지능화된 악성코드. 이제는 백신도 속여버린다.

점점 악성코드가 지능화되어가고 있다. 백신의 감시망을 피해 이제는 커널영역으로 침투해 들어가고 있는 것이다.

PC는 느린데 악성코드가 없다? (ZDNet Korea)

트로이목마의 일종인 악성코드(반대로도 말이 되기는 하지만)는 사용자의 PC에 서식(?)하여 PC를 통하여 사용자가 무언가의 작업을 하는지 그 내용을 해킹하고 해커에게 보내는 역할을 아주 충실히 해내는 해커들의 종이다. 그리고 PC를 좀비PC로 만드는 것도 악성코드다.

일반적으로 악성코드를 검사하는 것은 V3나 바이로봇, 어베스트, AVG, 카스퍼스키 등의 백신 프로그램으로 실시간 검사 등을 통해서 악성코드의 접근을 막거나 디스크 스켄 검사 등을 통해서 PC에 저장된 악성코드들을 검사하는 것으로 악성코드에 대응해왔다. 백신들은 자신들이 갖고있는 악성코드의 패턴을 각 파일들과 레지스트리, OS의 떠있는 프로세서 등과 비교해서 패턴과 일치(혹은 비슷)한 부분을 찾아서 삭제하거나 안전영역으로 옮기도록 하여 PC에 악성코드에 대한 예방과 치료를 했었다.

그런데 이제는 백신조차 제대로 발견할 수 없는 악성코드들이 등장했다. 새로운 패턴의 악성코드이면서도 그 서식 영역이 기존의 유저영역이 아닌 커널영역으로 침투해 들어가서 서식하게 된 것이다. 좀더 깊은 영역으로 백신의 감시의 사각지대로 그 뿌리를 내리고 있는 셈이다.

일반영역과 달리 커널영역은 실제로 프로그램이 잘 접근할 수 없는 영역이다. 커널은 시스템 자원을 배분하고 프로그램의 실행 순서를 계획하며(스케쥴러) HDD나 CD, USB 등의 저장영역으로의 저장 등을 관여한다. 그래서 커널영역은 허가된 프로세서에 한해서만 접근할 수 있으며 그 접근조차 신중하다. 잘못하다가는 시스템 전체가 꼬여서 제대로 처리를 할 수 없기 때문이다.

이런 커널영역으로 악성코드들이 침투해 들어가고 있다. 백신이 커널영역을 검사할려고 커널영역에 요청을 하면 악성코드들이 커널을 대신에 거부명령을 내린다는 것이다. 일반 프로세서인 백신이 특수영역인 커널을 맘대로 검사할 수 없으므로 제한된 명령으로 검사할려니 악성코드에 점령당한 커널이 악성코드의 명령에 따라서 거부를 하고 제대로 검사가 안되는 경우가 생기고 있다는 것이다. 그래서 PC는 느려졌는데 백신에서 아무런 검사결과가 안나타난다면 일단 의심해봐야 할 것이라 기사에서 얘기하고 있다.

OS의 가장 중요한 부분이자 가장 밑단에 속하는 커널영역에까지 악성코드들이 침투하고 있다. 사람으로 따지자면 예전에는 일부 장기에 서식하고 있는 바이러스들이 뇌, 척추, 심장에까지 퍼지고 있다는 뜻일 것이다. 현재 시만텍에서 노턴360 등의 디스크 전체를 스케닝하는 백신이 있고 안랩에서도 개발중이라고는 하지만 일단은 사용자들이 주의해서 PC를 다뤄야 할 것이다. 누가 뭐라하던 안전이 최고다.

* 관련글 *
2007/12/12 - [IT Story/IT 이슈] - 사이버 시대의 암적 존재, 봇
2007/12/03 - [IT Story/웹 서비스] - 네이버의 무료백신 중단을 보고
2007/12/03 - [IT Story/IT 이슈] - 사이버 공격, 이제는 개인에게까지 노린다
2007/09/11 - [IT Story/IT 이슈] - MS가 권하는 PC 보안 3대 수칙
2007/08/30 - [IT Story/IT 이슈] - 스파이웨어 제거 프로그램, '무용지물' 논란
2007/08/16 - [IT Story/IT 이슈] - 가트너「위험을 수반하는 가상 세계 열풍」
2007/08/13 - [IT Story/IT 이슈] - 내 PC도 범죄에 악용된다?
2007/04/12 - [개인] - 백신 프로그램을 바꾸다.
2007/02/13 - [IT Story/IT 이슈] - 국내PC가 해커들의 도구로 쓰이는..
2007/01/31 - [IT Story/IT 이슈] - 스파이웨어 제거 프로그램. 뭐가 좋을까?