[SIS 2009] “끝나지 않은 보안위협, 컨피커웜”

진화한 컨피커C, 셀코드 패턴 이용 70% 차지

원도우 서버 서비스 원격코드 실행 취약점을 이용해 전파되는 악성코드인 ‘컨피커웜(Win32/Conficker.worm)’이 현재에도 다수의 변형을 보이며 발견되고 있어 이에 대한 주의가 필요하겠다.

▲11일 KISA가 개최한 ‘제14회 정보보호 심포지움’에서 김지훈 안철수연구소 시큐리티대응센터 책임연구원이 ‘Conficker vs Security, Know Your Enemy’라는 주제로 강연을 펼쳤다. 사진은 김지훈 연구원이 컨피커웜 해킹 시연을 하고 있다. ＠보안뉴스.

지난 4월 1일 무작위로 생성된 500여개 도메인으로 트래픽을 유발시키는 증상을 보이는 변형도 존재하는 것을 확인한 것은 물론 현재에도 다수의 변형이 발견되고 있어 주의를 늦추어 선 안된다는 내용으로 김지훈 안철수연구소 시큐리티대응센터 책임연구원이 11일 한국정보보호진흥원이 개최한 ‘제14회 정보보호 심포지움’에서 발표했다.

이날 김지훈 연구원은 “MS08-067 취약점을 이용해 지난해 10월에 처음으로 발견된 Gimmiv.A에서 단순하게 본 취약점을 이용해 나타난 컨피커 A가 한달 후 나타났고 이후 한달 주기로 업데이트돼 컨피커 B에서 올해 2월 20일에는 컨피커 C로 진화해 업데이되는 것을 확인했다”고 말했다.

이어 김지훈 연구원은 “컨피커 A가 단순히 MS08-067 취약점을 이용해 발생했다면 작년 연말 발생한 컨피커 B는 그 외에도 관리목적의 공유폴더, USB(오토런) 등을 이용한 진화양상을 보였다”며 “최근에는 컨피커가 셀코드(Shellcode Decryption) 패턴을 이용한 방법이 70% 이상을 차지하고 있다”고 발표했다.

또한 이러한 컨피커웜에 감염 시에는 “컨피커는 프로세스단에서 dll 인젝션 공격을 통해 실행은 가능하도록 하지만 읽기 쓰기 권한을 뺏는 등의 파일 진단을 무력화는 물론 ▲보안업데이트 무력화 ▲중복 감염 방지 ▲웹 서버 구축 ▲악성코드 전파 등의 특징을 보인다”고 설명하고 “특히 중복 감염을 방지하는 특징은 자기 외에 다른 이들이 이용할 수 없도록 하기 위한 조치이지만 이로 인해 컨피커 악성코드 감염만 이루어지는 것이 아니라 또다른 악성코드를 전파한다”고 김지훈 연구원은 말했다.

이후 김지훈 연구원은 이날 실제 해킹 시연 모습을 보여줘 이해를 돕는 한편 컨피커웜에 대해 “컨피커웜은 보안패치가 설치되지 않은 웹서버에서 악성코드를 실행시켜 감염되는 만큼 MS08-067 보안패치를 설치하고 실시간 감시가 가능한 백신 등을 이용하면 된다”고 조언했다.

[김정완 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)