매크로 바이러스 퇴치법을 찾아라

행동 스캐닝(Behavioral Scanning)이 매크로 바이러스로부터 컴퓨터를 안전하게 지켜줄 것인가? 시만텍은 이것이 가능하다고 말한다.

개인 파이어월이 인터넷 파괴자들로부터 가정 컴퓨터 시스템을 보호하기 위해 맹활약하고 있는 가운데 이제 이 바이러스 기술은 매크로 바이러스와 트로이 목마로부터 컴퓨터를 보호하는데도 똑같이 적용되고 있다.

지난 29일 바이러스 백신업체인 시만텍(Symantec)은 보통 악의적 코드에 의해 사용되는 특정 명령어 사용을 차단함으로써 컴퓨터 프로그램과 데이터를 손상, 조작, 파괴시키기 위해 스크립팅을 사용하는 바이러스들을 막는 차단 기술을 과시했다.

지난 29일 기술 시연에서 시만텍 바이러스 백신 연구센터 아키텍트인 마크 케네디는 이런 기법은 매크로 바이러스 퇴치율을 훨씬 더 높이는 결과를 가져왔다고 밝혔다. 잠재적인 위험 가능성이 있는 스크립트에 대한 폭넓은 조사를 통해 그는 "그동안 웜에 의해 사용된 적은 없으나 앞으로 사용될 가능성이 있는 많은 스크립트들을 확인"했으며 "성공률이 높은 것도 이 때문"이라고 말했다.

매크로 바이러스가 가장 골칫거리

스크립팅 언어는 컴퓨터에 부과되는 작업의 자동화를 용이하게 만들기 위한 일련의 명령어들이다. 공교롭게도 이 스크립팅 언어는 바이러스 제작자들이 다양한 플랫폼에서 활동하는 바이러스와 트로이 목마도 만들 수 있도록 해준다.

1995년 등장한 최초의 매크로 바이러스인 WM/Concept,A는 불과 2주만에 가장 출현도 높은 바이러스 목록에 올라 18개월 가까이나 목록에 남아 있었다.

지난 2년간 출현한 바이러스 수는 변종을 제외하고도 500종이나 된다. 미시간 대학 바이러스 백신 연구팀장인 브루스 버렐에 따르면 그 중 87%가 매크로 바이러스라고 한다. 버렐은 대부분의 경우 디지털 항원이 인터넷에 올려지기 전에 바이러스 백신 업체들이 바이러스들을 차단한다는 사실을 발견했다.

컴퓨터 바이러스 컨설팅(Computer Virus Consulting)사의 독립 컨설턴트인 닉 피츠제랄드는 이런 사실에도 불구하고 미리 정해진 바이러스 정의 항목에 부합하는 컨텐츠 프로그램을 스캐닝하는 식의 기존 바이러스 탐지법은 많은 문제점을 내포하고 있다고 지적했다.

이 바이러스 정의들은 끊임없이 업데이트할 필요가 있기 때문에 결과적으로 바이러스 백신업체들은 바이러스 제작자들과 서로 무기 경쟁을 벌이는 셈이다.

새로운 기법

시만텍의 새 바이러스 퇴치 기법은 바이러스 정의를 바탕으로 프로그램을 스캐닝하는 대신, 잠재적 위험성이 있는 스크립트 기능을 식별해 내고 시스템 관리자나 가정 사용자가 미리 승인하지 않는 한, 어떤 프로그램이라도 이런 기능들을 사용하지 못하도록 방지한다.

이 방법은 과거에 바이러스 백신 소프트웨어 업체들에 의해 사용됐던 행동 필터(behavioral filter)방법을 다시 사용한다는 것을 예고하고 있다. 행동 필터는 사용자가 승인하지 않은 특정 기능들을 사용하지 못하도록 차단하는 것이다.

지난 7월 열렸던 블랙 햇 보안(Black Hat Security) 컨퍼런스에서 록히드 마틴 엔터프라이즈 인포메이션 시스템(Lockheed Martin Enterprises Information Systems)의 기업정보 보안담당 이사인 A. 패지트 피터슨은 멜리사나 러브버그 같은 바이러스의 침입을 막기 위해 차단될 수 있는 윈도우 스크립트 기능들을 몇 가지 제시했다.

컨설턴트인 핏제럴드는 이 기술은 방어에 약한 면이 있다고 지적했다. 그는 "당신이 모니터하고자 하는 개개의 스크립팅 언어에 맞는 그런 소프트웨어를 설계해야 한다. 자바스크립트는 새로운 소프트웨어를 필요로 할 것이다. PERL 역시 마찬가지"라고 주장했다.

하지만 스크립팅 서비스의 변화에 보조를 맞추는 것이 오늘날 활개치고 있는 5만종 이상의 바이러스 변종들을 추적하는 것보다는 훨씬 용이한 일일 것이다. @