의 진단/치료를 막기 위해 자신에게 접근(엑세스)하지 못하게 막는 기법을 썼기 때문에 진단 및 삭제는 물론 이동 및 복사조차 불가능하다. 이 때문에 일부 백신은 진단조차 못하거나 진단만 하고 치료를 못하는 상황이다.
안철수연구소는 "이번에 '페이크AV.31744'처럼 자기 보호 기법을 쓰는 악성코드에 대응하기 위한 기술을 개발해 전용백신으로 제공하게 됐다"며 "이 기술은 이번부터 전용백신에 탑재돼온 은폐형 악성코드 진단/치료 기술인 '트루파인드(TrueFind)' 기술에 추가돼 앞으로 지능적인 악성코드를 무력화할 것"이라고 설명했다. '트루파인드' 기술은 추후 'V3 365 클리닉 2.0'을 비롯해 모든 V3 제품군에 적용될 예정이다.
한편, 안연구소는 급속히 확산돼 많은 피해를 일으킬 소지가 있는 악성코드에 대해 전용 백신을 별도로 개발해 무료 배포해오고 있다. 최근 피해가 많은 ARP 스푸핑(ARP Spoofing), 바이럿(Win32/Virut), 루트킷(Win-Trojan/Rootkit), 베이글(Win-Trojan/Bagle) 등의 전용백신을 비롯해 50개에 달하는 전용백신을 제공 중이다.
안철수연구소 시큐리티대응센터 조시행 상무는 "최근 악성코드는 돈을 목적으로 설치되어 오랫동안 PC에 남아있기 위해 접근 방지, 은폐 등의 지능적인 기법을 사용한다. 이번 전용백신은 이런 지능적인 기법의 악성코드를 효과적으로 진단/치료할 수 있는 기술이 탑재됐다"고 전했다.
*가짜백신 '안티바이러스XP2008'의 특징
가짜백신 프로그램인 '안티바이러스XP2008'은 올해 하반기 들어 국내외에서 가장 큰 피해를 일으키고 있으며, 안철수연구소 시큐리티대응센터(ASEC)에 들어온 신고 건수만 8월 한 달 동안 100건이 넘었다. 변종이 약 200개에 달하며 '안티바이러스XP2009'도 등장했다.
이 가짜백신의 특징은 사용자의 불안감을 자극해 비용 결제를 유도한다는 점이다. 우선 설치 과정에서 배경 화면 변경, 보안 설정 변경, 블루스크린 스크린 세이버 설정 등으로 컴퓨터를 정상적으로 이용할 수 없게 한다. 사용자가 원래대로 설정을 돌려놓지 못하게 디스플레이 등록 정보의 배경 이미지와 스크린 세이버 설정 탭을 안 보이게 변경한다.
또한 다른 가짜백신은 단순히 과장되거나 거짓 진단 결과를 보여주는 데 그치지만, '안티바이러스XP2008'는 인터넷 익스플로러, 작업표시줄의 트레이 아이콘, 시스템 오류 메시지 등을 이용해 악성코드에 감염됐다는 메시지를 보여줌으로써 사용자를 불안하게 만든다. 사용자는 불안한 마음에 비용 결제 요구에 응하게 된다.
또한 '안티바이러스XP2008'는 설치 경로가 다양해 재감염의 가능성이 높다. 첫째, 동영상 코덱으로 위장해 성인 사이트 중심으로 확산되는 스파이웨어인 즐롭(Zlob)에 포함되어 설치된다. 둘째, 이미 설치된 다른 악성코드가 특정 서버에 접속해 내려받기도 한다. 이런 경우 부팅 때마다 또는 일정 시간마다 악성코드를 설치하기 때문에 한번 진단/치료를 해도 재감염이 반복돼 근절하기가 쉽지 않다.
김정은 기자
jekim@itdaily.kr