당신의 하루 중 스마트폰이나 컴퓨터를 들여다 보지 않는 시간은 얼마나 되는가? 개개인마다 차이가 있겠지만 우리는 평생을 첨단 IT기기와 함께 살아간다고 해도 무방할 것이다. 그만큼 첨단 IT기기는 우리 생활에 필수적인 요소가 됐고, 이에 따라 수많은 개인정보와 보안이 필요한 정보들을 다루고 있다. 정보가 곧 돈이 되는 시대, 해커들은 당신이 가진 돈이 되는 정보를 언제나 호시탐탐 노리고 있다. 컴퓨터 악성코드는 물론 최근에는 스마트폰에서도 다양한 악성코드가 발견되고 있다. 그만큼 정보보안에 대한 관심과 보안의식에 대한 경각심도 날로 높아지고 있다. 우리를 노리는 주변의 악성코드, 과연 어떤 것들이 있을까●
개인과 국가를 흔드는 악성코드
사례 1. 2008년 이란 나탄즈, 이란 정부가 추진하던 우라늄 농축 프로그램의 기반시설인 5천여 개의 우라늄 원심 분리기 중 약 1천여 개가 이상한 움직임을 보이기 시작한다. 일정한 속도로 움직여야 하는 원심 분리기의 속도가 제멋대로 회전하기 시작한 것이다. 최악의 경우로 원전이 폭발할 경우 이란을 넘어 중동의 대부분 지역을 우라늄으로 뒤덮을 수도 있는 상황! 다행히 역사상 최악의 폭발사고로 이어지는 것은 막았지만, 이 일의 후유증으로 1천여 개의 원심 분리기가 단순 고철덩어리가 되면서 이란의 우라늄 농축 프로그램은 2년가량 지연된다.
사례 2. A 씨는 연극 무료 초대권 메일을 받아 연극을 보고 왔다. 샤워를 마치고 친구와 컴퓨터 메신저 채팅으로 함께 본 연극에 대해 자연스레 대화를 나누던 A 씨. 그러나 곧 메신저에 A 씨가 아닌 다른 사람이 A 씨를 대신해서 글을 쓰기 시작하더니 스피커에서는 오페라의 유령 주제가인 ‘The Phantom of the Opera’가 흘러나오기 시작한다. A 씨의 통제를 완전히 벗어나 타인의 통제를 받기 시작한 A 씨의 컴퓨터에서는 점점 더 무섭게 노래가 흘러나오고, 모니터의 메신저에는 알 수 없는 글들이 계속해서 적혀지고 있었다.
첫 사례는 실제 2008년 이란에서 있었던 일로 2010년이 돼서야 컴퓨터 바이러스의 일종인 ‘스턱스넷’이라는 악성코드에 의해 일어난 일이다. 스턱스넷은 주로 이동식 저장 장치를 통해 감염되는데, 이는 독자적인 인터넷망을 구축하고 있는 곳이라도 침투할 수 있다. 대체로 발전소나 철도, 공항 등 국가 기반시설을 공격하고 마비 및 파괴하는데 쓰이기 때문에 국가 간의 사이버 전쟁 등에 활용된다.
두 번째 사례는 ‘ATP’라는 악성코드로 일어날 수 있는 장면을 그린 드라마 ‘유령’의 한 장면이다. 본 주인의 컴퓨터 통제권을 강제로 빼앗아 마음대로 원격조종을 할 수 있을 뿐만 아니라 컴퓨터 내에 있는 기밀정보를 장기간에 걸쳐 은밀하게 빼낸다. 2011년에 있었던 농협 전산망 마비사건과 SK커뮤니케이션즈의 대량 해킹 사건 역시 이 ‘ATP’공격에 의한 것이다.
이외에도 첨단 IT부품이 들어가는 기기나 인터넷망을 쓸 수 있는 기기는 모두 악성코드에 감염될 수 있다. 자동차의 경우 컴퓨터로 속도나 방향을 조절할 수 있고, 스마트 TV의 경우 하드웨어를 망가트리거나 타인이 보는 채널을 맘대로 변경할 수도 있다. 스마트폰 역시 안전지대가 아니다. 문자나 메신저에 포함된 URL에 접속하거나 악성코드를 담은 앱을 다운받으면 그 순간 당신의 스마트폰은 당신의 것이 아니게 된다.
지금! 당신에게 감염된 악성코드
지금 이 순간, 1초마다 전 세계적으로 3개의 악성코드가 생겨나고 있다. 악성코드란 악의적인 목적으로 만들어지고 그 목적을 실행하는 코드를 통칭한다.
이렇듯 셀 수도 없을 정도로 많은 악성코드들의 약 90%가량은 ‘트로이 목마’다. 고대 트로이 인들은 자신들을 죽음으로 몰아넣을 그리스 군이 트로이 목마 안에 있는지도 모른 채 자신들의 성 안에 들여 놓았다. 이처럼 악성코드 트로이 목마는 겉모습만 봐서는 악성코드인지 판별할 수가 없다. 사용자에게 유용한 프로그램인 것처럼 위장을 하기 때문이다. 위험하지 않아 보이는 프로그램을 실행시키는 순간 그 안에 있던 트로이 목마는 컴퓨터 내부로 침입하게 된다. 트로이 목마의 대표적인 유형으로 ‘하이재커’가 있다. 이 악성코드는 웹브라우저의 홈페이지를 재설정해 사용자가 원하지 않은 사이트에 강제로 접속하게 만든다.
이외에도 광고창을 멋대로 뜨게 하는 ‘애드웨어’, 사용자가 키보드로 입력한 내용을 공격자에게 그대로 보여줘 개인정보를 노출시키는 ‘키로거’, 워드나 엑셀 등 시장 점유율이 높은 특정 소프트웨어들의 취약점을 이용해 악성 행위를 하게 만드는 ‘익스플로잇’ 등이 있다. 한 가지 유의할 점은 이 같은 악성코드들이 우리가 접하는 거의 모든 컴퓨터에 감염돼 있다는 것이다. 이미 우리는 너무도 많은 프로그램을 인터넷, 토렌트나 이메일, P2P사이트 등을 통해 다운받아 버렸다. 실질적으로 악성코드에서 자유로운 IT기기는 없다고 해도 무방하다.
특히 최근에는 ‘파밍’이라는 악성코드가 크게 유행하고 있다. 인터넷 사이트는 고유한 IP가 있는데, 사이트의 IP는 DNS서버라는 장치를 거치면서 우리가 흔히 보는 사이트로 연결 된다. 그때 파밍은 DNS서버를 공격해 본래 입력한 주소의 정상적인 사이트가 아닌 다른 사이트로 연결을 시킨다. 이렇게 연결된 가짜 사이트의 홈페이지는 본래 접속하려던 홈페이지와 거의 흡사하게 꾸며져 있고, 이에 속은 사용자들은 기존에 써왔던 사이트인 양 인식하게 되는 것이다. 따라서 파밍은 금융기관의 공식 홈페이지 및 대형 포털사이트와 유사한 사이트를 통해 사용자의 개인정보를 탈취해간다.
진화하는 악성코드, ‘악성코드 DNA맵’이 해결한다.
하루에도 몇 십만 개씩 발생하는 악성코드들은 현재의 백신 프로그램으로 완벽히 잡을 수는 없다. 백신 프로그램은 새로운 악성코드가 발견되면 이를 분석해 기존의 백신을 업그레이드하는 방식으로 방어하기 때문이다. 따라서 새로운 버전 업그레이드가 되기 전에 기존 프로그램의 취약점을 잡아 공격하는 ‘제로데이’ 공격에 속수무책으로 당할 수밖에 없는 것이다.
이에 대해 윤은준 교수(경일대 사이버보안)는 “인지과학적 기반의 백신을 사용하면 미래에 만들어질 악성코드도 잡아낼 수 있다”고 말했다. 지난 2010년 안랩은 ‘DNA 스캔’ 기술을 개발했다. 각기 다른 악성코드라 할지라도 악성코드 고유의 특성과 발현 패턴이 존재한다. 이 패턴이 정리되면 DNA 일치도를 측정해 신종 악성코드를 잡아낼 수 있게 되는 것이다.
윤 교수는 “악성코드 DNA 기술을 사용하면 백신 프로그램에 지금까지의 악성코드 각각의 정보를 담을 필요가 없어져, 백신 자체의 용량도 작아질 뿐만 아니라 미래에 만들어질 악성코드도 잡아낼 수 있다”고 말했다.
자문: 윤은준 교수(경일대 사이버보안)