디도스 공격이 스마트폰에도 가해질 수 있다는 전망이 나오면서 한국인터넷진흥원(이하 KISA)이 연구 중인 악성코드 지수가 그 해결책이 될지 관심이 모아지고 있다. KISA는 악성코드 지수로 다양한 형태로 나타나는 악성코드의 위험도를 측정하는 것은 물론, 이를 변종 형태로 파생될 악성코드를 예측하는 데도 활용할 방침이다.

얼마 전 안철수연구소가 발표한 ‘2012년 스마트폰 보안위협 트렌드’에 따르면 스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다.

이에 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생할 수 있다는 것이다. 실제 올해 안드로이드 플랫폼 스마트폰을 ‘좀비 스마트폰’으로 만들어 이의 네트워크인 ‘봇넷(botnet)을 구성하려는 악성코드가 중국에서 발견되기도 했다.

이와 함께 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다고 지적됐다. 안철수연구소는 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다고 경고했다.

이와 관련 해킹이 발생하면 즉각 악성코드 분석에 들어가 그 유형과 위험도를 측정하는 시스템이 개발돼 대안이 될 수 있을지 주목된다.

악성코드 위험지수는 ▷악성코드가 시스템에 설치되는 감염경로(1.5) ▷해당 악성코드를 실행하는 실행주체(1.5) ▷악성행위를 수행하는 공격대상(3) ▷사용자에게 피해를 입히는 공격행위(4) 등 크게 네 가지 항목의 경중을 따져 측정된다.

공격대상과 행위에 따라 유출ㆍ손상되는 정보의 가치가 달라져 이 두 항목이 차지하는 비중이 상대적으로 높다.

여기에 전파채널 개수와 악성코드의 자가보호능력, 잠재위험 정도에 가중치를 붙여 KISA의 MTAS(악성코드 위험분석 도구)를 통해 위험지수를 도출한다. 실제 지난해 청와대, 외통부, 국정원 등을 해킹한 3ㆍ4 디도스 공격은 이 같은 방식으로 위험지수가 254.7을 기록했다.

지수를 놓고 위험도 경중을 가리는 기준은 추후 설정할 계획이다. KISA 관계자는 “올해부터 샘플에 적용한 뒤 각 그룹별로 분석을 거쳐 위험도별로 등급을 나눌 방침”이라고 설명했다.

변종 형태의 악성코드를 예측하는 것은 현존하는 악성코드의 성향 및 목적을 7가지로 분류하는 것부터 시작한다. 7가지 그룹은 정보탈취형, 과금유발형, 시스템파괴형, 모듈형, 원격제어형, 유해가능형, 혼란야기형 등으로 정리됐다. 이에 악성코드를 위험지수 분석 툴에 대입해 7가지 그룹과의 일치율을 계산한 뒤 일치율이 높은 3가지 그룹 중심으로 예측에 들어간다. 가령 해당 악성코드가 정보탈취형 55%, 시스템파괴형 25%, 유해가능형 20%로 나왔다면 세 방향 위주로 변종 악성코드가 나타날 가능성이 높은 셈이다. KISA 관계자는 “악성코드가 특정 한 그룹과의 일치율이 70%를 넘어가면 이 그룹을 벗어나는 변종 악성코드가 나타날 가능성은 적다”고 설명했다.

정태일 기자/killpass@heraldcorp.com