세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
불멸의 웜 컨피커, 2008년부터 지금까지 왕성한 활동
  |  입력 : 2017-12-08 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자가 복제해 시스템 감염시키며 옮겨 다녀...올해만 33만번
오래된 시스템과 제3국에서 주로 발견돼...업데이트가 방어법


[보안뉴스 문가용 기자] 보안 업계에서 어느 정도 시간을 보낸 사람이라면 누구나 한 번쯤 들어봤을 법한 이름 컨피커(Conficker). 이제는 불멸의 웜으로 기억될 정도다. 컨피커는 지금으로부터 9년 전인 2008년에 처음 발견됐다. 그리고 지금까지 다양한 안티멀웨어 솔루션들에 의해 와해되고 추적당했다. 그렇지만 아직도 생산업, 의료건강 산업, 정보 기관들에서 꾸준히 발견되고 있다.

[이미지 = iclickart]


이번 주 보안 업체 트렌드 마이크로(Trend Micro)는 이 컨피커 웜에 대한 보고서를 새로 발표했다. 트렌드 마이크로는 컨피커를 다우나드(Downad)라고 불리기도 한다. 트렌드 마이크로는 올해만 컨피커를 탐지하고 차단한 것이 33만번에 다다른다고 한다. 2016년에는 30만번, 2015년에는 29만번으로 그 수가 꾸준히 증가하고 있음을 알 수 있다.

물론 컨피커가 처음 발견됐던 2008년에는 한 해 동안 약 9백만 대 시스템이 감염되기도 했다. 2012년에는 2백 5십만 대의 시스템을 공격해 발견으로부터 4년이나 지났음에도 최대 규모의 멀웨어 중 하나임을 증명해냈다. 하지만 그때부터 숫자가 꾸준히 줄어들기 시작했다. 컨피커보다 좋은 공격 툴들이 등장했기 때문이다. 물론 줄어들었다고 해도 한 달 탐지율이 2만 건에 이를 정도라 ‘죽었다’고 할 정도는 아니었다.

트렌드 마이크로의 글로벌 위협 통신 책임자인 존 클레이(Jon Clay)는 “이렇게까지 긴 시간 동안 왕성한 활동력을 보이는 멀웨어는 없다”고 말한다. “아무래도 컨피커는 앞으로 수년 동안 ‘지속적인 위협’으로 남아있을 것으로 보입니다. 솔직히 누가 그 배후에 없더라도 스스로 번식하고 재생해서 사이버 세상을 마구 돌아다니고 있는 것처럼 보일 정도입니다. 완벽한 제거는 어려운 것이 현실입니다.”

하지만 컨피커의 오랜 생명주기의 이유까지 모르는 것은 아니다. “오래된 운영체제와 소프트웨어를 계속해서 사용하는 한 컨피커는 살아있을 수밖에 없습니다. 패치 안 된 윈도우용 소프트웨어나 윈도우 XP, 윈도우 2000, 윈도우 서버 2003 등을 누군가 계속해서 사용하는 한, 컨피커가 사라질 일은 없습니다.”

그래서 그런지 현재 컨피커가 가장 많이 탐지되는 산업 분야는 의료건강 업계와 생산 업계이며, 정부 기관도 손꼽힌다. 이 세 분야에 속한 많은 단체들은 업데이트를 느리게 하거나 오래된 소프트웨어를 장기간 사용하는 것으로 유명하다. 비슷한 이유로 브라질, 인도, 중국에서 컨피커가 가장 많이 발견되기도 한다. 이는 업그레이드나 신제품 구매에 상대적으로 느린 환경에서 컨피커가 서식한다는 걸 증명한다.

컨피커에 감염된 시스템에서는 어떤 일이 벌어질까? 결과부터 얘기하면, 거의 아무 일도 일어나지 않는다. “옛날 웜이다보니 요즘 멀웨어들이 벌이는 공격들을 수행하지 않습니다. 데이터를 훔치지도 않고, 누군가를 모니터링하지도 않고, 특정 인물을 추적하지도 않습니다. 그저 자기 자신을 시스템에 복제해 넣는 것으로 끝이다. “컨피커는 애초에 어떤 목적이나 수익성을 염두에 두고 만들어진 게 아닙니다. 순수한 웜이에요. 최대한 많은 시스템을 감염시키는 것만이 목적이죠.”

컨피커 웜은 휴대 가능한 미디어 장비, 네트워크 드라이브 등을 통해 번지며, 주로 CVE-2008-4250이라는 취약점을 통해 번식한다. CVE-2008-4250은 오래된 윈도우 버전(2000, 서버 2002, 서버 2008 등)에서 발견되는 서버 오류 중 하나다. 그리고 해당 윈도우 버전을 사용하는 사람은 전 세계적으로 수천~수만에 이른다.

트렌드 마이크로에 의하면 컨피커는 시스템에 안착한 이후 1) 스스로를 복제하여 2) 모든 드라이브의 휴지통에 저장한다. 그런 다음 사용자가 감염된 드라이브의 감염된 폴더를 열어 파일을 실행시키거나 하는 행동을 취하면 또 다시 활동을 시작한다. “컨피커 자신이 저장되어 있는 시스템으로부터 네트워크를 통해 서버로 옮겨갑니다. 그리고 미리 저장되어 있는 비밀번호 목록을 사용해 이른바 사전 공격(dictionary attack)을 실시하죠.”

그밖에 컨피커에는 사용자가 삭제하지 못하도록 하는 기능도 들어있다. “재미있게도 백신 업체 웹사이트를 방문하지 못하게 막기도 합니다.” 컨피커에 감염되지 않는 가장 좋은 방법은 시스템 업데이트라고 클레이는 말한다. “하지만 즉각적인 업데이트가 불가능하다면 네트워크 내에서 웜을 탐지하고 자가 복제를 차단시키는 네트워크 IPS 기술을 활용하는 것도 괜찮은 방법일 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#웜   #컨피커   #자가복제   #감염   #피해   #업데이트   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)