일본發 GENO 악성코드, 국내 공습
2009.05.22 17:48
수정 : 2009.05.22 16:41기사원문
▲ 보안업체 웹센스가 공개한 통상 인젝션 공격과 GENO 바이러스의 검출 자료 |
일본 등 해외에서 가장 심각한 문제로 부각되고 있는 ‘GENO’ 악성코드가 국내 사이트에도 나타난 것으로 확인됐다. 해당 악성코드는 일본의 PC 통신판매 사이트인 ‘Geno’가 해킹을 당한 후 악성코드를 전파하면서부터 이러한 이름이 붙여졌다. 영미권에서는 검블러(Gumblar) 라는 이름의 악성코드로 통하고 있다.
보안업체 이스트소프트는 최근 GENO 악성코드에 감염시키는 숙주 사이트를 국내에서도 발견했다고 밝혔다. 이스트소프트는 해커가 서버의 웹 취약점을 이용하여 해당 사이트에 악성코드 스크립트를 삽입한 것으로 보여진다며 22일 오전 현재까지도 복구되고 있지 않다고 설명했다.
■사이트 관리자 PC서 개인정보 빼내 악성코드 유포
해당 악성코드는 어도비(Adobe)사의 아크로뱃이나 플래쉬의 보안 패치가 되지 않은 PC가 특정 웹 사이트를 열기만 해도 감염되는 ‘드라이브 바이 다운로드’ 방식으로 전파되고 있어 감염속도가 매우 빠르다. 피해자가 악성코드가 숨겨진 사이트에 접속할 경우 ‘gumblar.cn’나 ‘martuz.cn’ 악성 코드가 담긴 PDF·플래시 파일이 다운로드되며, 패치가 되지 않은 구버전을 쓰고 있을 경우 웹 브라우저에서 자동적으로 파일이 실행되는 식이다.
더 큰 문제는 감염된 PC 이용자가 웹사이트의 파일을 관리하는 FTP 프로그램을 가지고 있을 경우 ID와 비밀번호를 빼내 해당 웹사이트에 악성코드를 자동적으로 심어놓는다는 데 있다. 해당 페이지를 열어본 다른 이용자들도 악성코드 위협에 노출되는 것이다.
악성코드에 감염된 PC에서는 △마이크로소프트(MS)사의 업데이트나 일부 백신 소프트웨어 사이트로의 접속이 불가능해지고 △cmd.exe와 regedit.exe 파일을 실행할 수 없게 되며 △웹 브라우저인 익스플로러가 이유없이 종료되는 등의 증상이 나타나는 것으로 알려졌다. 또 검색 사이트 구글의 검색 결과를 특정 웹사이트로 강제 이동시키는 증상도 있으며 경우에 따라서는 부팅이 되지 않기도 한다.
이스트소프트 관계자는 “현재 일본에서 주로 만화나 애니메이션, 게임 관련 사이트들이 Geno 악성코드의 숙주가 된 사례가 많다”며 “어도비(Adobe)사의 아크로뱃(Acrobat)이나 플래쉬(Flash) 취약점을 가지고 있는 국내 누리꾼이 이들 사이트에 접근할 경우 악성코드에 감염될 수 있다”고 경고했다. 현재 안철수연구소와 이스트소프트 등이 21일자 변종에 대한 백신을 가지고 있는 상태다.
■변종 나날이 늘어… 해외선 비상
국내에는 그동안 유입이 되지 않았지만, GENO, 혹은 검블러(Gumblar) 악성코드는 급격한 확산 속도로 인해 지난 4월부터 해외에서 악명을 떨쳐 왔다. 구글 툴바의 세이프 브라우징 기능에 따르면 중국 서버인 ‘gumblar.cn’을 거점으로 삼은 이 악성코드는 현재 전세계 1만 7000여개의 도메인, 변종인 ‘martuz.cn’은 1만 4000여개 도메인에서 검출된 것으로 나타났다.
이에 따라 최근 미 국토안보부 긴급보안대응팀(USTR)과 각 보안업체들은 웹사이트로부터 자바 스크립트를 이용한 공격이 급격히 증가하고 있다고 강력히 경고하고 나섰다. 보안업체 소포스는 공식 블로그를 통해 “지금까지 가장 유행했던 공격 페이스의 무려 6배 속도”라고 밝혔다. 시만텍과 카스퍼스키는 각각 해당 악성코드를 ‘Infostealer.Daonol’, ‘Trojan-Dropper.Win32.Agent.apfn’로 지정해 변종 확산에 총력을 기울이고 있다. 마이크로소프트에서도 ‘Win32/Daonol.F’라는 별도 코드로 관리하고 나섰다.
현재는 해당 악성코드를 전파하는 2개 서버는 차단된 상태이나, 상위 서버의 주소를 바꾸어 재전파할 가능성이 매우 높아 보안이 취약한 다른 국내 사이트도 언제든지 숙주에 감염될 수 있는 것으로 분석됐다. 특히 사이트를 보유한 웹마스터들은 백신 검사가 필수적이다.
보안업계 관계자는 “어도비(Adobe)사의 아크로벳(Acrobat)과 플래쉬(Flash) 프로그램의 보안패치 설치를 권고하고 백신의 실시간 감시 기능을 꼭 활성화해야 한다”고 당부했다.
/ fxman@fnnews.com 백인성기자