메신저가 악성코드의 주 공격 대상이 되고 있다.

올 상반기에는 웜,봇 등 메신저를 타고 들어오는 악성코드가 맹위를 떨치더니 최근에는 메신저 피싱까지 등장했다.

메신저를 통한 공격을 피하기는 쉽지 않다.

평소에 같이 수다를 떨던 친한 사람이 악성코드를 보냈을 것(물론 그 친구가 보낸 것이 아니다.

친구를 빙자한 공격자가 보낸 것이다)이라고 누가 상상하겠는가.

친구 메시지라고 생각하고 메신저의 메시지를 클릭하다가는 PC가 망가질 수 있다.

메신저를 통한 악성코드 공격을 정리해봤다.


◆메신저로 웜과 봇이…


올초부터 메신저를 통해 퍼지는 악성코드가 자주 발견됐다.

안철수연구소에 따르면 매월 몇십 명으로부터 신고를 접수했다.

2월에는 'Look at this;http://1960.basu????dewa.com/5/496' 등 특정 인터넷 주소를 클릭하도록 유도하는 '스트레이션.젠 웜'이 발견됐다.

'스트레이션.젠 웜'에 감염되면 특정 확장자를 가진 파일들에서 메일 주소를 추출해 웜을 첨부한 메일을 발송한다.

감염 컴퓨터 사용자는 자신도 모르게 웜의 유포자가 되는 것이다.

그리고 이 웜은 특정 사이트에 접속해 또 다른 웜이나 트로이목마를 다운로드해 실행한다.

3월에는 셰도봇.18944(ShadoBot.18944)와 셰도봇.21504(ShadoBot.21504)가 메신저를 통해 전파됐다.

봇에 감염되면 해커 혹은 봇 유포자에게 원격 제어를 당하는 것이 특징이다.

이 봇은 또한 메신저 대화 목록의 상대가 아닌 사람에게도 무작위로 웜 등 다른 악성코드를 전송하기도 한다.

셰도봇은 메신저로 'hey man accept my new photo album..;(made it for yah,been doing picture story o' 또는 'HEY lol i've done a new photo album!;) Second ill find file and send you it.' 등 사진을 보라는 메시지와 함께 photo album.zip 파일을 전송했다.

사용자가 이 파일을 압축 해제하면 photo album2007.pif 파일이 생기고 다시 이 파일을 실행하면 rdshost.dll 파일이 만들어졌다.

rdshost.dll 파일은 특정 IRC 서버에 접속해 해커가 내리는 악의적인 명령(다른 PC를 공격하는 등)을 받아 수행하는 기능을 한다.

이른바 '좀비 PC'가 되는 것이다.

4월에는 'Check this!!' 등의 메시지와 함께 http://(제거됨).herasunmedaxuke.com/5/(제거됨)/ (접속 방지를 위해 주소의 일부를 제거함) 등의 인터넷 주소를 대화 상대에게 무작위로 전달하고 해당 주소를 클릭해 접속하면 스트레이션.젠 웜을 다운로드하게 하는 공격이 다시 발견됐다.

6월에는 photo album.zip 파일과 photos.zip 파일을 전송하는 셰도봇(ShadoBot) 웜 변종이 또 발견됐다.

◆메신저 피싱까지


7월 말에는 메신저 피싱까지 등장했다.

이 공격은 대화 상대 목록에서 누구를 삭제했는지 알려주는 프로그램을 다운로드해 준다는 메시지를 클릭하면 허위 사이트로 유도해 계정정보를 빼내갔다.

여기에는 자신을 차단한 친구 리스트를 알려준다고 하며,거기다 영어도 아니고 한글로 메시지가 와 대다수 사용자들이 이에 '혹해' 당했다.

악성코드 공격은 아니었지만 이 사이트는 해당 사이트의 방문자를 통해 광고 노출과 클릭 수를 늘려 수익을 올리기 위한 광고성 사이트로 밝혀졌다.

이 사이트에서 MSN 계정과 비밀번호를 입력한 사용자는 자신의 계정과 비밀번호를 공격자에게 그대로 알려준 꼴이 됐다.

또 피해자가 자신의 MSN에 친구로 등록된 사용자에게 똑같은 메시지를 저절로 발송하는 바람에 해당 사이트의 방문자 수는 기하급수적으로 늘어났다.

피해자의 메신저가 자꾸 꺼지는 현상도 발생했다.

사용자 계정이 다른 곳에서 이용되면서 충돌이 일어났기 때문이다.

이해성 기자 ihs@hankyung.com

----------------------------------------------------------

개인ㆍ기업 '실시간 대화도구' 악용… 웜ㆍ봇ㆍ피싱 기승

메신저를 통한 공격이 자꾸 늘어나는 이유는 뭘까.

전 세계적으로 인스턴트 메신저의 사용은 크게 늘어나고 있고 이메일 트래픽을 곧 앞선다는 전망이 나와 있기도 하다.

개인 간 대화나 기업 간 업무용으로도 메신저의 영향력은 점점 커지고 있다.

이유는 메신저가 실시간(real time) 대화 도구이기 때문이다.

우편은 말할 것도 없고 이메일,하다못해 휴대폰 문자메시지조차도 메시지의 전달과 반응 사이에는 시차가 존재한다.

하지만 메신저는 입력 후 엔터를 치기만 하면 바로바로 연결되니 그 편리함이 말할 수 없을 정도다.

메신저를 통한 공격은 바로 이 점을 이용한다.

최근에는 많은 기업들이 나름대로 보안을 강화하고 있어 공격자가 외부에서 직접적인 공격을 쉽게 하기는 어려운 상태다.

하지만 메신저는 기업들이 외부로 열어 놓은 웹 포트를 통해 작동하기 때문에 악성코드를 전파하기가 매우 좋은 여건이다.

전문가들은 메신저를 통한 공격을 피하기 위해서는 철저한 보안 제품 사용과 윈도 등 운영체제의 보안패치를 주기적으로 업그레이드하는 방법이 최선이라고 강조한다.