![[오늘의 운세] 5월 23일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/23/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
4시간. 이것은 매력적인 테니스 선수가 인터넷의 화제거리가 되는데 걸리는 시간이자, 수많은 기업들이 그들의 e-메일 게이트웨이를 폐쇄하는데 걸리는 시간이다. 또한 새로운 바이러스가 대서양 너머로 확산되는데 걸리는 시간이다.
연속 공격이 한창일 때, 해로운 ''웜'' 첨부 파일 형태를 띤 안나쿠르니코바 바이러스는 메시지랩(MessageLabs)이라는 e-메일 서비스 제공업체의 게이트웨이에 도착한 106통의 e-메일 가운데 하나 꼴로 포함돼있었다. 이것은 일주일에 거의 2만개의 웜 바이러스 복사본을 생성했다.
영국 기업인 메시지랩의 CTO 마크 서너는 "그 날 안나쿠르니코바 바이러스가 기승을 부렸다"고 밝혔다. "우리는 근무시간을 전후해 급상승 곡선을 목격했다. 이 바이러스는 미결 서류함의 중요 부분에 앉아 있다가 사람들이 일을 시작하자 활동을 개시했다"고 밝혔다.
컴퓨터 웜들은 보통의 바이러스와는 다르다. 이런 웜들이 인터넷 전체로 급속히 퍼지는 능력 때문에 악의적인 반달족들은 자신의 최신 창작물을 유포시키기 위해 이런 웜들을 특수 무기처럼 사용한다. 더욱이 이런 프로그램들은 쉽게 복제되고 변경될 수 있으며, 복잡한 웜들을 만드는데 사용되는 포인트 앤 클릭(point-and-click) 툴들도 쉽게 얻을 수 있기 때문에 점점 인기를 끌고 있다.
보안 사이트인 시큐리티포탈(SecurityPortal)에 따르면, 실제로 연중 가장 많이 퍼지는 10대 감염 매체 중에서 2000년에는 웜들이 절반이나 차지해 매크로 바이러스와 공동 1위를 차지했다고 한다. 그리고 지난 1~2월의 초기 지표는 안나쿠르니코바, 하이브리스, 러브레터 변종들이 수위를 차지하면서 2001년의 10대 감염 매체 중에서 웜들이 최소한 8개를 차지할 것임을 예상할 수 있다.
과거에 그런 프로그램을 만들려면 어느 정도의 기술적 지식과 바이러스 제작 경력을 가진 조언자를 필요로 했는데, 오늘날은 그들을 대신해 웜을 만들 수 있는 애플리케이션들을 인터넷에서 다운받을 수 있다. 안나쿠르니코바 바이러스를 생성한 프로그램인 VBS 웜 생성기는 인기 사이트인 VX 헤븐즈(VX Heavens)에서 무려 1만 5000회 이상 다운로드 됐다고 이 사이트의 관리자가 밝혔다.
보안 사이트인 화이트햇츠(Whitehats)를 감수하는 보안 의식이 강한 해커, 맥스 비젼은 "이런 킷은 사용하기가 매우 쉽고, 검색엔진을 사용할 줄 아는 사람이라면 누구든지 찾을 수 있다"고 지적했다.
생성기를 통해 제작된 웜들은 e-메일 게이트웨이를 막히게 하는 대량 메일 발송기부터 시작해 컴퓨터의 이볼라(Ebola) 바이러스에 해당하는 악의적인 코드에 이르기까지 다양한 웜으로 생성될 수 있다. 이런 웜 바이러스를 서로 구별해주는 차이점은 제작자가 무엇을 혼합시켰느냐 하는 것이다. 웜들은 페이로드와는 상관없이 빠르게 전달된다.
시큐리티포탈 애널리스트인 켄 던햄은 "웜들은... 네트워크를 통해 급속히 증식될 수 있다"고 밝혔다. "일반적인 사용자들은 컴퓨터 기술에 대해 거의 아는 바가 없고, e-메일 안에 있는 첨부 파일을 무작정 열어보는 식의 안전치 못한 컴퓨팅을 한다는 사실을 고려하면, 그렇게 되는 것도 당연하다"고 꼬집었다.
''웜''은 제록스 팔로알토 연구센터(이하 제록스 PARC) 연구원인 존 쇼치와 존 허프가 쓴 1982년 논문에서 처음 등장한 용어로 ''쇽웨이브 라이더(The Shockwave Rider)''라는 1972년 S/F 소설에서 유래한다. 이 소설은 ''테이프웜(tapeworm)'' 프로그램에 어느 정도 영향을 받은 조지 오웰리언 사회의 몰락에 관한 소설인데, ''웜''이란 용어의 유래가 된 ''테이프웜'' 프로그램은 네트워크를 통해 증식되면서 데이터를 개방하는 성질을 지니고 있다.
쇼치와 허프는 제록스 PARC에 있는 100대 이상의 컴퓨터에서 이더넷 성능 측정 도구 설치를 자동화시키는 방안을 강구했으며, 따라서 그들은 네트워크 전체로 자가 발송되고 설치될 수 있는 프로그램들에 의존했던 것이다. 빠르게 설치되는 이런 프로그램들은 자동적으로 업데이트되고 작동될 수 있었다.
현재 벤처 캐피탈 기업인 얼로이 벤처(Alloy Ventures)의 공동 경영자인 쇼치는 "우리가 웜이라 불렀던 것은 정말 흥미롭고 강력한 일종의 분산형 전산"이라고 설명했다.
하지만 그 두 사람을 놀라게 했던 것은, 그들의 프로그램에 버그가 생겼을 때 잘못된 코드 역시 네트워크를 통해 자동으로 퍼져나갔다는 사실이다.
쇼치와 허프는 자가 확산 프로그램에 대한 1982년의 실험 논문에서 "웜은 자체 프로그램을 컴퓨터에 빠르게 공급하며 해당 프로그램은 작동하자마자 곧바로 충돌하면서 웜을 불완전한 상태로 내버려둔다. 그러면 이 웜은 걸신들린 듯이 새로운 컴퓨터들을 찾는다"고 밝혔다.
"모든 사람들이 보기에 당황스러운 결과가 나왔다. 그 건물에 100대의 마비된 기기들이 산재해 있었다."
바로 컴퓨터 웜이 탄생한 것이다.
확산과 변장술의 대가, 웜
나중에 웜들은 두 개의 범주로 나눠졌다. 일부 웜들은 흥미로운 e-메일 첨부파일로 변장한다. 그런 첨부 파일이 열리면 웜이 실행돼 폭탄 메일로 자체 확산된다. 그 다음 이 프로그램들은 시스템을 감염시키고 컴퓨터의 주소록에 올라있는 모든 사람들에게 e-메일로 자가 발송될 수 있다.
크리스마스 트리 바이러스는 1987년 12월 IBM 전용의 인터넷 선구자격이었던 BITNET를 통해 확산되면서 전세계 네트워크에 출현했던 첫 번째 웜이었을 것이다. 멜리사, 러브레터, 안나쿠르니코바와 같은 오늘날의 많은 웜들은 크리스마스 트리 바이러스를 모방하고 있다.
다른 웜들은 자가 확산을 위해 인위적인 상호작용을 필요로 하지 않으면서 보안상에 특정한 결함을 갖고 있는 컴퓨터들을 감염시키고 새로운 호스트를 이용해 똑같은 결함을 갖고 있는 다른 컴퓨터들을 탐색한다.
이런 웜들은 코넬 인터넷 웜(Cornell Internet Worm)을 모델로 삼은 것들이다. 코넬 인터넷 웜은 1988년 11월 초창기 인터넷에 접속된 서버들의 약 5%에 해당하는 3000~4000대의 서버에 과부하를 주었다. 유닉스 시스템 상의 결함을 이용한 이 웜은 로버트 T. 모리스라는 코넬대 대학원생에 의해 제작 발표됐다.
두 종류의 최신 웜인 W95/Bymer와 리눅스 라멘(Linux Ramen) 웜은 사람의 개입 없이 다른 컴퓨터들로 확산될 수 있다. 또한 웜들은 매번 구체화되면서 점점 교묘해지고 있다.
하이브리스는 암호화된 플러그인을 사용해 자체 업데이트하고 감염된 컴퓨터의 네트워크 접속을 모니터링해 자가 발송처가 될 e-메일 주소를 찾는다. 리눅스 라멘 웜은 몇 가지 해킹 툴로 구성돼있는데 서버 상의 결함을 이용함으로써 코넬 인터넷 웜과 매우 흡사한 방식으로 확산된다.
W95/Bymer는 윈도우 컴퓨터상의 무방비 공유 드라이브를 찾아내 웜을 확산한다. 일단 이것이 컴퓨터를 감염시키면, 디스트리뷰티드닷넷(Distributed.net)이 주관하는 암호 코드 해독 콘테스트에 참여하기 위해 분산된 컴퓨팅 클라이언트를 작동시킨다. 두 번째 변종이 별개의 사용자로서 콘테스트에 참여하면, 이 두 웜들은 컴퓨터 시스템을 놓고 싸움을 벌인다.
툴킷 제작자들이 최신의 웜 생성기 애플리케이션에 이런 수법을 포함시킴에 따라 이런 수법은 앞으로 기본 메뉴가 될 것이다. 프로그램을 제작한 [K]alamar는 VBS 웜 생성기를 만든 18세의 아르헨티나 프로그래머로서 다른 사람들이 자신의 툴킷으로 배우기를 바라고 있다.
그는 최근의 e-메일을 통해 "내가 이 툴을 만든 이유는 내가 그런 툴로 코드 작성법을 배웠기 때문"이라며 "...다른 사람들도 나처럼 배우기를 바란다"고 밝혔다.
[K]alamar는 안나쿠르니코바 웜의 확산에도 불구하고 자신의 사이트에서 이 툴을 제거하기를 거부했으며 그 이후 이 프로그램의 두 번째 버전을 발표했다. 이전에는 다른 바이러스 제작자가 이 코드의 제작자라고 주장했었다. 이 사람도 Kalamar라는 이름을 사용하고 자신의 사이트에 해당 툴을 올려놨다.
[K]alamar가 만든 것 같은 툴킷들은 VX 지하조직 내에서는 오래된 전통이다. 그 결과 최신 웜들을 만드는 기법들은 제작자들 사이에서 빠르게 퍼지고 있다.
웜이 빠르게 확산되는 또 다른 요인으로는 많은 웜들이 몇 가지 스크립팅 언어 중 하나로 제작된다는 사실이다. 이런 언어들은 약간의 지식을 가진 바이러스 제작자들에 의해서도 해독될 수 있으며 중대한 바이러스가 발생된 지 단 몇 시간만에 변종들로 바뀔 수 있다. 예컨대 바이러스 제작자들은 2000년 5월에 발생한 러브레터 웜에 달라붙어 지금까지 40종 이상의 변종들을 만들어냈다.
웜 공격 막는 묘수는 무엇?
기업들과 바이러스 백신 소프트웨어 제작업체들은 향후의 웜 공격을 피할 수 있는 해답을 모색하고 있다.
기업들은 일반적으로 인터넷 접속점인 게이트웨이에서 e-메일 첨부 파일을 여과할 것이다. 이런 방어 방법의 공통점은 바이러스가 확산되는 속도보다 더 빠른 새로운 바이러스 탐지를 전개시킴으로써 자신만의 수법으로 웜들을 퇴치하려고 애쓰는 것이다. 하지만 새로운 바이러스가 필터링 소프트웨어에서 지정한 웜의 타입과 맞지 않을 경우, 탐지기는 그 첨부 파일을 악의적인 코드임을 경고하지 않을 것이다.
과거에 그런 프로그램을 만들려면 어느 정도의 기술적 지식과 바이러스 제작 경력을 가진 조언자를 필요로 했는데, 오늘날은 그들을 대신해 웜을 만들 수 있는 애플리케이션들을 인터넷에서 다운받을 수 있다. 안나쿠르니코바 바이러스를 생성한 프로그램인 VBS 웜 생성기는 인기 사이트인 VX 헤븐즈(VX Heavens)에서 무려 1만 5000회 이상 다운로드 됐다고 이 사이트의 관리자가 밝혔다.
이 문제를 다루고자, 시만텍과 IBM은 이른바 ''디지털 면역 시스템''이라는 것을 만들기 위해 협력해왔다. 양측 기업은 최초의 신종 감염에 대응하고 새로운 스캐닝 정의와 소프트웨어를 모든 고객들에게 제공함으로써 웜 공격이 절정에 달하기 전에 컴퓨터들을 보호할 수 있기를 희망하고 있다.
훨씬 초기 단계에 웜을 잡으려고 하는 다른 노력들은 컴퓨터 바이러스의 악의적인 활동을 봉쇄하는 방법을 모색하고 있다. 하지만 이런 노력들은 아직 갈 길이 멀다.
안나쿠르니코바 바이러스는 비주얼 베이직 스크립트로 작성된 웜으로, 러브레터나 그보다 덜 유명한 최신 웜들과 매우 유사함에도 불구하고 세계로 확산되고 있다. 어떤 바이러스 백신 연구자는 익명을 요구하면서, 일부 바이러스 백신 제조업체, 특히 시만텍이 VBS 웜 생성기를 제작하는 것을 바로 탐지하지 못했기 때문에 이 웜이 그토록 효과를 볼 수 있었다고 주장했다.
웜들이 그토록 쉽게 퍼질 수 있다는 사실은 인터넷을 사용하는 모든 사람들을 편집증 환자로 만들 것이라고 화이트햇츠의 맥스 비젼이 밝혔다.
그는 "대부분의 웜들은 유순하지만, 이런 웜들은 심각한 취약점들을 확실히 보여주고 있다"면서, "많은 웜들이 네트워크를 통해 끊임없이 확산된다"고 지적했다.
시만텍의 연구부장인 캐리 나첸버그는 그것만이 유일한 걱정거리는 아니라고 말했다. 그토록 많은 웜들이 인터넷에 퍼져있기 때문에 이런 웜들이 상호작용할 가능성도 증가해왔다.
그는 "웜들이 상호작용을 하는 식의 복잡한 시스템들은 새로운 고유 작용을 만들어낼 수 있다"고 밝혔다. "많은 웜들이 대역폭을 소모하기 때문에 이미 효과적인 DoS 공격을 야기한 바 있다."
그 다음은 무엇인가? 나첸버그는 잘은 모르지만 좋지 않을 일이 생길 것이라고 말했다.
"분명 나를 놀라게 만드는 그런 일일 것이다."
