올해 초 전세계를 강타한 베이글(Bagle) 웜의 최신 변종인 이들 웜은 베이글 A~O 등 지금까지 나온 원형이나 다른 변종들과 달리 첨부파일을 직접 열지 않고 e-메일 본문만 열어 보아도 곧바로 감염돼 문제가 심각하다고 전문가들은 경고했다.
18일 하우리[049130] 등 컴퓨터 보안업체들에 따르면 특정 TCP 포트를 통해 전파되는 이들 웜은 e-메일을 열어보면 숨겨져 있는 코드를 통해 특정 링크의 스크립트가 자동 실행되면서 해당 PC를 감염시킨다.
하우리의 한 관계자는 "베이글 P, Q, R은 시간차를 두고 계속 변종이 나타나고있는 점으로 미뤄 동일 인물에 의해 만들어진 것으로 보인다"고 설명하고 "Q형이 발견된지 1시간 뒤 R형도 발견돼 분석작업을 벌이고 있다"고 말했다.
이날 오전 발견된 P형은 숙주 PC로부터 해당 PC로 하드디스크에 악성 파일이 복사되면서 다른 PC를 다시 감염시키는 기생 바이러스 기능이 있으나 5~6시간 뒤 발견된 Q형은 그렇지 않은 것으로 보인다고 하우리 관계자는 설명했다.
이 웜들은 지난해 11월 발표된 마이크로소프트 인터넷 익스플로러와 윈도 미디어 플레이어의 보안 취약점을 이용하기 때문에 PC 사용자들은 업데이트 백신을 이용해 PC를 치료하고 마이크로소프트 웹사이트에서 해당 프로그램의 업데이트와 패치파일을 받아 설치해야 한다고 안철수연구소[053800] 관계자는 설명했다.
베이글 P, Q, R을 전파하는 e-메일은 'Fax Message Received', 'Hidden message’등 다양한 제목이 달려 있으며 마이크로소프트 인터넷 익스플로러의 보안 패치를제대로 하지 않았을 경우 메일을 열면 자동으로 실행돼 감염된다.
패치된 PC에서는 e-메일을 열었을 때 확장자가 HTA인 파일을 내려받아 저장하겠느냐는 메시지가 뜨는데 이 때 '저장하지 않음'을 선택하거나 혹시 저장했더라도 실행하지 않으면 감염을 막을 수 있다.
조기흠 안철수연구소 시큐리티대응센터장은 "모르는 사람이 보낸 영어제목 e-메일은 열어보지 말고 즉시 삭제하는 것이 안전하며 윈도 등의 보안 업데이트를 수시로 해야 한다"고 말했다.
하우리[049130] 관계자는 "사용자들이 자신의 PC가 감염됐는지 알아차리기도 힘들어 상당한 피해가 예상된다"고 말했다.
피해신고 집계결과 베이글 P, Q, R은 지난달 전세계를 강타한 마이둠(Mydoom)웜에 버금가는 속도로 퍼지고 있는 것으로 보인다고 안철수연구소 관계자는 전했다.
국내 최대의 초고속인터넷 업체 KT의 한 관계자는 "아직 인터넷 트래픽 자체에큰 변화는 없으나 필요한 보안조치를 취하고 경계를 강화했다"고 말했다.