'윈도 2000 공유 폴더 통한 악성 프로그램 성행'...하우리

MS 2000 계열의 관리목적 공유 기능( IPC$ )을 이용한 트로이목마와 웜이 계속해서 발견되고 있어 사용자들의 주의가 요망된다.

MS 윈도우나 아웃룩 프로그램 등의 보안 취약점을 이용한 웜이 대부분이었다. 그러나 최근들어 관리목적의 공유기능을 이용한 악성 프로그램이 성행하고 있다는 것.

하우리(대표 권석철 www.hauri.co.kr)는 4일 윈도 2000계열(NT, XP포함)의 IPC$ 공유(관리 목적의 공유)를 통해 확산되는 악성 프로그램이 국내외에서 계속해서 발견되고 있다고 발표했다. 이어 사용자들에게 자신의 PC 등록 계정과 패스워드를 본인만 알 수 있는 조합으로 재설정할 것을 권고했다.

또 이 악성 프로그램들은 트패픽을 유발시키고 메모리 리소스를 100%까지 잡아먹기도 하므로, 윈도우 2000 서버로 운영되는 시스템에 무리를 줄 위험이 있다고 밝혔다.

권석철 사장은 “윈도2000 계열의 IPC$ 공유 기능을 이용하는 경우가 최근 기승을 부려 지난 이틀 사이에 17개의 트로이목마 및 웜에 대한 엔진을 업데이트했다” 며 “윈도 2000 계열 사용자들은 이러한 트로이 목마나 웜으로부터 무방비 상태나 다름없으니, 백신을 사용하기 이전에 자신의 계정과 패스워드를 재정비 할 것을 당부한다”고 말했다.

◆ 어떤 악성 프로그램이 나왔나

지난해11월에 처음 발견된 Trojan.Win32.Mircpack.597504를 시작으로, Backdoor.Win32.SdBot.13344 , I-Worm.Win32.Lovgate.78848, Trojan.Win32.Slacke.28672.B 등 해킹 툴로 이용되는 웜과 트로이목마들은 현재까지 변종만 수십 여 개가 발견됐다.

이러한 악성 프로그램은 이메일과 일반적인 '읽기/쓰기' 공유 폴더로 감염되는 방법 이외에 관리 목적의 IPC$ 공유를 통해 확산되는 것이 가장 큰 특징이다.

IPC$ 공유기능은 관리를 위해 PC를 원격 컨트롤 할 수 있도록 한 기능으로 윈도 2000계열(NT, XP포함)이 설치시 자동으로 설정된다.

IPC$ 공유기능을 통해 감염시키는 방법은 PC의 등록 계정과 임의로 대입해 보고, 내용이 맞아 로그인 되면 원격 실행 도구를 이용해 악성코드를 실행시킨다.

따라서 누구나 알아낼 수 있는 쉬운 시스템 계정(예: Admin, Administrator, guest)과 패스워드(예: 111111, abc, 123456)를 사용중이라면, 단순하고 쉬운 내용보다는 자신만이 알고 있는 특별한 숫자나 문자의 조합으로 바꿔 등록하는 것이 가장 안전하다.

가장 최근 발견된 Trojan.Win32.Slacke (슬랙) 시리즈는 특히 국내 기업에서도 감염 피해가 일어나, 어려움을 호소하는 신고가 하우리로 접수됐다.

현재까지 4개의 변종이 발견된 이 웜은 앞으로도 비슷한 내용의 변종이 계속해서 발견될 것으로 보인다.

또한 이 트로이목마는 네트워크상에서 관리목적으로 공유된 시스템을 찾기 위해 랜덤하게 IP주소를 찾아보는데다, 자신이 가지고 있는 리스트의 계정과 패스워드를 일일이 대입해보는 과정을 거치므로 리소스를 100% 소모하는 등 네트워크 트래픽을 과도하게 일으키는 특징이 있다.

윈도2000 계열이 특히 서버용으로 구동되고 있다는 점으로 미루어 볼 때, 과도한 트래픽을 감당하지 못해 서버가 제 기능을 하지 못할 염려도 매우 큰 것으로 나타났다.

(02)828-0795