"Hi, how are you?"라는 제목의 이메일. 외국에 있는 친구한테 온 메일로 착각해 첨부파일을 열어보았다가는 수 백 통의 이메일이 몰려 들어오면서 인터넷 속도가 떨어지는 낭패를 본다. 최근 이메일을 통해서 급속도로 번지고 있는 이메일 바이러스 서캠(Win32/Sircam.worm)에 감염되면 컴퓨터에 저장된 모든 전자우편 주소를 향해 감염된 파일이 첨부파일의 형태로 보내진다.

기존의 다른 바이러스들이 디스켓을 통해 감염되던 것과 달리 첨부파일에 의해서 감염되는 이메일 바이러스가 유행하기 시작한 것은 99년 4월. 마이크로소프트사 빌 게이츠 회장의 부인 이름을 딴‘멜리사’바이러스는‘긴급메시지’라는 제목과 함께 ‘요청하신 문서입니다. 아무에게도 보여주지 마시오’라는 내용으로 인터넷을 누볐다.

2000년 5월에는 'I love you'라는 달콤한 제목으로 사람들을 현혹시켰던 '러브바이러스' 가 기승을 부렸다.  간단한 비주얼 베이직 코드로 만들어진 러브바이러스 역시 멜리사 바이러스와 비슷한 형식이었다. 그러나 멜리사 바이러스가 30분마다 개인 사용자 주소록에 등록된 최초 50명에게 바이러스 편지를 보내는 반면 러브 바이러스는 주소록에 등록된 모든 사람에게 감염된 메일을 보내는 특성을 가지고있다.

웜바이러스는 인터넷을 타고...

안철수 바이러스 연구소는 컴퓨터를 고생시키는 악성코드를 피해여부와 제작자의 의도에 따라서 바이러스, 웜, 트로이목마, 혹스, 조크, 5가지로 분류해 놓고 있다. 위에서 말한 이메일 바이러스는 웜에 속한다.
웜은 컴퓨터 내의 다른 시스템에는 직접적인 영향을 미치지 않고, 인터넷을 통해 스스로복제하는 프로그램이다. 다른 프로그램을 감염시키지 않는다는 점에서 바이러스와 다르다. (웜이라는 단어가 익숙하지 않아 웜 바이러스라고 부르기도 한다.) 치명적인 시스템파괴를 가져오지는 않지만 웜의 가장 큰 무기는 놀라운 확산력이다. 최근 일반가정에도 보편화된 인터넷 전용선은 인터넷 웜이 널리 퍼져나가기에 더 없이 좋은 무대다. 넓은 네트워크인 인터넷은 웜을 전 세계에 동시 다발적으로 퍼뜨려준다.

한걸음 더

인터넷의 힘을 등에 업은 인터넷 웜은 계속 새로운 변종을 만들어내고, 여러 가지 특성을 더해가며 점점더 지능적으로 변해간다.
서캠 바이러스의 경우도 그렇다. 서캠 바이러스 이전의 웜 바이러스들은 직접 메일을 보낸 경우에만 첨부파일이 따라 붙거나 보내진 메일들의 흔적이 남기 때문에 어떤 정보가 어디로 새어나갔는지 파악이 가능했다. 그러나 서캠 바이러스는 이메일 주소록에 있는 사람들에게 컴퓨터 안에 있는 파일을 무작위로 보낸다. 주소록에 있는 이메일 주소뿐만 아니라 인터넷 홈페이지의 캐시파일(인터넷 홈페이지를 빠르게 이용할 수 있도록 기억해두는 파일)에 있는 E-MAIL주소까지도 읽어낸다. 또한 C드라이브를 공유하는 네트워크상의 다른 컴퓨터들로 찾아 들어가기도 한다.  '만일 내 C드라이브 속에 경쟁사에 보여서 안될 중요한 자료가 들어있었다면?' 기밀을 요하는 각종 파일이 제멋대로 전송될 경우, 무시할 수 없는 보안상의 문제가 발생한다.

인터넷 웜에게 있어서 넓은 활동지역을 확보하는 문제 다음으로 '파일을 열어보도록 얼마나 많은 사람을  유혹 하는냐' 하는 문제도 중요하다. 사람들의 호기심을 자극하기 위해  성적인 내용, 유명인이나 스타의 이야기로 포장하기도하고, 늘 보던 서류의 제목, 예전에 자신이 만들었던 파일명 등을 제목으로 하여 무심코 파일을 열어보게 하기도 한다. 인터넷 웜은 이러한 교묘한 수법을 적용해가며 네티즌들 속으로 깊숙이 파고들고 있다.

코드레드가 주는 교훈

지난 7월달부터 인터넷 웜의 일종인 코드레드는 우리나라와 전세계의 서버 컴퓨터를 공격했다. 코드레드 바이러스는  중요 자료와 다양한 정보를 담고 있는  MS의 윈도우즈 서버를 공격의 대상으로 하기 때문에 이메일 바이러스와는 또 다를 차원의 문제를 야기시킨다.

코드레드는 점점 악성 '변종'을 나으면서 주요 기관에 침투됐다. 단순히 시스템이 과부하 되어 업무속도에 지장을 받는 정도가 아니다. 서버에 백도어(Back Door)와 트로이목마를 설치하는 악성프로그램으로 변모해갔다.  백도어는 정상적인 절차를 거치지 않고 프로그램 또는 시스템에 접근 가능하도록 하는 것으로서, 소위 해킹을 위한 뒷문이라고 한다. 트로이 목마는 그 이름에서 알 수 있듯이 정상적인 것처럼 보이나 실제로 다른 기능을 수행하는 프로그램으로 컴퓨터에 트로이목마가 설치 될 경우 서버 컴퓨터의 IP주소만 알면 컴퓨터의 모든 내용을 열어볼 수 있다. 마음만 먹으면 얼마든지 그 전산망의 정보를 빼낼 수 있다는 이야기다.

이런 심각한 정보 유출의 가능성에도 불구하고 이를 제대로 파악하고 능동적으로 대처하지 않은 기업과 기관이 많다. MS사에서 제공한 패치를 미리 내려 받았더라면 예방할 수 도 있겠지만, 대부분 기업과 기관에서 변종바이러스의  피해결과를 무시했다. 서버 관리자 및 당사자들이 감염 및 피해사실을 모르는 경우도 있었고, 피해사실을 숨기고 있는 기업이나 기관들도 있었다.

경제협력개발기구(OECD)의 '커뮤니케이션 아웃룩(통신시장 전망)2001' 보고서에 따르면 우리나라는 OECD 29개국 가운데 인터넷보급률. 웹사이트수 증가율 등에서 1위지만, 보안서버 보유대수는 26위에 불과하다. 코드레드에 의해 피해를 본 국내의 서버가 2만 6천여 기관의 5만8천여개, 즉 국내 윈도우 서버의 12.9%라는 정보통신부의 발표(8월 16일까지) 는 이를 여실히 증명해 주고 있다.

인터넷에 접속하고 있는 이 순간에도

코드레드의 흔적이 채 지워지기도 전에 새로운 윈도우 프로그램이 실행되지 않을 수도 있는 파괴력을 가진 1등급 바이러스가 새롭게 등장했다. 정보통신부와 한국정보보호진흥원(KISA)가 지난 8월 16일 예보 발령한 트로이목마형 바이러스‘오펜시브(Offensive)'. 지난 20일 일본에서 처음 발견된 오펜시브 바이러스는 악성 코드가 설치된 홈페이지에 접속하면 감염된다. 주로 일본 사이트가 공격의 대상이 되고 있으므로 일본 사이트에 되도록 접속하지 않는 것이 좋다.

오펜시브에 감염되지 않기 위해서는 마이크로소프트 사이트에서 제공하는 패치파일로 보안취약점을 개선해야 하며, 감염됐을 경우에는 안철수 연구소(www.ahnlab.com), 한국트렌드마이크로(www.antivirus.co.kr), 하우리(www.hauri.co.kr) 등의 백신 사이트에서 온라인 백신을 무료로 받을 수 있다.

홍지윤 기자