USB 등 이용 시 웜 감염 여부 확인 필요··· 자동 패치 관리 솔루션 도입이 효과적
이번에 문제가 된 웜은 지난해 12월 30일 최초로 발견됐으며 W32.Downadup.B라고 불리는 W32.Downadup의 새로운 변형이다. 이는 Microsoft Windows Server Service RPC Handling Remote Code Execution 취약점을 기반으로 증식할 뿐 아니라, USB 메모리 장치를 감염시키거나 보안이 취약한 패스워드를 공격해 기업 네트워크를 통해서 확산된다.
이러한 증식은 W32.Spybot, W32.Randex, W32.Mytob 등과 같은 악성코드의 변형에서도 사용된 것으로, 새로운 방식은 아니지만 W32.Downadup.B의 경우 기업 네트워크 보호를 보다 어렵게 만든다는 게 시만텍의 설명. W32.Downadup.B는 시스템에 연결된 모든 드라이브 상에 autorun.inf 파일을 생성해 드라이브가 연결되면 위협이 자동 실행되도록 한다. 그리고 드라이브가 액세스 가능한 상태가 되는 즉시 autorun.inf 파일을 생성하기 위해 감염된 컴퓨터에 연결된 드라이브를 모니터링 한다.
이 웜바이러스는 특정 문자열을 포함하는 도메인에 대한 DNS 요청도 모니터링해 이들 도메인으로의 액세스를 차단, 네트워크 요청이 만료된 것처럼 보이게 한다. 따라서, 감염된 PC 사용자는 웹사이트로부터 보안 소프트웨어를 업데이트 받을 수 없으므로 계속 발생하는 웜의 새로운 변형에 대해 대응할 수 없다. 2009년 1월 9일 기준으로 시만텍은 약 300개의 W32.Downadup 또는 W32.Downadup.B 위협에 대한 보고를 수집했다.
이러한 관련 피해를 방지하기 위해 기업은 즉시 Microsoft Windows Server Service RPC Handling Remote Code Execution 취약점 패치를 다운받아야 하며 USB 및 디지털 장치를 사용할 때 해당 웜의 감염 여부를 확인하는 등 주의를 기울여야 한다.
시만텍은 "우리 회사의 고객들은 자동 윈도우 업데이트 기능을 통해 시스템을 보호할 수 있으며 개인 사용자의 경우 마이크로소프트의 자동 업데이트 기능을 사용하는 것이 바람직하다. 연휴 기간은 패치 업데이트가 누락될 수 있어 멀웨어가 보다 급속하게 확산될 수 있으므로 이 같은 위협을 최소화하기 위해 시만텍은 사전 예방적인 자동 패치 관리 솔루션을 도입할 것을 권고하고 있다. 특히 사전에 패치를 다운로드 받는 것이 감염 후 대처하는 것보다 비용 효율적"이라고 강조했다.
보다 자세한 정보는 시만텍 보안연구소 블로그에서 확인할 수 있다.
김정은 기자
jekim@itdaily.kr