보안 패치가 중요한 또하나의 이유 - 익스플로잇 팩 출현!

2009. 8. 16. 09:21새로운 소식

윈도우 운영 체제를 기준으로 볼 때, 새로운 운영 체제가 출시되면 보통 1년-2년 내에 서비스팩(SP, Service Pack)이라고 부르는 업그레이드 버전이 출시됩니다. 서비스팩은 제품 출시 이후에 발표된 취약점과 같은 보안 업데이트와 제품에 새로운 기능을 추가하거나 기존 기능을 강화하는 애플리케이션 업데이트로 나눌 수 있습니다.

또한, 마이크로소프트는 매달 2째 주에 월간 정기 보안 업데이트를 발표합니다. 서비스팩을 발표할 때까지 보안상 취약점에 대해 해결할 수 없는 즉, 급박한 상황에 발표하는 보안 업데이트입니다.

고객지원팀에 자주 질문되는 사항들은 "바이러스에 어떻게 하면 안걸리나요?" 입니다.

이에 대한 기술지원팀의 답변은 딱 3가지 입니다. 하지만 결론은 "보안 패치 + "백신 사용" 입니다.
  • 서비스팩과 매달 나오는 보안 패치하십시오.
  • 어베스트!(또는 기타 백신)를 설치하시고 기본 옵션 그대로 사용하십시오.
  • MS 오피스, 아크로뱃 등의 프로그램의 보안 패치가 발표되면 즉시 패치하십시오.
물론 알 수 없는 최신의 악성 코드는 어베스트! 뿐만 아니라 다른 백신도 못잡은 가능성이 있습니다. 하지만, 대부분의 악성 코드는 보안 패치 만으로도 충분히 막을 수 있는 종류입니다.

어베스트! 분석팀에서 내놓은 자료 중 하나를 소개해 드립니다. 이 자료는 중국에 있는 특정 서버에서 발견된 익스플로잇 팩입니다. 팩(Pack)은 한글로 번역하자면 "꾸러미"라고 할 수 있습니다. 즉, 악성 프로그램 종합 선물상자라고 한다면 쉽게 이해가 되실 것입니다.

익스플로잇(Exploit)은 프로그램이나 운영 체제 등에서 발견된 보안 취약점을 이용하여 감염되는 형태의 악성 코드입니다. 주로, 실제 악성 코드를 감염시키는 매개체 역할을 수행합니다. 또한, 이러한 익스플로잇은 백신이나 방화벽으로 막기가 어려운 편이며 가장 최선의 방어책은 해당 취약점의 보안 패치를 실시하는 것입니다.



위의 표는 하나의 익스플로잇 팩을 분석하는 과정에서 파생되어 나온 악성 코드를 체계적으로 정리한 것입니다. 익스플로잇팩에는 약 40 여가지의 파일이 포함되어 있으며 리디렉터(Redirector, 다른 사이트로 이동시키는 악성코드), 취약점이 컴퓨터에 존재하는지 확인하는 테스터, 11개의 익스플로잇, 쉘코드(스크립트) 등이 포함됩니다. 또한 최근에 문제가 불거졌었던 아크로뱃의 PDF 취약점을 이용하는 익스플로잇 코드도 포함되어 있습니다만, 아쉽게도(!) 악성코드 제작의 실수 또는 프로그래밍 오류로 인해 정상 동작하지는 않습니다. 표에서 404 오류가 나는 부분이 바로 PDF에 관련된 코드입니다.

악성코드 제작자는 왜 이렇게 많은 악성 코드를 한 꾸러미에 넣을까요? 위 도표에 있는 화살표 표시를 따라가 보면 악성 코드가 서로 물려 있기도 하고, 따로 동작하기도 하고, 각기 다양합니다. 어베스트! 분석전문가도 이 도표를 그리느냐고 꽤 힘들었을 것입니다.

악성코드 제작자가 많은 코드를 포함시켜 놓은 가장 대표적인 이유는 바로 익스플로잇팩에 있는 모든 악성코드를 하나의 백신에서 진단하지 못하기 때문입니다. "도둑 하나를 열 경찰이 못 잡는다"는 말처럼 거의 모든 악성코드를 잡더라도 하나만 놓치게 되면 그 자체로 이미 감염되기 때문입니다.

아래 도표는 어베스트!에서 익스플로잇 킷을 분석하여 바이러스 패턴을 등록한 즉, 진단한 파일을 Virustotal 이라고 하는 무료 검사 사이트에서 검사한 것입니다.


참고로, GDATA는 어베스트! 엔진을 이용하는 듀얼 엔진을 가진 제품으로 동일하게 진단합니다.

주의: 익스플로잇팩의 진단만으로 백신 제품의 성능을 비교하거나 판가름하는 것은 현명하지 못한 선택입니다.  

알림: 바이러스 데이터베이스는 수시로 업데이트되므로 어베스트!에서 검사한 이후 시점에는 다른 백신에서도 검출될 가능성이 높습니다.

아래는 익스플로잇팩에 포함된 파일 및 검사 결과입니다.

마지막으로 정리하자면 자신이 사용하는 달력, 또는 컴퓨터에 일정을 관리하는 프로그램이 있다면 매달 둘째 주 수요일(미국은 화요일)에 보안 패치라고 빨간 색으로 적어 놓으시고,  꼭 보안 패치를 해 준다면 악성 코드의 감염으로부터 더 많이 자유로와지실 수 있을 것이라고 확신합니다!