송파구에 사는 김씨는 평소대로 컴퓨터를 사용해 인터넷 서핑, 쇼핑몰 돌아다니기, 인터넷 뱅킹 등을 이용하던 도중 평소와는 다르게 PC가 버벅거리고 알 수 없는 프로그램들이 설치된다는 창이 뜨고 부팅속도도 느려져 걱정이 됐다. 김씨는 악성코드 감염을 의심하고 평소 사용하던 백신을 돌려 치료를 했다. 하지만 이러한 이상 증상은 사라지지 않고 계속 남아있어 걱정이다. 과연 백신으로 검사를 했다고 해서 제대로 치료가 된 것일까.  
 
빛스캔(대표 문일준) 측은 “아래 화면들은 감염된 PC를 원격에서 보고 있는 화면 자체를 갈무리한 것으로 공격자는 적어도 몇 백 개 이상의 PC를 훔쳐보고 있는 상황이다. 또한 당시 악성코드에 감염 된 사용자 PC에는 대부분 백신이 1개 이상 설치가 되어 있었으며, 일부의 경우 타 회사 백신도 같이 설치되어 있는 상황이었음에도 불구하고 공격자는 감염된 PC를 원격에서 자유롭게 조정하고 있었다. 즉 백신이 있지만 바이러스를 진단하거나 차단하지 못하는 상황이었다”고 설명했다.

 
공격자는 중국에서 만들어진 Gh0st RAT라는 툴을 통해서 감염된 PC를 살펴보고 있었으며 동시 접속 PC는 약 2천대 이상으로 추정할 수 있었다. 또한 Ghost RAT은 감염된 특정 PC를 선택해 키로깅, 캠 화면, DDoS, 파일복사 등의 추가 공격이 가능하다는 것이 빛스캔 조사에 의해 확인됐다.

 
이 업체 관계자는 “실제 공격자 서버에서 발견된, 감염 PC를 원격으로 통제하는 사례가 최초 확인되었다. 1개 이상의 백신이 설치된 PC들이었고 자신의 PC가 비정상적이라는 것을 인지하고 제거를 하기 위해서 백신을 돌렸는데도 불구하고 탐지 및 제거가 안 되는 매우 심각한 상황임을 확인 할 수 있었다”고 한다.
 
또 “이와 같은 심각한 문제가 발생하는 원인은 바로 백신의 근본적인 한계 때문이다. 백신은 바이러스를 미연에 방지하는 것이 아니라, 백신 회사가 수집 및 분석한 바이러스에 대한 차단 및 예방 기능을 가지고 있고, 백신 회사는 대응이 가능하도록 수집 분석하는 데에는 실제 악성코드 유포 시점과 대응 시점에 꽤 많은 시간적 간극이 존재하기 때문”이라며 “이러한 측면에서 볼 때 백신은 사용자를 지키는 최후의 보루라고 말할 수는 있을지 몰라도, 핵심 방어 수단이라고 말하기는 사실상 어렵다”고 전했다.
 
웹 서비스를 방문만 해도 감염되는 악성코드들은 백신의 탐지를 우회하도록 만들어졌으며 감염 이후에는 사용자 PC의 모든 제어권한을 원격에서 직접 통제 할 수 있도록 되어 있었다. 감염시킨 악성코드의 목적은 금융 정보 탈취를 위한 파밍 공격이었으나, 2천대 이상의 PC를 원격에서 통제함으로써 심각한 사회적 피해를 유발할 수 있는 상황이 확인된 것이다.
 
빛스캔 관계자는 “공격자는 빠르게 공격 전략을 변경하고 진화하고 있으며, 불특정 다수를 대상으로 악성코드를 감염시키기 때문에 예방하려는 노력과 빠른 탐지와 차단만이 피해를 줄일 수 있을 것”이라며 “장기적으로는 악성코드 감염에 이용되는 웹 서비스들의 문제를 해결 할 수 있도록 노력해야 한다”고 강조했다.
 
빛스캔은 현재 180여만개에 이르는 주요 웹 서비스들에서의 악성코드 감염 행위를 실시간으로 관찰하고 모니터링 하여 매주 위협보고서를 발간하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com