▒ 컨피커 웜의 대규모 공습 우려

국내뿐만 아니라 국외에서도 만우절인 오는 4월 1일에 각종 컴퓨터 바이러스들과 더불어 컨피커 웜의 대규모 공습을 우려하는 목소리가 높다.


최근 비영리 연구 및 개발 단체 SRI 인터내셔널(SRI International)이 컨피커 웜C에 대한 조사를 통해 이 웜의 코드 작성자의 기술적인 능력과 더불어 이 웜 프로그램이 4월 1일 대규모로 확장될 인터넷 드랍 사이트 리스트를 체크하기 시작할 경우 심각한 위험이 발생할 수 있다고 강조했다.


또한 지난 29일(현지시간) 미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)도 컨피커 웜(Conficker worm)의 광범위한 감염을 경고하고 나섰다.

US-CERT는 특히 호스트에 MS08-067이 패치되지 않았을 경우 썸 드라이브, 네트워크 공유, 또는 직접적으로 네트워크를 통해 마이크로소프트 윈도우 시스템에 영향을 끼칠 수 있다며 주의를 촉구했다.


얼마 전 컨피커.C(Conficker.C), 또는 다운애드업.C(Downadup.C)라고 불리는 컨피커 변종을 발견한 SRI는 컨피커 C가 이전 버전인 컨피커 B에서 웜 코드의 80% 이상이 달라졌으며, 이에 감염된 컴퓨터 시스템들은 특히 4월 1일부터 시작해 매일 5만 여개에 이르는 psuedo-random 도메인 네임에 대한 리스트를 생성하는 한편 이들 도메인 중 500개로부터 새로운 명령을 다운로드하는 시도를 시작할 것이라고 경고했다.


외신 보도에 따르면 해외 보안 연구자들은 특히 이 웜 프로그램은 보안 소프트웨어를 차단하고 P2P 네트워크를 통해 코드를 배포하며 비교적 최신 해시 알고리즘인 MD6를 이용해 업데이트를 인증함으로써 작성자 외에는 아무도 그 코드의 업데이트를 할 수 없게 하는 점 등에 대해 우려하고 있다.


한편 컨피커 웜은 지난해 11월, 당시 막 패치된 마이크로소프트(이하 MS) 윈도우 운영 시스템의 취약점을 이용해 번지기 시작했다. 이어 12월에는 새로운 변종인 이른바 컨피커.B(Conficker.B)가 이른바 컨피커.A보다 오히려 더 빠른 속도로 번져나가기 시작했다.


컨피커 웜은 매일 랜덤으로 생성된 500개 도메인의 업데이트를 체크하는 것으로 알려졌다. 즉, 이러한 업데이트 메커니즘 때문에 모든 랜덤 생성된 도메인들을 한발 앞서 차단하지 않으면 이 웜에 공격 코드가 업데이트 될 수 있다는 것이다.


이에 일련의 보안 업체들과 인터넷 서비스 공급업체들, 대응팀들이 이른바 컨피커 카발(Conficker Cabal)을 구성해 활동하고 있지만 일부에서 그 실효성에 의문을 제기하고 있다. 컨피커 작성자들이 카발의 방어를 피해가고 있는 것으로 나타났기 때문이다.


일례로 SRI에 따르면 지난 3월 5일 컨피커에 감염된 기계들의 약 20%가 스스로 B 변종에서 C 변종으로 업데이트 한 것으로 나타났다. 또한 이로부터 2주 후에는 나머지 감염된 기계들도 별 문제없이 변종을 업데이트 했다고 SRI 연구원들은 전했다.


특히 4월 1일을 기해 컨피커 웜이 보다 급격히 전파되거나 혹은 새로운 변종이 나타나지는 않을까 하는 우려가 높아지고 있는 가운데 US-CERT는 컨피커 감염이 의심될 경우 감염된 시스템을 네트워크에서 제거해야한다고 강조했다. US-CERT는 특히 모든 시스템에 MS08-067 패치가 되어있는지 확인하고 오토런(AutoRun) 기능을 비활성화 하는 한편 안티바이러스 소프트웨어를 최신 버전으로 유지해 컨피커 감염을 방지할 것을 권장하고 있다.


이와 관련해 주요 안티바이러스 업체들과 MS도 컨피커 감염여부를 확인하고 이 웜을 제거할 수 있는 무료 툴을 배포하고 있으며, 특히 MS는 컨피커 웜의 수동 제거에 관한 가이드 ‘Article 962007’을 제공하고 있다.


한편, 컨피커 카발의 일원이기도 한 MS는 이 웜과 관련이 있는 이들의 체포 등에 도움이 되는 정보에 대한 보상금으로 25만 달러를 내걸었다.



<출처> 보안뉴스, 2009-03-30

Posted by TopARA
,