신종 악성코드가 등장해 피해를 주는 주기가 점차 빨라지고 공격 횟수도 대폭 늘어나고 있어 이에 대한 전 국가적인 대응 전략이 요구된다.
28일 업계에 따르면, 신종 악성코드의 영향력 주기가 3∼4개월에서 한 달로 줄어들어 매달 신규 악성코드가 피해 집계 1위를 차지하고 있다. 또한, 2007년부터 악성코드가 두 배 이상 늘어난 것으로 집계 됐다.
안철수연구소 시큐리티대응센터 리포트에 따르면, 2007년 4분기에는 제마 변형 트로이목마가 1위에서 4위를 오갔고, 올해 1분기에 소로우 바이러스가 2위에서 6위를 오갔다.
그러나 올해 4월부터 8월까지 매월 악성코드 피해신고 톱 10을 차지한 것들이 모두 신종·변종이 차지했으며, 과거 지속적으로 매달 피해를 주었던 악성코드들은 순위에 포함되지 않았다.
뉴테크웨이브의 연구소도 악성코드 동향을 집계한 결과 올 상반기에 패턴이 갱신된 신종이나 변형 악성코드가 총 10만7617개로, 지난해 상반기 4만4484개에 비해 142%나 증가했다고 밝혔다.
이는 전 세계적인 악성코드 증가 추이와도 맞물리는 것으로, 시만텍 보고서에 따르면 2006년 전 세계적으로 7만 개 수준이었던 악성코드가 2007년 상반기 21만 개, 하반기에는 무려 49만 개의 악성코드가 출현했다.
신종 악성코드가 이렇듯 기승을 부리는 이유는 해커들이 악성코드 제작 툴이 등장해 자동으로 신·변종 악성코드를 생성할 수 있어서다.
드롭퍼·다운로더·ARP스푸핑 등 다양한 방법을 동원하면서 배포가 쉬워진 것도 신종 악성코드 확산의 주범이다. 특히 ARP스푸핑의 경우 HTTP통신에 대해 자신을 전파하기 위한 스크립트를 삽입하도록 패킷을 변조하기 때문에 동일 네트워크 영역에 존재하는 시스템은 웹사이트에 접속할 때마다 해당 악성코드를 다운로드하고 실행하게 된다.
안철수연구소 조시행 상무는 “악성코드 제작자들은 변형을 손쉽게 만들 수 있는 툴을 이용해 지능적이고 다양한 방법으로 유포하고 있다”며 “그만큼 신종 악성코드 주기도 빨라지고 있다”고 말했다.
이러한 추이에 대해 업계와 기관의 공동 대응이 필요하다는 지적이다. 현재 국내에서는 한국정보보호진흥원은 물론 악성코드 치료 프로그램을 제작하는 보안 업계가 자체 연구소를 통해 악성코드를 분석하고 이에 대한 대응책을 내놓고 있다. 급증하는 악성코드에 대응하기 위해서는 기초적 조사를 하는 자동 툴을 공동으로 개발하고 기관은 고차원적인 악성코드를 탐지할 수 있도록 투자를 강화해야 한다는 것이다.
한국정보보호진흥원 류찬호 팀장은 “기업과 기관이 개별적으로 악성코드에 대처할 것이 아니라 국가 차원에서는 메모리 상주용 악성코드나 커널형 악성코드 같은 고차원적인 악성코드를 탐지하는 데 주력하고 업계와 공조할 수 있는 시스템을 구축해야 한다”며 “내년에는 이러한 시스템 구축에 주력할 것”이라고 말했다.
문보경기자 okmun@