마이크로소프트(MS)는 해커들이 MSN 채팅, MSN 메신저, 익스체인지 인스턴트 메신저의 '심각한 보안 허점'을 이용해 취약한 PC에 해킹 프로그램을 실행시킬 수 있다고 이번 주 경고했다. 현재 MS는 취약점 보완을 끝낸 상태다.
MS는 MSN 채팅과 메신저, 익스체인지 인스턴트 메신저의 사용자들이 한 '공간'에서 실시간으로 대화하는 데 필요한 액티브X 컨트롤에서 취약성이 발생한다고 밝혔다. MS에 따르면 액티브X 컨트롤에서 버퍼 과잉이 일어나면 침입자들은 이 결함을 공격해 취약한 PC들에 해킹 프로그램을 작동시킬 수 있다.
워싱턴주 레드몬드에 본사를 두고 있는 MS는 또 해커들은 해킹 웹 사이트를 이용하거나 HTML 형식의 e메일을 통해 취약점을 공격할 수 있다고 밝혔다.
MSN 메신저 4.5 이상의 버전과 익스체인지 인스턴트 메신저에는 채팅에서 중요한 역할을 하는 액티브X 콘트롤이 들어있다. MS는 그러나 MSN 채팅과 윈도XP 이용자들은 액티브X 콘트롤을 따로 다운로드 받아 설치한 경우에만 이러한 취약점이 생긴다고 밝혔다.
MS측는 "e-메일 이용자들의 경우, 아웃룩 e-메일 보안 업데이트를 다운로드 받았거나 아웃룩 2002, 혹은 아웃룩 익스프레스를 사용하고 있다면 안전하다"고 밝혔다.
MS의 채팅 프로그램 문제는 라이벌사 아메리카 온라인(AOL)이 자사의 인스턴트 메신저 프로그램의 보안에 허점이 있어 해커들이 해킹 프로그램을 실행시킬 수 있다고 발표한 지 3일만에 나온 것이다. AOL은 이후 이 결점을 개선했다. (AOL 타임 워너는 CNN.com의 모기업이다.)
▶ 메신저 사용 네티즌 ‘바이러스 주의보’
인터넷 메신저의 사용인구가 급속도로 늘고 있는 가운데 메신저를 통해 퍼지는 바이러스나 웜이 창궐해 주의가 요망된다.18일 정보통신부와 보안업계에 따르면 최근 E메일을 통해 확산되는 웜이 극성을 부리고 있는 상황에서 인터넷 메신저 프로그램도 바이러스나 웜 등 악성코드의 표적이 되고 있다.
지난 14일 국내에서 발견된 ‘JS/Exploit-Messenger’라는 웜은 미국 마이크로소프트(MS)사의 MSN 메신저를 통해 급속도로 퍼져나갔다.메신저를 통해 웜이 신속하게 확산되는 이유는 메신저가 보안에 취약하기 때문이다.일반적으로 메신저는 컴퓨터 운영체제인 윈도가 시작될때 자동으로 시작하도록 설정해 놓은 경우가 많고 또 등록돼 있는 친구가 보내주는 내용이어서 E메일보다 의심을 덜하게 되는 것도 주요 원인이다.
‘JS/Exploit-Messenger’는 일종의 스팸메일 성격이어서 이 웜을 감염시키는 인터넷주소를 다른 사용자에게 보내는 것외에는 특별한 피해가 없었다.그러나 메신저 웜은 유통되는 경로만 다를뿐 시스템을 파괴하거나 정보를 빼내는 등 악성 바이러스와 똑같은 피해를 유발할 수 있다고 전문가들은 경고한다.
대처방법은 설치된 백신 프로그램의 감시기능을 켜놓고 있으면 메신저로 퍼지는 웜 등 악성코드에 감염된 파일을 다운받을 때 자동으로 검사해준다.‘JS/Exploit-Messenger’와 같은 웜의 경우 감염경로가 파일을 다운받는 것이 아니라 인터넷주소 메시지를 클릭하는 방식이다.따라서 일단 영어로 된 수상한 내용의 경우 클릭하지 말고 곧바로 메신저창을 닫아버려야 한다.감염됐을 경우는 백신으로 치료해야 한다.
정통부 관계자는 “올해는 메신저를 통해 확산되는 웜이나 바이러스가 더욱 기승을 부릴 것으로 예상된다”며 “이러한 웜이나 바이러스는 일반 바이러스와 유통경로만 다를뿐 동일한 피해를 유발할 수 있다는 점에서 주의를 해야한다”고 말했다.
▶ MSN 바이러스 JS/Exploit-Messenger 주의보!
드디어(?) MSN으로 전파되는 바이러스 JS/Exploit-Messenger가 등장했습니다.
안철수 연구소측의 발표에 따르면 바이러스 JS/Exploit-Messenger는 2월 11일에 발견되었고, 국내에서는 설 연휴가 끝난 2월 14일에 발견되었습니다. 이 바이러스는 스크립트성 바이러스로 Internet Explorer의 보안상의 취약점을 이용하여 전파된다고 합니다. MS측에서는 같은 날에 패치를 발표하였으며 패치파일은 다음에서 받으실 수 있습니다.
Internet Explorer 6.0 보안 패치
Internet Explorer 5.5 SP2 보안패치
Internet Explorer 5.5 SP1 보안패치
Internet Explorer 5.01 SP2 보안패치
직접적인 피해상황은 아직 보이지 않는 이 바이러스는 다음과 같은 메세지를 전송합니다.
---------------------------------------------------------
URGENT -
Go to http://www.angelfire.com/zine2/me1 Now
---------------------------------------------------------
Url은 유동적이며, 위의 메세지를 클릭하면 해당사이트가 오픈되고 자신의 MSN 리스트에 등록된 모든 사람에게 같은 URL이 담긴 메세지를 보내게 됩니다. 다른 사람에게서 오는 위와 같은 메세지는 절대로 클릭하여 열어보지 마시고, 빨리 MS의 패치파일을 받아서 설치하시기 바랍니다.
▶ 인스턴트 메신저 바이러스 주의
네티즌의 커뮤니케이션 수단으로 자리잡은 인스턴트 메신저가 바이러스 확산 통로로 이용되고 있어 이에 대한 대비책 마련이 시급한 것으로 지적되고 있다.
지난 2월 마이크로소프트의 인스턴트 메신저인 MSN메신저를 통해 확산되는 바이러스가 등장한데 이어 10일에는 AOL인스턴트메신저(AIM)를 통해 퍼지는 바이러스(W32.Aphex@mm)가 발견됐다.
이들 바이러스는 파일 파괴 등 심각한 피해는 일으키지 않지만 인스턴트 메신저의 사용자 목록에 등록된 모든 사람에게 바이러스가 포함된 메시지를 발송하기 때문에 확산속도가 매우 빠르다.
또 컴퓨터 사용자들이 이 인스턴트 메신저 바이러스에 대해 잘 알지 못해 감염피해가 자주 발생하며, 한꺼번에 많은 메시지를 발송하기 때문에 네트워크 속도도 떨어져 업무효율도 저하된다.
e메일과 MSN메신저로 동시에 전파되는 바이러스도 기승을 부리고 있다.
감염되면 하드디스크의 파일을 삭제하는 마이라이프(Win32/Mylife.worm)나 첨부파일을 실행하지 않아도 감염되는 알리즈(Win32/Aliz.worm) 등이 이러한 바이러스다.
인스턴트 메신저를 통한 바이러스가 문제를 일으키면서 몇몇 기업에서는 아예 인스턴트 메신저 사용을 금지하고 나섰다. KT는 올들어 사내에 인스턴트 메신저 서버를 설치하고 자체 인스턴트 메신저 이외의 인스턴트 메신저 사용을 금지했다. 한글과컴퓨터도 모든 인스턴트 메신저 사용을 금지했다가 직원들의 반발로 한달간 유예기간을 두기로 했다.
문제는 인스턴트 메신저 바이러스를 막기가 쉽지 않다는 것. e메일의 경우 사내 전자우편 서버에서 바이러스를 원천적으로 차단할 수 있지만 인스턴트 메신저는 서비스 제공업체의 서버를 경유해 전달되기 때문에 바이러스 차단이 어렵다.
자신의 컴퓨터에 들어오는 파일을 실시간으로 검사하는 백신프로그램의 시스템 감시기능을 이용하면 인스턴트 메신저 바이러스를 막을 수 있지만 초보자에게는 설정과정이 쉽지 않다. 인스턴트 메신저 전용 프락시 등 인스턴트 메신저 바이러스를 원천 차단하는 기술이 개발되고 있지만 상용화는 내년 이후에나 가능할 것으로 보인다.
안철수연구소의 한 관계자는 “기업에서 인스턴트 메신저를 업무용으로 사용할 경우는 방화벽 뒤에 인스턴트 메신저 프로그램을 설치해야 하며, 보다 적극적인 방법으로는 허가받지 않은 인스턴트 메신저의 접속을 거부하도록 방화벽을 구성하는 것이 있다”고 예방책을 설명했다.
▶ 인터넷 메신저도 '웜' 표적
인터넷 메신저의 사용인구가 급속도로 늘어나고있는 가운데 메신저를 통해 퍼지는 바이러스나 웜이 창궐하고 있다.
15일 보안 전문가들에 따르면 최근 e-메일을 통해 확산되는 웜이 극성을 부리고있는 상황에서 이제는 인터넷 메신저 프로그램 마저도 바이러스나 웜 등 악성코드의표적이 되고 있다.
지난 14일 국내에 발견된 ‘JS/Exploit-Messenger’라는 웜은 마이크로소프트(MS)사의 MSN 메신저를 통해 급속도로 퍼져나갔다. 이날 오후 5시 현재까지 이 웜에 감염됐다는 신고가 국내 정보보안 업체인 안철수연구소와 하우리에 각각 50건이 넘게 접수됐다. 이처럼 메신저를 통해 웜이 신속하게 확산되는 이유는 메신저가 보안에 취약하기 때문이다.
일반적으로 메신저는 컴퓨터 운영체제인 윈도가 시작할때 자동으로 시작하도록 설정해놓은 경우가 많고 또한 등록돼 있는 친구가 보내주는 내용이어서 e-메일보다 의심을 덜하게 된다.
▲메신저 웜의 특징 = 메신저를 통해 퍼지는 웜은 웜에 감염된 파일을 전파하거나 메신저 창에 인터넷주소(URL)를 나타낸다. 감염된 파일을 다운받거나 메신저 창에 나타난 인터넷주소를 클릭하면 감염된다.
▲그동안 발견된 웜의 종류 = 지난해 6월 MSN을 통해 확산되는 Choke가 국내에서 처음으로 발견됐으며 이어 8월에는 역시 MSN을 통해 퍼지는 Newpic이 국내에 등장했다. 해외의 경우 국내보다 앞서 지난해 4월 FunnyFiles가 발견됐다. 이 웜은 ‘I have a file for u. its real funny’라는 메시지와 함께 HELLO.EXE 파일을 보낸다. 지난해 6월 ICQ 메신저를 사용하는 사용자들에게 ‘Win-Trojan/Stealer.7168’라는 웜이 확산됐다. 이 웜은 사용자 정보를 수집해 또다른 사용자에게 보내기 때문에정보 유출 위험이 높다.
▲메신저 웜의 피해 = 지난 14일 국내에 발견된 JS/Exploit-Messenger는 일종의스팸메일 성격이어서 이 웜을 감염시키는 인터넷주소를 다른 사용자에게 보내는 것말고는 특별한 피해가 없다.
하지만 메신저 웜은 유통되는 경로만 다른 뿐 시스템을 파괴하거나 정보를 빼내는 등 일반 웜, 바이러스 등 악성코드와 똑같은 피해를 유발할 수 있다.
▲대처방법 = 설치된 백신 프로그램의 감시기능을 켜놓고 있으면 메신저로 퍼지는 웜 등 악성코드에 감염된 파일을 다운받을 때 자동으로 검사해준다. JS/Exploit-Messenger와 같은 웜의 경우 감염경로가 파일을 다운받는 것이 아니라 인터넷주소 메시지를 클릭하는 방식이다. 따라서 일단 영어로 된 수상한 내용의 경우 클릭하지 말고 곧바로 메신저 창을닫아버려야 한다. 감염됐을 경우는 백신으로 치료해야 한다.
안철수연구소 시큐리티대응센터의 조기흠 실장은 “메신저를 통해 확산되는 웜이나 바이러스가 앞으로 더욱 기승을 부릴 것으로 예상된다”며 “이러한 웜이나 바이러스는 일반 웜이나 바이러스와 유통 경로만 다를 뿐 동일한 피해를 유발할 수 있다는 점에서 주의를 해야 한다”고 말했다.
▶ MSN 메신저 바이러스 기승
마이크로소프트(MS)의 MSN 메신저를 타고 전파되는 신종 웜 바이러스 ‘JS.익스플로잇’이 국내에 급속히 확산되고 있다.
지난 11일 외국에서 처음 발견된 ‘JS/익스플로잇(JS/Exploit-Messenger)’은 컴퓨터 사용이 적은 설 연휴 때는 별다른 피해가 없다가 연휴가 끝나는 14일 오전부터 국내에서 급속히 확산되고 있다. 특히 MSN을 사내 커뮤니케이션툴로 이용하는 사용자들을 중심으로 피해가 크게 확산되면서 14일 오후 2시 현재 안철수연구소와 하우리에 피해신고가 각각 58건과 40건이 접수됐다.
백신업체들에 따르면 이 바이러스는 MS 인터넷 익스플로러의 보안상 취약점을 이용해 MSN 메신저로 전파되는데, ‘URGENT-Go to www.angelfire.com/zine2/me1(또는 www.popupad.net/zine2/me1)’라는 메시지를 보내며 이 주소로 접속할 경우 감염되는 것이 특징이다.
감염된 경우 사용자의 시스템을 파괴하거나 오작동 등의 위험은 없지만 res://mshtml.dll/blank.htm이라는 페이지가 열리며, 대화상대 중에서 현재 온라인에 있는 사람들에게 같은 메시지를 보낸다. 또 인터넷주소(URL)를 클릭하지 않더라도 메시지가 떠 있는 창 내부를 클릭하면 자동으로 HTML 코드가 실행되므로 반드시 ‘닫기 버튼(x 버튼)’을 눌러 창을 없애야 한다.
하우리 권석철 사장은 “기존에 발견된 인스턴트 메신저용 바이러스는 사용자가 메시지 내용을 확인한 후 직접 복사해 붙여 넣는 능동적인 형태였던 반면 이 바이러스는 웹사이트 접속만으로 자동 실행되도록 제작된 새로운 ‘인스턴트 메시지 스팸(Instant Message SPAM)’”이라며 “폭넓게 이용되는 메신저 프로그램의 취약점을 악용해 전파된다는 특성상 사용자들의 각별한 주의가 필요하다”고 말했다.
MS는 이 바이러스에 대응하기 위해 지난 11일 인터넷 홈페이지(www.microsoft.com/windows/ie/downloads/critical/q316059/default.asp)에 인터넷 익스플로러에 대한 패치를 발표했다. 패치 업데이트를 하면 MSN 주소록에 있는 사용자에게 메시지가 자동 발송되는 증상은 막을 수 있다.
MS의 MSN 메신저를 이용한 바이러스는 지난해 4월 헬로우웜(Win32/Hello.10240.worm)이 처음 발견된 이후 초크(Choke), 뉴픽(Newpic) 등이 발생했다.