보안소식 - Antinny웜 의 피해 :: 2006. 8. 16. 01:23


일명 '위니웜'이라고 불리는 'Antinny 웜'은 현재 '정보 폭로형 웜'으로 알려져 있지만 최초 발견된 2003년 당시에는 일본어 운영체제를 대상으로 일본어에 의한 가짜 에러메시지를 보이거나 위니의 캐시 폴더내의 모든 파일을 삭제하는 기능으로 한정되어 있었다. 그러던 것이 2004년 들어 데스크톱 이미지를 캡쳐해 화면을 송신하거나 각종 정보를 유출하는 변종이 등장한 것이다.

2006년 2월경 일본에서는 군사기밀이 P2P파일교환 프로그램인 위니(Winny)를 통해 유출된 사건이 발생했다. 유출된 자료는 정보 중요도 '비'등급에 해당하는 해상자위대의 호위함 '아사유키'의 극비자료로 알려졌으며, 구체적으로는 자위함의 콜사인, 활동기록, 훈련계획 등 기밀정보가 포함되 있었고, 심지어는 자위대의 일부 함정 배수량, 무장상태, 위성 시스템 주소, 탑승인원에 대한 정보까지도 있던것으로 알려졌다. 이로인하여 일본 해상자위대는 난수표 및 암호등을 대대적으로 교체하는등 한바탕 소동을 벌였다. (※방위청은 정보의 중요성이 높은 순으로 ‘기밀’, ‘극비’, ‘비’의 3단계로 지정하고 있다.)

이후에도 이와 비슷한 정보유출이 해상자위대에서 4~5번 더 있던것으로 조사되었고, 육상 및 항공자위대에서도 정보유출이 있었다는 사실이 방위청의 조사결과 밝혀졌다. 이로써 방위관련 정보유출문제는 일본의 육,해,공군의 전 자위대로 확대되는 사태로 발전했다. 육상과 항공자위대의 정보유출은 육상자위대 3건, 항공자위대 1건으로 내용은 훈련계획 및 대원명부 등 개인정보가 유출된 것으로 알려졌으며 기밀에는 해당하지 않는 정보로 알려졌다.

이뿐만 아니라 JAL 항공에서도 유사한 사건이 일어나는 등 그 파장이 일본 사회 각계로 확상되었고, 이후 다른 기업에서도 유사 문제가 발생하고 있다. 2006년 3월경 NTT 서일본은 고객정보 및 업무관련 파일이 위니를 통해 유출되었다고 발표했으며, 모 보안업체 역시 2005년 3월경 영업자료가 유출되는 사고가 발생했다.

위와같은 정보유출 사건은 모두 '아사유키’의 경우처럼 업무용 정보와 데이터를 CD, USB 등의 보조기억매체로 가지고 나와 위니가 설치되어 있는 자택의 개인용 컴퓨터에서 작업하던 중 ‘Antinny웜’에 감염된 결과 인터넷에 유출됐다는 분석이다.

안티니 웜(일명 위니 웜)은 일본에서 제작된 것으로 추정되며, 위니를 통해서만 전파되고 치료방법으로는 안랩재팬에서 무료로 제공하는 ‘안티니 웜’을 진단/치료하는 전용백신(V3KILL for Win32/Antinny.worm – ‘V3KILL’은 안철수연구소 전용백신의 브랜드명)을 이용하는 된다. 이 전용백신은 위니를 통해 전파되는 안티니 웜을 비롯해 최근 일본내에서 동시에 확산되고 있는 트로이목마(Win-Trojan/Agent.159744.F)를 진단/치료할 수 있으며, 위니의 P2P 실행파일도 진단할 수 있다.

안티니 웜과 그 변종들은 감염된 시스템의 화면을 캡쳐해서 캡쳐된 화면을 위니 공유폴더에 복사하거나 혹은 안티니 웜이 하드디스크 내의 임의폴더를 공유폴더를 지정해 버리기도 하며, 일본어 파일명의 DOC, XLS, PPT, PDF, DBX, TXT 확장자를 ZIP으로 변경해 위니의 공유폴더에 복사하는 특징을 갖고 있다. 이 복사된 화면이나 파일들은 모두 공유프로그램을 통해 다른 사람들이 다운로드할 수 있기 때문에 개인정보의 유출 위험성이 매우 높은 상황이다.

만화 '아프가니스땅'의 작가가 평소 위니를 이용해 만화, 게임등을 다운로드해 즐기던 중 안티니 웜에 걸려 화면이 캡쳐되고 이것이 다른이들에게 알려지면서 '만화를 그리는 창작자가 자기가 그린 만화책도 출판될 사람임에도, 남의 만화를 다운받아서 보고 있었다'는 부분에 대하여 맹렬한 비난을 받는 일도 있었다.

이 글은 코멘트와 트랙백을 이용하실 수 있습니다.