e메일을 통해 전염되는 님다(Nimda) 웜바이러스는 e메일 외에도 랜 환경의 공유폴더, 홈페이지 등 다양한 경로를 통해 증식하기 때문에 기업의 메일서버와 웹서버에 엄청난 부하를 주며 경우에 따라서는 네트워크 자체를 다운시키는 위력을 발휘하고 있다. 전문가들은 사용자가 백신 소프트웨어를 업데이트하고 e메일을 읽거나 다른 사이트를 방문하기에 앞서 마이크로소프트 사이트에서 업데이트된 보호 소프트웨어(패치)를 다운받을 것을 조언하고 있다. 님다웜의 피해상황, 특징, 대책 등을 알아본다.
◇국내외 피해현황=우선 국내의 경우 주요 기업과 공공기관도 님다 바이러스의 융단폭격을 맞았다. 20일 오후 1시 기준으로 한국정보보호진흥원(KISA)이 집계한 님다 바이러스 피해는 모두 5243건이다. 지난 한달동안 신고된 피해건수가 5000여건에 달했던 서캠웜을 뛰어넘는 확산력을 지니고 있다.
모 신문사의 경우 바이러스 감염으로 신문제작에 필요한 사내 네트워크가 다운돼 초판 신문을 발행하지 못하는 최악의 상황을 겪었다. 모 택배회사도 배송시스템 서버 다운으로 물건을 배달하지 못해 하루 종일 고객의 항의에 시달렸다.
또 모 외국계 대형 소프트웨어 업체가 바이러스에 걸려 전자우편이 마비되고 사내 랜 환경의 공유폴더를 사용하지 못해 서류를 들고 일일이 뛰어다니는 촌극을 연출했다. 주요 대학도 감염 피해를 입어 아직까지 대학이 바이러스 대책의 사각지대임을 증명했다. 이밖에 대부분의 PC방이 바이러스에 감염돼 장사를 하지 못했으며 이 바이러스가 엑셀 파일을 실행시키지 않는다는 사실이 뒤늦게 밝혀지면서 (주)마이크로소프트에 문의전화가 쇄도했다.
외신에 따르면 일본, 미국 ,스웨덴 등 전세계 15개국에서도 님다 웜이 전자우편을 통해 급속히 확산돼 피해가 속출하고 있는 것으로 전해졌다.
일본의 경우 도쿄 서부에 위치한 추로 크레디트유니언이 님다 감염으로 시스템이 다운돼 인터넷을 이용한 입금과 계좌개설이 중단됐으며 야마나쉬가쿠인대학 교도통신, 주니치신문 등 여러 일본 기업이 피해를 본 것으로 알려졌다. 스웨덴에서도 님다 웜이 확산 추세를 보이자 정부가 일부 감염된 정부 컴퓨터를 격리하는 조치를 취했으며 노르웨이는 인터넷 사업자의 감염으로 노르웨이스포츠페더레이션 등 주로 스포츠 사이트 서비스가 중단되는 피해를 입었다. 미국의 경우 야후의 비공개 기업 네트워크가 감염돼 피해를 본 것으로 밝혀졌다.
영국의 컴퓨터 보안업체인 메시지랩스는 “님다 바이러스가 지난 여름 확산된 ‘코드레드’ 등 다른 바이러스보다 훨씬 빠른 속도로 다양한 감염경로를 통해 확산되고 있으며 피해 정도도 심각하다”고 지적했다.
국내 안철수연구소의 한 관계자는 “바이러스 감염을 알고도 문책이 두려워 신고하지 않는 경우가 많아 통상 바이러스 피해 신고건수의 10배 정도를 실제 감염건수로 파악한다”며 “특히 이 바이러스는 파일을 실행하지 않아도 자동으로 감염되고 데이터 파괴처럼 사용자가 금시에 알 수 있는 증상이 없기 때문에 감염 확산이 기하급수적으로 늘 것이라고 말했다.
한편 전문가들이 님다가 미 테러참사 후 정확히 1주일 만에 활동을 개시한 것을 들어 테러와 관련됐을 가능성을 제시했으나 미 법무부 장관인 존 애시크로프트는 “님다 웜이 테러와 관련됐다는 어떠한 증거도 없다”고 말했다.
◇님다 웜의 증상과 치료방법=님다웜에 감염될 경우 메일발송외의 특별한 파괴기능은 없으나 확장자가 ‘.htm’ ‘.html’ ‘.asp’인 모든 파일이 변경되며 IIS기능을 구동하는 웹서버를 무작위로 공격해 엄청난 네트워크 트래픽을 일으켜 시스템이 다운될 위험이 있다.
이에 바이러스 백신업체들은 님다에 대한 빠른 분석을 통해 치료와 예방 백신을 바로 출시하고, 이에 대한 각별한 주의를 촉구했다. 안철수연구소(http://www.ahnlab.co.kr)는 님다 웜을 치료할 수 있도록 V3 엔진 업데이트를 완료해, 웹사이트와 메일 등을 통해 제공하고 있다. 이 업데이트된 백신은 Win 9X, Win NT, Win 2K를 완벽하게 지원하며, 별도의 작업없이 감염된 파일을 삭제하고 드라이브가 자동으로 공유되도록 변경된 레지스트리를 수정해 공유를 해제함으로써 네트워크로의 확산을 차단해준다. 하우리(http://www.hauri.co.kr)도 바이러스 백신 제품인 바이로봇 시리즈를 업데이트해 님다 바이러스 치료와 예방이 가능하도록 서비스중이다.
코코넛(http://www.coconut.co.kr), 디지탈이지스(http://www.aegis.co.kr), 어울림정보기술( http://www.oullim.co.kr), 시큐브 등 정보보안 업체들도 님다를 완벽 차단할 수 있도록 고객 시스템을 업그레이드 하거나 대응 툴을 제공하고 있다.
코코넛은 님다에 대한 취약 여부를 검사해 취약점 발생시 자동패치를 실행하고, 감염됐을 경우 자동 치료 및 복구해주는 긴급대응 툴을 서비스한다. 어울림정보기술은 님다 발견시 관리자와 메일수신자에게 감염사실을 알려주고 메일전달을 차단하는 바이러스 필터링 기능을 자사 방화벽인 시큐어웍스파이어월에 업그레이드했다. 디지탈이지스 역시 홈페이지를 통해 님다에 대응할 수 있는 F시큐어 안티바이러스 시험판을 무료로 서비중이다.
★바이러스에 대한 근본적 대응책
최근 실시한 한 사이버테러 모의 훈련에서는 대상기업 32개사 중 12개 업체는 침입사실조차 몰랐으며, 침입 사실을 감지한 곳도 시간이 훨씬 지나서야 보고했다고 알려져 국내의 정보보안 수준이 심각한 수준임을 입증했다.
이는 법률적·제도적 장치의 미비에서 나온 결과기도 하지만 무엇보다도 국내 업계의 낮은 보안의식에서 기인한다. 효과적으로 해킹과 바이러스에 대응하려면 기술적·관리적·물리적인 측면에서 종합적인 대책을 마련해야 한다.
자사 시스템을 정확히 파악하고 있는 보안 전문가를 통해 시스템에 맞는 보안 솔루션을 설치하고, 이를 자사 환경에 맞게 최적화해 효율적으로 관리·운영해야 한다. 아무리 뛰어난 솔루션이라 할지라도 이를 적확하게 운영할 전문인력이 없다면 그야말로 보안솔루션은 ‘참새들이 비웃는 허수아비’일 뿐인 것이다. 날로 고도화되는 해킹·바이러스 수법에 대응하기 위해 지속적인 업데이트와 시스템 변경 작업도 필수적이다.
업계 차원에서 해킹·바이러스에 대응하기 위한 가장 효과적인 방법은 회사의 보안업무를 책임지는 보안전문가의 고용이다. 자사의 시스템을 정확하게 파악하고 있는 보안 전문직원에 의해 최적의 보안 솔루션을 설치, 이를 지속적으로 운영·관리하도록 하는 것이다. 하지만 비용문제로 보안 전문가를 두지 못하고 있는 것이 국내 대다수 업체들의 현실이다. 이들은 보안 관련 아웃소싱조차도 버거워한다.
전문가들은 이에 대해 “각 업체들의 정보보안에 대한 투자가 절실한 상황이다. 당장의 자금만 아끼려다 보니 나중의 더 큰 피해에 대해서는 미처 생각하지 못하고 있다. 이는 날로 심각해지는 헤킹·바이러스의 추세로 볼 때 참으로 안일한 생각이 아닐 수 없다”고 말한다.
<황도연기자 dyhwang@etnews.co.kr>
<장동준기자 djjang@etnews.co.kr>
<유병수기자 bjorn@etnews.co.kr>