ASEC Report 8 월 ASEC Report 2005. 09 I. 8월 AhnLab 악성코드동향 3 (1) 악성코드피해동향 3 (1) 8월국내신종 ( 변형 ) 악성코드발견동향 8 II. 8월 AhnLab 스파이웨어동향 14 III. 8월시큐리티동향 16 IV. 8월세계동향 18 (1) 일본악성코드동향 18 (2) 중국악성코드동향 22 (3) 세계악성코드동향 26 V. 이달의 ASEC 컬럼 온라인게임해킹프로그램과보안 28 안철수연구소의시큐리티대응센터 (AhnLab Security E-response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과고객에게보다다양한정보를제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
SUMMARY 8월에는지난 7월에비하여악성코드피해건수가소폭증가하였다. 특징적인피해동향은 MS05-039 취약점을이용하는 Win32/Zotob.worm과게임정보유출시도용 Trojan인 Win- Trojan/Xema에의한피해건수가 10위안에들어온것이다. 8월피해신고된악성코드의감염유형별현황을살펴보면네트워크취약점을이용한것과메일을이용한것의비율이 5:5의비율인것을확인할수있다. 8월신종 ( 변형 ) 발견수치도 7월의일시적인하락이후에다시증가추세로전환되었으며피해신고와마찬가지로트로이목마의발견이강세를보이고있어, 전체발견된신종 ( 변형 ) 중 53% 를트로이목마가차지하고있다. 8월세계악성코드동향중일본의경우는넷스카이웜과같은메일로전파되는웜이확산되고있는것으로분석되었다. 그러나이와반대로중국의경우에는원격제어나키로킹이가능한트로이목마류의큰폭으로증가하고있는것으로분석되었다. 이러한극동아시아의악성코드분포는메스메일러와트로이목마로양극을이루고있는반면유럽지역에는일본과유사한메스메일러가대부분을이루고있으나베이글과마이둠변형들은큰폭으로감소하고넷스카이웜과마이톱변형들이대부분을차지하고있다. 8월스파이웨어동향은 7월과마찬가지로애드웨어 (Adware) 의발견비율이전체의 46% 로가장높으며, 7월에비해서다운로더 (Downloader) 의발견비율이감소한반면스파이웨어 (Spyware) 의발견비율이증가한것을볼수있다. 또한사용자권리를침해하는 스파이웨어 에대한구체적인기준안과법률적인처벌근거가마련됨으로써스파이웨어제작과유포에대한행위가상당수줄어들것으로기대된다. 또한그동안끊이지않았던백신, 안티스파이웨어프로그램제작업체와애드웨어, 스파이웨어제작업체와의분쟁도이번스파이웨어기준안발표로줄어들것으로예상된다 8월에는 4건의윈도우패치가발표되었으며, MS05-039 취약점을이용한악성코드가취약점발표후 4-5일이내에출현하는것으로보아 zero-day 공격이현실로다가오고있음을알수있다. 또한 8월 15일광복절을기념하여중국의홍커들이일본을대대적으로공격할것이라고예상되었으나, 실제로는미미한수준이었다. 이달의 ASEC 컬럼에서는온라인게임에서의해킹프로그램에대한내용으로최근문제가되고있는온라인게임의사용자계정을탈취하는종류의악성코드에관한글이아니라게임해킹프로그램은유틸리티를사용하여비정상적인플레이를하도록하는프로그램들에대하여살펴보았다. Copyright AhnLab Inc,. All Rights Reserved. 2
I. 8 월 AhnLab 악성코드동향 (1) 악성코드피해동향 작성자 : 조성준주임연구원 (sjcho@ahnlab.com) 바이러스명 건수 % Win32/Netsky.worm.29568 160 10.2% Win32/Maslan.C 135 8.6% Win-Trojan/Hanghack.44032 68 4.3% Win-Trojan/Xema.31744.B 49 3.1% Win32/Sasser.worm.15872 38 2.4% Win32/Tenga.3666 38 2.4% Win32/Zotob.worm.31744 38 2.4% Win32/Mytob.worm.59006 36 2.3% Win32/Netsky.worm.18944.B 33 2.1% Win32/LovGate.worm.152576 29 1.9% 기타 940 60.1% 합 1,564 100 [ 표1] 2005년 8월악성코드피해 Top 10 8월악성코드피해동향 2005년 8월악성코드피해건수는 2005년 7월 (1,497건) 에비해소폭늘어난 1,564건이다. 소폭증가의원인은 Top 10의악성코드의피해건수는약간줄어들고, 기타변종악성코드의증가로인한것으로보여진다. 8월피해동향의특징으로 10위권내에악성코드인 Win32/Zotob.worm의등장과 Win- Trojan/Xema의진입이다. Win32/Zotob.worm은 MS NT계열 OS의플러그앤플레이의취약점 (MS05-039) 이공개됨에따라해당취약점을이용한악성코드이며, IRCBot과 Mytob의특징을가지고있다. 해당웜이발생시키는취약점공격패킷으로인해패치가되지않은한글윈도우 NT 계열시스템은 Services.exe 오류가발생하며시스템리부팅증상이발생하는특징을갖고있다. Win-Trojan/Xema는 Win-Trojan/LineageHack과유사한게임정보유출시도용 Trojan이며웹사이트를해킹하여악성코드를사이트에심어놓고, 해킹된웹사이트는악성코드를유포하는숙주역할을하게된다. 해킹당한웹사이트에접속한시스템은인터넷익스플로러의취약점 (MS04-013, MS05-001) 을통하여악성코드가설치되고, 만약해킹당한사이트가인지도높은사이트일경우확산력도함께높아지는특징을갖는다. Copyright AhnLab Inc,. All Rights Reserved. 3
8 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1] 과같다. 61% 악성코드 Top 10 11% 9% 4% 3% 2% 2% 2% 2% 2% 2% Win32/Netsky.w orm.29568 Win32/M aslan.c Win-Trojan/Hanghack.44032 Win-Trojan/Xema.31744.B Win32/Sasser.w orm.15872 Win32/Tenga.3666 Win32/Zotob.w orm.31744 Win32/M ytob.worm.59006 Win32/Netsky.w orm.18944.b Win32/LovGate.w orm.152576 기타 [ 그림 1] 2005 년 8 월악성코드피해 Top 10 8월도 7월과유사하게 10위권내의트로이목마가두자리를차지하였고, 기타악성코드의비율이대폭늘어났고 8월달 Trojan.GameHack류의변종의수가 40여개넘게등장한것이하나의예이다. 8월악성코드 Top 10 전파방법별현황 [ 표1] 의 Top 10 악성코드들은주로어떠한감염경로를가지고있는지 [ 그림2] 에서확인할수있다. 전파방법 메일 취약점 50% 50% [ 그림 2] 악성코드 Top 10 의전파방법별현황 Copyright AhnLab Inc,. All Rights Reserved. 4
[ 그림2] 에서와같이피해순위 Top 10에랭크된악성코드의 50% 가메일을이용하여전파되고있다. 지난 7월에비해메일은 10% 가감소하고네트워크와운영체제취약점을이용한전파가 10% 가증가하였다. 8월에는 MS NT계열 OS의플러그앤플레이의취약점 (MS05-039) 이공개된부분도취약점이용증가율에영향을주었다. 이에대해시스템의취약점을주기적으로살피고관련취약점에대한보안패치를적용해야한다. 웜 ( 취약점 ) 8% 웜전파방법별현황 웜 ( 공유 ) 0% 웜 (Mail) 65% 웜 (IRC) 27% 웜 (IRC) 웜 (Mail) 웜 ( 취약점 ) 웜 ( 공유 ) [ 그림 3] 8 월에피해신고된웜의전파방법별현황 [ 그림3] 은 8월에피해신고된웜의전파방법에대한현황으로, 이메일 (Mail) 과인터넷채팅 (IRC) 이 92% 차지하는것으로집계되었다. 이는지난 7월달보다 2% 가감소한수치이고, 취약점을이용한전파가 2% 가증가하였다. 취약점으로전파되는웜에대해서사전에방지하기위해서는읽기 / 쓰기공유폴더사용을자제하고최신보안패치와함께관리계정의비밀번호를영문, 숫자, 특수문자의조합하여웜의침입을막는노력이필요하다. 월별피해신고악성코드건수현황 8월에피해신고된악성코드는 499개이다. 트로이목마의피해로인해증가한것으로보인다. 특히기타악성코드부문에서리니지핵변종등트로이목마수치가늘어났다. Copyright AhnLab Inc,. All Rights Reserved. 5
2005 년 8 월단위악성코드건수 600 500 400 523 506 490 462 468 557 447 499 악성코드수 300 200 100 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 [ 그림 4] 2005 년월별피해신고악성코드수 주요악성코드현황악성코드유형별현황은 [ 그림5] 와같다. 2005 년 8 월악성코드유형별현황 유해가능프로그램 1% 바이러스 (PE) 15% 다운로더 0% 도스 ( 부트포함 ) 0% 매크로 0% 스크립트 1% 드롭퍼 4% 웜 47% 웜트로이목마드롭퍼스크립트유해가능프로그램바이러스 (PE) 도스 ( 부트포함 ) 매크로다운로더 트로이목마 32% [ 그림 5] 악성코드유형별현황 8월에는 7월에비해웜이 5% 가량증가한반면, 비율상으로트로이목마는 7% 가량줄어들었다. 트로이목마변종수는늘어났지만, 전체피해비율은줄어들었다. 이는보안패치 Copyright AhnLab Inc,. All Rights Reserved. 6
설치및백신의최신엔진업데이트등일반사용자보안의식발전결과로보여진다. 바이러스비율이꾸준히증가하여지난 7월에비해현재 7% 증가하였다. 이는바이러스이지만공유폴더및 Netbios를이용한유포기능을갖고있는 Win32/Tenga.3666, Win32/Parite 의피해신고증가가원인이다. 8월은 Win32/Zotob.worm과 Win-Trojan/Xema 의 Top 10위권진입에서도알수있듯이취약점을이용하는악성코드의증가와함께새로운취약점이용과웹사이트해킹등보안의식의중요성이더욱부각되었다고볼수있다. 예방을위해서는우선전산관리자들은주기적으로웹서버등중요시스템의보안취약점을사전에체크하고, 최신패치프로그램을설치하는것이중요하며, 일반사용자들은이런종류의피해를막기위해서최신보안패치와함께최신버전의백신프로그램으로실시간감시기능을사용하는습관이필요하다. Copyright AhnLab Inc,. All Rights Reserved. 7
(1) 8 월국내신종 ( 변형 ) 악성코드발견동향 * 작성자 : 정진성주임연구원 (jsjung@ahnlab.com) 8 월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표 1], [ 그림 2] 와같다. 웜트로이드롭퍼스크립트파일매크로부트부트 / 파일유해가능비윈도우합계 70 123 29 2 1 1 0 0 10 0 236 [ 표 1] 2005 년 8 월유형별신종 ( 변형 ) 악성코드발견현황 8월은 7월과비교하여약간의증가를보였는데원인으로는트로이목마와 IRCBot 웜 이증가하였다. IRCBot 봇 은특이할만하게증가한수치는아니나트로이목마는지난달과비교하여무려 23건이나증가하였다. 다음은 8월까지최근 4개월간의국내고객으로부터접수된트로이목마의샘플수를조사해보았다. 트로이목마의증가는올해 5월부터시작되었다. 그전까지는 IRCBot 웜 에기인하여, 웜이가장많은샘플접수건수를보였다. 160 140 120 100 80 60 40 20 0 2005년 5월 ~ 8월신종및변형트로이목마건수 142 132 123 102 샘플수 5월 6월 7월 8월 [ 그림 1] 최근 4 개월간트로이목마발견건수 트로이목마의증가는여러가지원인이있겠지만, 국내웹사이트해킹후국내온라인게임관련트로이목마의설치가가장큰원인이라고분석된다. 트로이목마의증가추세는비단국내에만보여지는이상현상이아니다. 전통적으로트로이목마는다른악성코드보다수치면에서월등한발견건수를보였다. 즉, 웜은발견건수자 Copyright AhnLab Inc,. All Rights Reserved. 8
체는다른악성코드보다는많지만트로이목마와비교하였을때, 발견건수보다는적고동시다발적으로감염및피해가큰반면에, 트로이목마는발견건수가다른악성코드에비하여다수발견되지만, 웜보다는국지적으로발견되고, 그피해범위도한정되어지는것이일반적이다. 이번달에트로이목마의증가원인을살펴보면다음과같다. - Win-Trojan/Bagle 변형증가 - Win-Trojan/GrayBird 및변형의증가 (Win-Trojan/Hupigon) - Win-Trojan/LineageHack 및 Win-Trojan/KorGameHack 등의게임계정탈취증상을보이는트로이목마증가 - 그외 Win-Trojan/Downloader 증가 특히 Win-Trojan/GrayBird ( 이하그레이버드트로이목마 ) 변형과이소스를변형하여제작된 Win-Trojan/Hupigon ( 이하휘피곤트로이목마 ) 가특정고객부터다수접수되었는데모두중국산트로이목마이다. 이트로이목마는스스로확산하는코드를가지고있지않아시스템에누군가불법적인접근을한뒤설치가되었을것으로추정하고있다. 국내온라인게임의계정을탈취하는트로이목마류는지난 4월부터끊임없이변형이발견, 보고되고있으며이번달에도다수가보고되었다. [ 그림2] 은 8월신종 ( 변형 ) 악성코드의비율을나타낸것이다. 트로이목마가전체의반이상의비율을차지하고있다. 0% 0% 1% 12% 53% 2005 년 8 월신종 ( 변형 ) 악성코드현황 0% 0% 4% 30% 웜트로이드롭퍼스크립트파일매크로부트부트 / 파일유해가능 [ 그림 2]2005 년 8 월신종 ( 변형 ) 악성코드비율 Copyright AhnLab Inc,. All Rights Reserved. 9
다음은국내고객으로부터접수된신종및변형의악성코드의건수를나타내고있다. 샘플은국내고객이외에다양한곳에서도접수를받고있다. 실제로매월엔진에추가되는악성코드의수는이보다훨씬더많은수가들어간다. 2005 년월별신종 ( 변형 ) 악성코드건수 350 300 301 293 250 200 259 208 233 245 230 236 150 100 50 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 [ 그림 3]2005 년월별신종 ( 변형 ) 악성코드발견현황 8 월주요신종 ( 변형 ) 악성코드정리 이번달에최고의이슈는당연히 MS05-039 취약점과공격코드 (Exploit code) 공개그리고이를사용한악성코드의대거등장 일것이다. * MS05-039 취약점 ( 영문 ) 정보 http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx * MS05-039 취약점 ( 한글 ) 정보 http://www.microsoft.com/korea/technet/security/bulletin/ms05-039.mspx 일명 PnP 취약점으로도알려진이것은윈도우 2000 환경에서는기존의 Win32/Sasser.worm 또는 Win32/Blaster.worm 이이용했던취약점만큼이나매우심각한형태이다. 다행이라면이취약점을이용한공격코드가모든언어의윈도우 2000 에서동작하는형태가아니라는점과많은사용자들이이취약점으로부터비교적안전한윈도우 XP 환경이라는점이었다. Copyright AhnLab Inc,. All Rights Reserved. 10
공격코드가공개된후이를사용한악성코드가쏟아져나왔다. 특히그동안오래된취약점만이용해왔던악성 IRCBot 웜이이취약점을이용한변형이발견되었으며이메일과취약점을결합한형태도등장하였다. 이슈가되었던이번달의악성코드는다음과같다. 윈도우 Vista 에포함될예정인 MSH 관련악성코드 베타가발표된윈도우 XP 차기운영체제인윈도우 Vista ( 코드명롱혼 ) 에는강력한쉘기능을가진환경과이에동작하는스크립트인 MSH (Microsoft Command Shell) 가포함되었다. 이환경에서의악성코드제작이가능할것이라는것은일년전쯤안티바이러스컨퍼런스에서도소개된바있다. 윈도우 Vista 의 MSH 환경에서동작하는첫악성코드라는타이틀을거머쥔이악성스크립트는다행히도 MS가서버버전의 Vista에만쉘기능을지원하기로하여일반사용자에게큰피해는주지못할것으로도보인다. Win-Trojan/GrayBird 변형 (Win-Trojan/Hupigon) 중국산트로이목마인 Win-Trojan/GrayBird ( 이하그레이버드트로이목마 ) 는구종의트로이목마이지만, 그변형이계속만들어져배포되고있다. 중국에특정사이트를가지고있으며제작자는새로운변형을만들어업로드하고있다. 환경설정파일등을통하여이를다운로드받는다른악의적인목적을가진사용자는자신만의변형을만들고이를실행압축하여사용하고있다. 트로이목마는기본적인백도어기능을가지고있으며자신을은폐하거나안티바이러스의진단을방해하기도한다. Win32/Zotob.worm MS05-039 취약점을이용한가장잘알려진 Win32/Zotob.worm ( 이하조톱웜 ) 은취약점발표이후얼마되지않은시간에발견된악성코드이다. 비슷한변형이나와서일부에서는진단명결정에혼란을주기도하였다. 초기에발견된형태는이미알려진 Win32/Mytob.worm ( 이하마이톱웜 ) 과매우유사하였기때문이다. 변형여부에따라이메일전파증상이포함된형태도있다. 악성코드형태로는해당취약점을이용했다는것을빼고는그리특이할만한것이없으며이악성코드제작자는체포된것으로알려졌다. Win32/Kelvir.worm.29226 메신저로전파되는 Win32/Kelvir.worm.29226 ( 이하캘비르웜 ) 역시이전에발견된캘비르웜의변형중에하나이다. 이웜은매스컴에도소개되었는데그이유는메신저로자신을다 Copyright AhnLab Inc,. All Rights Reserved. 11
운로드하라는메시지를몇개국의언어로보내기때문이다. 일부매스컴은조금과장된표현을사용하기도하였는데이것은웜내부에숨겨진문자열이감염된시스템의윈도우언어를인지하고보내기때문에가능한것이다. 이외에는기존캘비르웜과다를게없다. Dropper/MultiDrop.54808 국내에서제작된것으로확인된 Dropper/MultiDrop.54808 ( 이하멀티드롭 ) 은유명한게임인 StarCraft 의맵핵을 Drop 하여사용자를속이고내부적으로스크립트제작툴킷으로제작된트로이목마를실행하여하드드라이브의로컬드라이브를삭제하도록되어있다. 스크립트내부에는국내유명개인홈페이지링크가 backward로포함되어있고특정인을비방하는메시지를담고있었다. 다음은 8월에발견된신종및변형악성코드들을유형별로분류한것이다. 지난달에이어서파일및매크로관련악성코드가이번달에도발견되었다. X97M/Acute 라고명명된엑셀매크로바이러스로인도네시아에서제작된것으로추정되는문자열과 SARS 관련메시지를담고있었다. 올해경우작년보다신종또는변형의매크로바이러스가종종보고되고있는데, 주로국외에서는워드매크로바이러스가, 국내에서는엑셀매크로바이러스가보고되고있다. 국외에비하며극히낮은발견건수이지만주로기업사용자들로부터보고되며피해를주고있어당분간주의가필요하다. 8 월신종 ( 변형 ) 악성코드유형 4% 2% 1% 1% 0% 0% 12% 53% 트로이목마웜 (IRC) 드롭퍼유해가능프로그램웜 (Mail) 스크립트웜 (MSN) 파일매크로 27% [ 그림 4] 8 월신종 ( 변형 ) 악성코드유형별현황 Copyright AhnLab Inc,. All Rights Reserved. 12
윈도우실행파일을감염시키는파일바이러스경우는 Win32/Hidrag.B 가발견되었다. 역시구종의윈도우파일바이러스이며 8월에발견된형태는약간수정된변형이었으나, 바이러스의감염기법이나증상은원형과다르지않았다. 올해중반기부터악성 IRCBot 웜에치우쳐있던악성코드의유형이 2~3 년전과같이트로이목마가강세를보이고다양한형태의악성코드가보고되고있어과거의악성코드의 Trend 가다시돌아오고있는것은아닌지추정해본다. Copyright AhnLab Inc,. All Rights Reserved. 13
II. 8 월 AhnLab 스파이웨어동향 작성자 : 김정석주임연구원 (js_kim@ahnlab.com) 8 월한달동안접수된신종 ( 변형 ) 유해가능프로그램건수는 [ 표 1], [ 그림 1] 과같다. 애드웨어스파이웨어다운로더다이얼러드롭퍼클리커기타합계 189 110 62 24 11 9 5 410 [ 표 1] 2005 년 8 월유형별신종 ( 변형 ) 유해가능프로그램발견현황 2005 년 8 월유해가능프로그램현황 27% 1% 46% 애드웨어클리커다이얼러다운로더드랍퍼스파이웨어기타 3% 15% 6% 2% [ 그림 1] 2005 년 8 월발견된유해가능프로그램비율 2005년 7월과마찬가지로애드웨어 (Adware) 의발견비율이전체의 46% 로가장높으며, 7월에비해서다운로더 (Downloader) 의발견비율이감소한반면스파이웨어 (Spyware) 의발견비율이증가한것을볼수있다. 8월발견된전체애드웨어 189개중툴바 (Toolbar) 형태의애드웨어가 39개로전체의약 21% 를차지하고있다. 특히사용자동의없이설치되어 IE 설정을변경하고다수의광고를노출하는엘리트툴바 (Win-Adware/ToolBar.EliteBar) 에대한감염신고가꾸준히접수되고있 Copyright AhnLab Inc,. All Rights Reserved. 14
으며변형또한지속적으로배포되고있는것으로보인다. 사용자동의없이바탕화면이나 IE 설정을변경하고스파이웨어에감염되었다는허위경고메세지를노출하여피에스가드 (Win-Adware/Rogue.PSGuard) 같은가짜안티스파이웨어프로그램의설치를유도하는스파이웨어애드클리커 (Win-Clicker/Spywad) 의신종 ( 변형 ) 프로그램의피해사례도꾸준히보고되고있다. 2005년 8월 30일정보통신부에서스파이웨어기준안을발표하였다. 이번스파이웨어기준안은프로그램동작의측면에서다음과같은 7가지행위를하는프로그램에대해스파이웨어로규정하고있다. 스파이웨어 는정보통신망이용촉진및정보보호등에관한법률제48조제2항의규정에의한악성프로그램 1 의일종임 이용자의동의없이또는이용자를속여설치되어다음각호의 1에해당하는행위를수행하는프로그램은 스파이웨어 에해당됨 1) 웹브라우저의홈페이지설정이나검색설정을변경또는시스템설정을변경하는행위 2) 정상프로그램의운영을방해 중지또는삭제하는행위 3) 정상프로그램의설치를방해하는행위 4) 다른프로그램을다운로드하여설치하게하는행위 5) 운영체계또는타프로그램의보안설정을제거하거나낮게변경하는행위 6) 이용자가프로그램을제거하거나종료시켜도당해프로그램 ( 당해프로그램의변종프로그램도포함 ) 이제거되거나종료되지않는행위 7) 컴퓨터키보드입력내용이나화면표시내용을수집 / 전송하는행위 이번정보통신부의스파이웨어기준안발표로스파이웨어를전달또는유포하는사람은정보통신망법에의거해 5년이하의징역또는 5천만원이하의벌금형에처해질수있다. 사용자권리를침해하는 스파이웨어 에대한구체적인기준안과법률적인처벌근거가마련됨으로써스파이웨어제작과유포에대한행위가상당수줄어들것으로기대된다. 또한그동안끊이지않았던백신, 안티스파이웨어프로그램제작업체와애드웨어, 스파이웨어제작업체와의분쟁도이번스파이웨어기준안발표로줄어들것으로예상된다. 1 악성프로그램 : 정당한사유없이정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조또는그 운용을방해할수있는프로그램 Copyright AhnLab Inc,. All Rights Reserved. 15
III. 8 월시큐리티동향 작성자 : ASEC 분석 2 팀 / 정관진주임연구원 어느덧뜨거웠던여름은지나가고가을의햇살이성큼다가왔다. 가을의햇살만큼이나이번달의가장뜨거운이슈는단연마이크로소프트사에서발표한 8월의취약점중 MS05-039 인 PnP(Plug and Play) 서비스취약점일것이다. 해당취약점이공개된이후 ASEC(AhnLab Security E-response Center) 에서는웜으로의출현을예상하였고예상대로공격코드가나타나고웜의출현으로까지이어졌다. 이와같이취약점이공개되면이를이용한악성코드가나오기까지의주기가점점짧아지고있는만큼더욱많은주의가필요하다. 이외에 8월15일광복절과관련하여중국의사이버공격등이화두에오르내렸다. > 8월의주요취약점현황위험등급 취약점 공격코드유 / 무 MID Msdds.dll 라이브러리에존재하는원격코드실행취약점 유 MID Microsoft Windows RDP(Remote Desktop Protocol) 서비스거부공격 (MS05-041) 유 HIGH 인터넷익스플로러의 COM Objects 관련취약점 (MS05-038) 유 HIGH Microsoft PnP(Plug and Play) 버퍼오버플로우취약점 (MS05-039) 유 * 취약점현황은 ASEC 의보안전문가들에의해공격코드유 / 무, 악성코드활용가능성, 취약점의위험도등다양한관점에서판단하여선별된것으로, 사용자들의주의가필요한것임을나타낸다. 공격코드의존재유무는이리포트를작성하는시점에서인터넷상에서접할수있는기준으로작성되었다. 공격코드공개그리고예측된웜의출현 현재의악성코드트랜드는취약점이용비중이과거보다높아졌다는점이다. 이에따라사용비중이높은마이크로소프트사 ( 이하 MS) 의제품이공격대상이되고있는데, MS 에서는매월두번째화요일에보안취약점패치를발표하고있다. 8월또한마찬가지로두번째주화요일인 9일에총 6개의패치를발표하였다. 이중 PnP(Plug and Play) 서비스는원격지에서임의의명령어를실행할수있는취약점을갖고있는데, 다른것보다도악성코드에서이용될가능성이높게점쳐졌다. 그러한이유로는우선, 이전에큰이슈가되었던 LSASS의 RPC 취약점과같이기본적으로동작하는서비스이기때문에영향을받는운영체제를사용하고있다면공격의대상에포함된다는점이다. 사용자의개입이없이도공격의대상이되고시스템대상범위가넓기때문에취약점을이용한악성코드가나오기좋은조건을갖추고있다. 무엇보다악성코드가이용하기까지의과정에가장중요한역할을담당하는것이공격코드의공개다. 다음은 MS05-039 가처음공개되는시점부터악성코드가나오기까지의시간을정리 Copyright AhnLab Inc,. All Rights Reserved. 16
한것이다. 2005/08/09 MS05-039 MS 에서보안취약점권고문공개 2005/08/11 MS05-039 첫번째, 두번째공격코드발견 ( 사용빈도낮은공격코드 ) 2005/08/12 MS05-039 세번째공격코드발견 ( 악성코드에서이용한코드 ) 2005/08/14 Zotob.A 웜발견 (14일밤 ) 2005/08/14 Zotob.B 2005/08/15 Zotob.C - Mass Mailer 기능포함 9일날 MS 에서권고문을발표하고 3일만에웜에서이용한공격코드가공개되었다. 이후공격코드가공개된지 2일만에 Zotob 라불리는악성코드가등장한것이다. 취약점이공개된후이를이용한공격코드가나오기까지의시간이더욱짧아지고있다는개념의제로데이 (0- day) 에더욱다가가고있고이러한비중은앞으로도더욱높아질것이다. 이번에이용된공격코드는과거블래스터웜에서이용한공격코드제작자가공개한코드로코드와취약점을본다면악성코드가이용할가능성이상당히높았던경우였다. 물론, 이번공격코드가윈도우 2000에한정되고한글 OS 와같은시스템에서는오프셋 (Offset) 의위치가정확하지않아 60초후에시스템이종료하는에러메시지가나타나기도하였지만, 향후이번과같이웜의확산에크게도움이될수있었던취약점의경우는관리자뿐만아니라일반사용자도각별한주의가필요할것이다. 8 월 15 일광복절중국의대대적사이버공격 8월15일은 1945년8월15일일본의식민지지배에서벗어난것을기념하고더불어대한민국정부수립을경축하는뜻깊은날이다. 하지만, 이런뜻깊은날에중국해커들이광복절을전후에대규모로일본사이트에대한사이버공격이예정되어있다는소식이전해졌다. 비록대상이일본사이트이지만한국또한주의를기울이지않을수없었다. 이유는한국을경유하여일본을공격한다는계획이있었기때문인데이것은한국의인프라가많이발전되어있고중국의 IP주소가많이차단되어있는데비해한국은그렇지않다는여러가지이유가있었기때문이다. 이러한이유로 8월15일에주요기업및보안업체에서는만일의사태에대비하여비상대응체제에들어가기도하였지만당일날별다른사건은발생하지않고하나의해프닝으로지나가버렸다. 이제사이버상에서의이런행동들이쉽게지나칠수만은없는중요한문제로부각되고있다. 국내의많은인프라들이인터넷과밀접해지고있기때문이다. 보안은한순간만을위해서가아니라지속적인관심과준비가있어야된다는사실은다시한번되새겨보아야할것이다. Copyright AhnLab Inc,. All Rights Reserved. 17
IV. 8 월세계동향 8월세계악성코드동향중일본의경우는넷스카이웜과같은메일로전파되는웜이확산되고있는것으로분석되었다. 그러나이와반대로중국의경우에는원격제어나키로킹이가능한트로이목마류의큰폭으로증가하고있는것으로분석되었다. 이러한극동아시아의악성코드분포는메스메일러와트로이목마로양극을이루고있는반면유럽지역에는일본과유사한메스메일러가대부분을이루고있으나베이글과마이둠변형들은큰폭으로감소하고넷스카이웜과마이톱변형들이대부분을차지하고있다. 그리고 8월 15일은세계 2차대전종전으로인해일본의패전으로인해중국과한국이독립된날이기도하다. 이날을기점으로중국해커그룹들에서는일본우익단체들의웹사이트를공격하는계획이알려져주변국가들에대한사이버테러에대한경계심을가지게만들기도하였다. 이러한사항들을바탕으로 8월세계악성코드동향은어떠한변화가있었는지살펴보기로하자 (1) 일본악성코드동향 작성자 : 김소헌주임연구원 (sopara@ahnlab.com) 2005년 8월의일본보안동향에서가장이슈가되었던사건은중국해커들의공격시도이다. 일본의보안관련기관에서는공격에대비해서보안취약점에대한권고문을발표하는등피해예방을위한노력을기울였고우려했던것과는달리일본에서크게피해가보고되지는않았다. 일본보안동향과관련한또다른이슈는네트워크트래픽의비정상적인증가이다. 아래의 [ 그림1] 은일본경찰청 (www.npa.go.jp) 에서발표한 8월중순일본의 TCP 445 포트를통한네트워크트래픽현황이다. 8월 15일을전후하여네트워크트래픽이급증한것을알수있다. Copyright AhnLab Inc,. All Rights Reserved. 18
[ 그림 1] 2005 년 8 월 TCP 445 포트트래픽증가현황 < 자료출처 : 일본경찰청 > 이러한현상이발생한원인에대해서정확하게알수는없지만비슷한시기에새로운보안취약점인 MS05-039 취약점을이용한웜등여러형태의악성코드가유포된것이원인으로추정된다. 1. 일본유행악성코드유형별발생현황 2005년 8월일본의악성코드동향에서주목할점은전월에비해전반적으로악성코드의확산도가크게감소한것이다. [ 그림2] 은일본의 IPA(www.ipa.go.jp) 에서발표한악성코드통계자료중일본에서 8월에발생한악성코드의종류별탐지통계를나타낸것이다. [ 그림 2] 에서볼수있는것처럼가장많이유포된악성코드는넷스카이웜 (Win32.Netsky.worm) 으로써이러한현상은전월과비교해서크게변화가없다. 그러나전반적으로탐지된악성코드의양이감소된것을알수있다. [ 그림 2] 악성코드발견건수통계 Copyright AhnLab Inc,. All Rights Reserved. 19
아래의 [ 표1] 은 2005년 8월악성코드의감염통계를나타낸것이다. 넷스카이웜에의한감염피해가가장많은것을알수있는데이는전월과비교해서크게차이가없다. 그러나전반적인피해수치가전월에비해낮아진것을볼수있다. 금월피해금월피해금월피해 Window/Dos Virus Macro Virus Script Virus 전월피해전월피해전월피해 Win32/Netsky 999 11 72 Xm/Laroux VBS/Redlof 1,125 9 59 536 W97M/X97M/ 6 6 Win32/Mytob 638 P97M/Tristate 8 VBS/Loveletter 10 Win32/Mydoom Win32/Bagle Win32/Klez Win32/Lovgate 352 3 5 W97M/Lexar VBS/Soraci 332 4 303 W97M/Sting 3 Wscript/ 4 284 Fortnight 4 255 W97M/Divi 3 VBS/Internal 2 230 4 2 213 3 1 WM/Sarsnan VBS/Haptime 249 1 [ 표1] 악성코드피해신고현황 2. 악성코드의감염경로별통계 [ 표2] 는악성코드의감염경로별통계를표로나타낸것이다. 악성코드의감염경로로가 장많이이용되는매체는메일로써이는전월과동일하다. 전월과비교해서주목할사항은 네트워크를이용하는악성코드의감염이많이발생했다는점이다. 이는최근보고된윈도우 운영체제의보안취약점을이용한웜의공격이증가한것이원인으로분석된다. 감염경로 피해건수 2005 년 8 월 2005 년 7 월 2004 년 8 월 메일 4,290 96.00% 4,477 98.70% 5,004 98.30% 외부의모체 4 0.10% 3 0.10% 6 0.10% 다운로드 1 0.10% 4 0.10% 5 0.10% 네트워크 171 3.80% 43 0.90% 65 1.30% 기타 4 0.10% 9 0.20% 11 0.20% [ 표2] 악성코드감염경로통계 Copyright AhnLab Inc,. All Rights Reserved. 20
3. 일본네트워크트래픽현황 2005년 8월일본의네트워크트래픽현황과관련한가장큰이슈는 TCP 445 포트의트래픽이급증한것이다. [ 그림4] 는일본의 IPA에서관측한포트별트래픽현황이다. 8월 17일이후로해당포트의트래픽이급격하게증가한것을알수있다. [ 그림 3] 포트별트래픽발생통계 [ 그림4] 는 8월한달동안발생한국가별네트워크트래픽통계를보여준다. 8월 15일이후로전반적인트래픽의양이증가한것을알수있다. 그러나이러한현상은외부에서의공격이라기보다는악성코드의유포가주원인으로추정된다. 그래프에서볼수있는것처럼중국이외의다른나라에서도전반적으로트래픽양이많이증가한것을볼수있다. Copyright AhnLab Inc,. All Rights Reserved. 21
[ 그림 4] 국가별네트워크트래픽현황 < 자료출처 : 일본 IPA> (2) 중국악성코드동향 작성자 : 장영준연구원 (zhang95@ahnlab.com) 8월중국악성코드동향은지난달을기점으로증가하기시작한악성봇이다시줄어드는추세를보이고있다. 이와함께루트킷 (Rootkit) 형태의트로이목마 (V3 진단명 Win- Trojan/Rootkit) 도많은수가줄어들었다. 그러나지속적인증가추세를보이고있는다양한형태의트로이목마는이번 8월달역시증가추세를보이고있다. 그리고이와함께원격제어및키로깅형태의트로이목마가특히나높은증가추세를보이고있어개인사용자들의각별한주의가필요하리라생각된다. 이러한사항을바탕으로 8월중국에는어떠한동향의변화가있었는지살펴보도록하자. 1. 악성코드 TOP 5 순위변화 순위 Rising New 1 Trojan.PSW.LMir 1 2 Backdoor.Gpigeon 2 3 Backdoor.Rbot Copyright AhnLab Inc,. All Rights Reserved. 22
1 4 Backdoor.Codbot New 5 Worm.QQ.TopFox [ 표1] 2005년 8월 Rising 악성코드 TOP 5 - - 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 순위변화 순위 JiangMin 2 1 Trojan/Script.Seeker 1 2 Backdoor/SdBot.atp.Rootkit 1 3 Trojan/QQMsg.Zigui.b 1 4 Trojan/WebImport New 5 Backdoor/Agobot.gen.f [ 표2] 2005년 8월 JiangMin 악성코드 TOP 5 - - 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 [ 표 1] 과 [ 표 2] 는중국로컬백신업체인라이징 (Rising) 과강민 (JiangMin) 의 8월악성코드 TOP 5이다. 먼저라이징의순위를살펴보면지날달순위에포함되지않은엘미르핵트로이목마 (V3 진단명 Win-Trojan/LmirHack) 의급격한증가가 8월달의가장큰이슈로볼수있다. 그리고그뒤를이은원격제어형태의지피건트로이목마 (V3 진단명 Win- Trojan/GrayBird, Win-Trojan/Hupigon) 가지난달보다 1계단상승하며지속적인증가추세를보이고있다. 그러나이와반대로악성봇변형은 2계단하락하면서전반적인감소추세를보이고있으나, 감염기법등으로미루어네트워크전반에는아직도많은수의악성봇이존재하고있을것으로추정된다. 마지막으로 5위를차지한 Worm.QQ.TopFox는중국에서제작된 QQ 메신저를통해서전파되는웜으로감염된사용자의 QQ 메신저상에등록되어있는사람들에게특정문구를보내어해당문구를클릭할경우웜이실행된다. 강민의순위에는인터넷익스플로러의취약점을이용하는 Trojan/Script.Seeker가 2계단상승하면서높은증가추세를보이고있다. 그러나이와반대로악성봇의경우에는라이징의순위와유사하게감소추세를보이고있다. 2. 주간악성코드순위 순위 1 주 2 주 3 주 4 주 1 Trojan.PSW.LMir Trojan.PSW.LMir Backdoor.Gpigeo n Trojan.PSW.LMir 2 Backdoor.Rbot Backdoor.Gpigeon Backdoor.Sdbot Backdoor.Gpigeon 3 Win-Trojan/ GrayBird Trojan.Clicker.AdSh ow Trojan.PSW.LMir Backdoor.Sdbot Copyright AhnLab Inc,. All Rights Reserved. 23
TrojanDroper.Worm.Ba Trojan.PSW.QQRobb 4 Backdoor.Sdbot Worm.QQ.TopFox gz er 5 Backdoor.DxdBot Backdoor.Rbot Backdoor.Codbot Backdoor.Rbot [ 표 3] 2005 년 8 월 Rising 주간악성코드순위 순위 1 주 2 주 3 주 4 주 1 Backdoor/SdBot.atp.R ootkit Trojan/QQMsg.Zigui.b Trojan/Script.Seeker 2 Trojan/Script.Seeker Trojan/Script.Seeker Trojan/QQMsg.Zigui.b 3 Trojan/WebImport Backdoor/SdBot.atp.R ootkit Trojan/WebImport 4 Trojan/QQMsg.Zigui.b Trojan/WebImport Backdoor/SdBot.atp.R ootkit 5 TrojanDownloader.Age nt.kk Exploit.MhtRedir Exploit.MhtRedir [ 표 4] 2005 년 8 월 JiangMin 주간악성코드순위 주간악성코드순위를살펴보면라이징의경우엘미르핵트로이목마는 3주동안지속적으로 1위를차지하며 8월한달동안지속적인감염신고가있은것으로분석된다. 그리고지피건트로이목마역시 8월 2주부터급격한감염신고의증가하기시작한것으로보여진다. 엘미르핵트로이목마와지피건트로이목마의감염증가는당분간지속될것으로보여지며이에따른개인사용자들의각별한주의가필요하리라예상된다. 7월부터감소추세를보이기시작한백쯔웜 (V3 진단명 Win32/Bagz.worm) 은 8월 1주차를마지막으로순위권밖으로밀려난점으로미루어중국국내에서백쯔웜에의한감염이감소한것으로추정된다. 그리고이와함께악성봇역시 8월주간순위변화와같이전반적인감염활동이감소하고있는것으로분석된다. 3. 악성코드분포 Copyright AhnLab Inc,. All Rights Reserved. 24
[ 그림 1] 2005 년 8 월 Rising 의악성코드분포 위 [ 그림1] 은라이징의 8월악성코드분포도이다. 해당분포도의엘미르핵트로이목마가전체의 31% 를차지하고있다. 엘미르핵트로이목마는감염된시스템의모든프로세스에키로깅을위한라이브러리파일을인젝션하여실행된다. 그리고감염된시스템의사용자가특정온라인게임웹사이트를방문하게될경우사용자의계정과암호를후킹하여특정메일주소로전송하는기능을가지고있다. 이러한특정온라인게임의사용자계정과암호를취득하기위해제작된트로이목마로는엘미르핵외에도리니지핵트로이목마 (V3 진단명 Win- Trojan/LineageHack), 항핵트로이목마 (V3 진단명 Win-Trojan/HangHack) 와코게임핵트로이목마 (V3 트로이목마 Win-Trojan/KorGameHack) 등이있다. 이러한트로이목마는개인에의해제작되기보다는조직적으로제작되고있으며중국언더그라운드해킹그룹중에는이러한트로이목마제작프로그램까지유포되고있는것으로확인되었다. 확인된바로는엘미르핵트로이목마의주된감염경로는보안이취약한웹사이트에트로이목마를다운로드하는 iframe 링크를첨가하는기법을쓰고있다. 4. 보안사고통계 Copyright AhnLab Inc,. All Rights Reserved. 25
[ 그림 2] 2005 년 8 월 CNCERT/CC 의보안사고분포 [ 그림 2] 는중국 CNCERT/CC가작성한 8월중국보안사고통계로서지난 7월 77건이었던홈페이지변조는 1042건으로급격한증가치를보였다. 홈페이지변조피해를입은시스템은대부분이리눅스시스템이며그다음이윈도우 2000과윈도우 2003을웹서버로운용하는것으로분석되었다. (3) 세계악성코드동향 작성자 : 차민석주임연구원 (jackycha@ahnlab.com) 2005년 8월은마이톱웜 (Win32/Mytob.worm) 변형의극성과지난해많은피해를입혔던마이둠과베이글등과거웜들의몰락으로세대교체가일어났다고볼수있다. 또 8월중순을뜨겁게달구었던조톱웜 (Win32/Zotob.worm) 사건과마이톱웜과조톱웜의제작자검거소식도빼놓을수없다. 영국의소포스 (http:/www.sophos.com) 의 2005년 8월피해통계 1 를보면 1위는넷스카이변형이차지고하고있으며나머지는대부분마이톱변형과유럽에서많이발견되고있는자피웜 (Win32/Zafi.worm) 변형이다. 러시아의캐스퍼스키연구소 (http://www.kaspersky.com) 의 2005년 8월피해통계 2 에따르면 1위가마이톱변형, 2위가넷스카이변형이고대부분이마이톱변형이 20위까지순위에포함된것을알수있다. 특히 2004년초부터많은피해를입혔던마이둠웜 (Win32/MyDoom.worm) 과베이글웜 (Win32/Bagle.worm) 은순위에서완전히사라졌다. 하지만, 마이톱역시마이둠에악성 IRC봇기능을추가한기능향상버전으로볼수있다. 2005년 8월 15일은 1945년일본의패망으로한국과중국에게독립 60 주년기념일이었다. 중국해커가일본우익관련사이트에해킹을시도할것이며경유지로한국을이용할지도모른다는우려가발생했다. 하지만, 평상시와다른일이발생하지않았지만새로운웜인조톱 (Win32/Zotob.worm) 이발견되었다. 이웜은마이톱웜에새롭게발견된 MS05-039 취약점을공격하는기능을포함했다. 새롭게발견된취약점인만큼패치가적용되지않는시스템이다수존재했으며 ABC, CNN 등의피해가발생해언론에대대적으로알려졌으며마이크로소프트사에서도관련정보를제공했다. 3 하지만, 이웜은패치되지않은영문윈도우2000 에서만감염이발생하므로영문윈도우를사용하지않거나윈도우 XP 사용자는감염되지않으 1 http://www.sophos.com/pressoffice/pressrel/uk/20050901topten.html 2 http://www.viruslist.com/en/analysis?pubid=169665202 3 http://www.microsoft.com/korea/security/incident/zotob.mspx Copyright AhnLab Inc,. All Rights Reserved. 26
므로비영어권국가에서는큰피해가없었으며한국에서도실제감염은보고되지않았다. 다만, MS05-039 취약점을공격기법이일반화되어최근에등장하는대부분의네트워크로전파되는악성 IRC 봇은해당취약점공격기능을가지고있으며취약점공격기능이개선되면문제가발생할수있다. 마이톱웜과조톱웜을제작및배포한사람이모로코와터키에서검거된사건 1 이있었다. 하지만, 이후에도마이톱변형이계속등장하고있는데제작자가소스를인터넷에올려많은사람들이변형을양산해내고있는것으로보인다. 1 http://blogs.washingtonpost.com/securityfix/2005/08/arrest_of_zotob.html Copyright AhnLab Inc,. All Rights Reserved. 27
V. 이달의 ASEC 컬럼 온라인게임해킹프로그램과보안 작성자 : 정진성주임연구원 (jsjung@ahnlab.com) 누구나게임을하다가보면막히는곳이있기마련이고이를위해서든아니면다른이유에서든대부분의패키지게임들은 Cheat Code 를별도로준비하여게임을원활히진행할수있도록한다. 물론남용하면그재미가반감되어버리기도하지만온라인게임은컴퓨터를상대로플레이하는것이아니라네트워크로연결된다른유저들과의경쟁을하기때문에멀티플레이중가능한 Cheat Code 는존재하지않는다. 또한게임진행을매너없게하는불법프로그램을사용하는것도금지하고있다. 단지재미의목적으로게임을조작한것인데이것이과연불법일까? 온라인게임을해킹할수있는프로그램은어떠한형태를얘기하는것일까? 일반적으로이러한프로그램들은 Trainer ( 최근에는 BOT 또는 Hack 이라고도불리어진다.) 라고불리며온라인게임에서이를사용한사람은 Cheater 라고일컫는다. [ 그림 1] 유명게임의 Trainer * 일반적으로 Trainer 는해당게임캐릭터의체력, 무기, 돈과같은게임중에필요한데이터를쉽게조작해주는프로그램은일컫는다. 게임에따라다양한기능의 Trainer가존재한다. * 일반적으로 BOT 은 (Robot 의준말 ) 매크로와유사하게반복적인형태의진행을자동으로수행하거나게임상의타겟이나방향등을유저의개입없이자동으로수행하는것을말한다. 대표적으로 FPS (First Person Shooting = 1인칭슈팅게임 ) 류에서 AIMBot ( 타켓자동조준봇 ) 이있다. Copyright AhnLab Inc,. All Rights Reserved. 28
이번달컬럼의주제는바로게임해킹프로그램에대한내용이다. 그러나최근문제가되고있는온라인게임의사용자계정을탈취하는종류의악성코드에관한글이아니라게임해킹프로그램은유틸리티를사용하여비정상적인플레이를하도록하는프로그램들에대한내용이다. 물론게임해킹프로그램이란용어가정확하지않은지도모르지만 ( 줄여서는 게임핵 이라고도표현한다 ), 여기서는일반적으로부르는명칭을그대로사용하도록하겠다. 본글에서는국내패키지게임시장의몰락의배경과게임과보안은언제나공생관계중이라는약간의내용을곁들이도록한다. 또한과거의게임해킹프로그램들은어떠한유형이있었는지알아보고현재온라인게임환경과비교해보도록한다. 그리고이러한게임해킹프로그램들은어느수준까지를불법프로그램으로간주해야하는지고민해보고이를방어하는솔루션들을간단히소개하도록하겠다. 1. 국내패키지게임시장의몰락의배경 현재국내온라인게임이성황을이루고있는이유중에하나는국내게임패키지시장의몰락이며, 이의가장큰원인은게임이불법복제, 유통되었기때문이다. 국내유수의게임개발사들은불법유통이그나마적은콘솔게임기의게임을개발하거나휴대용게임기의게임들을개발하는등적극적인판로의길을가는모습도보였다. 여기서는논외의얘기이지만콘솔게임의타이틀도복제되어유통되거나휴대용게임기의롬파일도유통되고있기때문에 PC 게임처럼패키지시장이몰락하지는않겠지만복제된타이틀로인한정품판매량감소는더이상두고볼일만은아니것같다. 다시 PC 게임으로돌아와얘기를해보면오래전부터패키지게임사들은불법복제를방지하는차원에서게임에 ( 플로피디스켓또는 CD) 락을걸어복제되지않게하거나복제되더라도정품으로인식하지못하게하는등여러가지보안조치를취하고있다. 도스시절부터게임을즐긴분이라면 PANDORA 와같은키디스크개념또는 EVERLOCK, HARDKEY 와같은플로피복사방지장치를들어봤을것이다. CD 라는저장매체의등장으로도스시절과비슷한 Copy Protection 제품들이 CD 에서도여럿등장하였다. SAFEDISK, STARTFORCE. SecuROM 등이이러한제품들이다. 또한이제품의파일들은리버싱엔지니어링되지않기위해서파일을분석하기어렵게되어있기도하며 CD 레코더나공 CD 정보등을읽어와복사여부를판단하는등다양한기술이포함되어있다. 완벽하지는않지만불법복사를방지하는이제품들로하여금게임과보안은오래전부터뗄래야뗄수없는관계를유지해오고있다. 2. 게임해킹프로그램의궁극적인목적? Copyright AhnLab Inc,. All Rights Reserved. 29
오늘날의온라인게임시장의보안은어떠한가? 불법복제로부터는해방되었던온라인게임은가장큰복병중하나는바로게임해킹프로그램과이를사용하는유저들이다. 이러한문제가되는가장큰원인중에하나는온라인게임은게임내다양한승률포인트를이용하여다른아이템을사거나또는이를현금으로거래할수도있기때문이다. 이렇게되면그피해는게임을즐기는유저와더큰피해는게임개발사들이당하게된다. 온라인게임개발사들의수익원이대부분월정액의가입비또는유저들이현금으로구입하는아이템임을감안할때이것을승률포인트조작으로얻을수있다면평범한유저들은물론개발사도큰피해가온다. * 본글에서는개인또는조직적으로아이템을현금거래하는것이불법인지의여부는논의하지않기로한다. 대부분의온라인게임들은아이템을획득하기위해서일반적으로현금으로해당아이템사거나게임을하면서얻어진승률포인트를차감하여아이템을획득할수있게한다. 일반콘솔게임이나패키지게임이라면단순히게임을하면서얻어진포인트로만캐릭터의레벨- 업이나아이템을획득하지만온라인게임은바로 돈 이거래된다는점에서게임해킹프로그램수요를파악해버린일부유저들은이점을악용하여자신이개발한프로그램을버젓이돈을받고팔고있기도하다. 또한여기서는논의하지않기로한게임계정을탈취하는증상을보이는악성코드를제작하고유포하는사람들의목적은무엇일까? 이들은개인또는조직적으로활동하기도한다. 그렇다면이프로그램을이용해서부당행위를하는사람들과이러한프로그램을만들어파는사람들의목적은한가지가아니겠는가? 3. 게임해킹프로그램유형 * 본글에서는가급적자세한게임해킹프로그램의동작방식은설명하지않을것이다. 우선온라인게임이나멀티플레이를위해서서버에접속하지않고단지내컴퓨터에서실행되는게임을살펴보자. 이러한게임들을대상으로하는게임해킹프로그램유형은다음과같다. - Trainer - 범용메모리조작프로그램 과거패키지게임의해킹프로그램이나방법은단지게임의재미를위해서사용되는수준이었다. 그러나일부유저들의온라인게임들의승률포인트와아이템을이제더이상게임의재미를위해서갖는다기보다는 돈 으로거래하기위해서갖기때문에문제가된다. Copyright AhnLab Inc,. All Rights Reserved. 30
한편으로패키지게임들도멀티플레이를위해서게임서버를두고있다. 국외일부게임개발사들은자사의게임서버에 Anti-Cheater 서비스를하여멀티플레이중매너가없거나불법프로그램을사용하는유저들은 Cheater 로간주하고접속을끊는등일정한룰을가지고있다. 이는온라인게임사도마찬가지이다. 비정상적인플레이를하는유저들의아이디를운영방침에따라관리하기도한다. 패키지게임에서의멀티플레이중발생할수있는게임해킹프로그램들을주로 BOT 이라고표현한다. 이러한게임해킹프로그램의사용은게임의유형마다조금씩다를수있겠지만다른유저와의경쟁에서자신을유리하도록도와주며이를통해포인트및레벨-업또는소위명예의전당에이름을올리는것이다. 단지컴퓨터를상대로게임을한다면 Cheat Code 를사용하여플레이할수도있을것이다. 하지만대부분의게임들은 Cheat Code 를사용하면게임내포인트또는레벨-업에제한을둔다. 그렇기때문에 Trainer 또는메모리조작프로그램 ( 또는그데이터 ) 을이용한다. 여기서부터게임의해킹프로그램은시작되었다고해도과언은아니다. 이러한 Trainer ( 또는 BOT) 와메모리조작프로그램은도스시절부터존재해왔으며지금온라인게임해킹에도그대로계승되고있다. 한가지현재온라인게임해킹프로그램에서안되는형태가있다면세이브파일이로컬이아닌서버에저장되므로세이브파일을조작하는형태는현재온라인게임에서는볼수가없다. 반대로과거게임해킹프로그램에서볼수없었던것은패킷스니핑을통한패킷조작이다. 그렇다면이러한 Trainer ( 또는 BOT) 나메모리, 패킷조작프로그램들과연불법은아닌가하는것이관건이된다. 4. 게임해킹프로그램단지재미만을위한필요악인가? 단지자신의시스템에서만컴퓨터를상대로즐기는게임의해킹프로그램은 Trainer 라는단어의정의대로게임을쉽고재미있게진행하도록도와준다. 그리고일부메모리, 패킷조작프로그램들은여러가지목적으로사용될수있지만이는사용자의마음먹기에따라다르다. 온라인게임에서이러한프로그램들은모두게임해킹에특화되어제작된형태가대부분이다. 이러한프로그램들도단지자신의시스템에서컴퓨터를상대로게임을플레이하는것이라면문제가되지는않을것이다. 위에서도언급한것처럼온라인게임들은다른유저와승률을가지고게임을하는것이다. 그러므로비정상적인방법이나프로그램을이용하여승률을조작하는행위는불법으로간주될수밖에없을것이다. 필자는온라인게임업체의이러한약관을자세히확인해보지는않았으나일반적인상식수준에서도이와같은행위나프로그램은부당행위라고얘기할수있지않을까한다. 이를불법 ( 또는불법프로그램 ) 이라고도표현할수있겠지만불법이라는단어자체가왠지법적인구속력을갖는것처럼들릴수있기도하여어려운의미는 Copyright AhnLab Inc,. All Rights Reserved. 31
여기서는논의하지않기로하겠다. 일반적으로게임을하다가막히면공략집이나 Cheat Code 를사용하여플레이할수있다. 공략집이나 Cheat Code는불법이아니지만온라인게임에서의부정한행위나프로그램으로자신의승률을올리는것은부당행위라할수있겠다. 위에서도언급한것을정리해보면멀티또는온라인게임조작을위해서만들어진 Trainer, BOT, Hack 그리고유저가승률을조작할목적으로사용하는프로그램들도게임사에서보면반드시제지해야할프로그램일것이다. 5. 게임해킹프로그램에대한대책 게임해킹프로그램에대한솔루션은오래전부터출시되어왔다. 이솔루션들은게임을이용하는일반유저들을위한것이아닌게임개발사를위한솔루션이다. 일반적으로유저들은게임해킹프로그램과이를방어하는솔루션설치여부에대하여걱정할필요가없다. 일반유저들이라면게임내에이러한솔루션이있는지인지하지못한경우가대부분일것이다. 일반적으로게임과연동되어동작되는이솔루션들은게임시작전에부당행위를위하여사용되는프로그램이나 Trainer, BOT, Hack 등을감지하여실행을차단하고이후에도지속적으로감시활동을한다. 나아가서는원천적으로이러한행위나프로그램들로부터게임을지켜내기위한보호방법을사용하기도한다. 그러나일부온라인게임들이해당솔루션을사용한후부터계속적인도전을받아온건공공연한사실이다. 창과방패의싸움이라할수있을정도이것은컴퓨터보안에서거의매번나오는이야기이니게임의보안도예외일수는없다. 앞으로의동향을예상해보면, 게임해킹프로그램이나이를제작하는방법또는메모리또는패킷조작프로그램을사용하는방법은지금도인터넷에떠돌고있으며, 앞으로이러한내용을토대로더쉽게프로그램제작이나부당행위방법이공개될지도모른다. 또한악성코드와유사한방식으로동작하여솔루션들이이를대응하는데지연시간을발생하게할수있을지도모른다. 하지만미래가그리어둡지만은않다. 솔루션들도이러한동향을충분히인지하고있을것이며악성코드대응력으로쌓았던기술력을바탕으로어떠한문제점도충분히해결할수있을것이라고생각된다. 게임해킹프로그램은악성코드나스파이웨어처럼불특정다수를노리는프로그램은아니다. 그래서어쩌면컴퓨터보안에있어서다소소외되는경향도있고많은사람들이모르는경우도아직많다. 게임은이제더이상어린이들이나하는것이아니라것은오래전부터인식되었고더나아가게임은더이상 재미 로만하는것이아닌세상이되어버렸다. 왠지지나친경쟁사회에살고있는우리가살아가면서느끼는시스템이발전하고세상이변하 Copyright AhnLab Inc,. All Rights Reserved. 32
면서겪는현상이아닌가한다. Copyright AhnLab Inc,. All Rights Reserved. 33