이번 주 초부터 컴퓨터 보안 관련 뉴스에는 살벌한 제목이 눈길을 끌고 있습니다. ‘걸리면 PC사망', ‘포맷해도 못 없애는 바이러스’ 이런 류의 제목으로 많은 매체에 2090 바이러스 소식이 보도됐습니다.

시스템 날짜를 2090년 1월 1일로 바꾸고, 사용자가 되돌려도 다시 그 시간으로 되돌아가기 때문에 이런 애칭이 붙었습니다. 정식 이름은 안티바이러스 업체마다 다르지만 대개 기존 봇의 변종으로 붙였습니다.

보기 드물게 위키피디아에도 2090 바이러스라는 항목이 등록됐습니다. (2월 12일 오후 5시 현재, 위키피디아 삭제 정책에 따라 삭제 대상이라고 표시돼 있네요.)

그 중 눈길을 끄는 부분은 이번 문제가 거의 한국에서만 문제가 되고 있다는 점입니다. 제가 속한 팀의 팀원들이 각국에 흩어져 있는데 일본이나 중국 뿐만 아니라 서구 어느 나라에서도 2090 바이러스 관련 문제가 보고되지 않았다고 합니다. 물론 상황은 언제든 변할 수 있습니다. 당장 오늘 밤 어느 나라에서 무슨 변종이 나올지 모르지요.

안철수연구소와 하우리와 잉카인터넷은 보안 위협 등급을 1~4등급(잉카는 5등급) 중 3등급으로 크게 높이는 등 사용자의 주의를 요청하고 있습니다.

image

 image

image

각 업체의 기술 자료에 의하면 2090 바이러스가 MS08-067 취약점을 이용해 전파하며, USB의 자동 실행이나 공유 폴더를 통하는 전파 방법도 있습니다.

그런데 외국의 백신 업체들도 이번 악성 코드를 시그너처에 포함시키기는 했지만 이 정도로 심각하게 보고 있지는 않습니다. 한국에서만 이렇게 피해가 심각한 이유는 무엇일지 정말 궁금합니다. 특정한 스팸 메일이 이용된 것인지, 윈도우의 언어나 IP 대역을 확인해 한국에서만 특정 동작을 하도록 설계된 것인지 좀 더 조사가 필요합니다.

마이크로소프트에서도 이번 2090 바이러스의 샘플을 분석하니, 최초 검사에서 MS08-067 취약점을 공격하지 않는 것으로 보였었지만 재확인 결과 MS08-067을 공격하는 것으로 밝혀졌습니다. 마이크로소프트에서는 Backdoor:Win32/IRCbot.CK라고 이름을 붙였습니다.

2090 바이러스의 피해가 얼만큼 확산될 것인지 우려됩니다.