가장 위험한 악성코드는 무엇일까? 파일을 삭제하는 악성코드? 하드디스크를 포맷하는 악성코드? 가장 위험한 악성코드는 현재 왕성한 활동을 하고 있어 감염되기 쉬운 악성코드이다. 처음 국내에 알려졌을 때 일부에서 ‘거친’으로 해석해 악성코드 중에서도 위험한 악성코드로 오해 받기도 한 와일드리스트에 대해 알아보도록 하겠다.
와일드리스트란?
와일드리스트는 ‘WildList Organization International(WLO)’에서 발표하는 2곳 이상의 지역에 피해를 입히고 있는 악성코드 리스트이다. 조 웰즈(Joe Wells)가 실제 피해를 입히는 악성코드를 정리하다가 11명의 리포터와 함께 1993년 7월에 첫 리스트를 발표한다.

그림 1 최초의 와일드 리스트
원칙상 매달 15일 와일드리스트를 발표되며 현재 80 명 이상의 리포터가 가입되어 있다.
악성코드는 크게 야생 상태라는 의미의 인더와일드(in-the-wild) 샘플과 동물원에 갇힌 동물처럼 백신 회사 외에서는 발견되지 않는 인더주(in-the-zoo) 샘플로 나뉠 수 있다. 대부분의 악성코드 샘플은 제작자가 만든 후 백신 회사로 보냈거나 과거 퍼져도 소수의 감염사례를 내고 곧 멸종된 경우가 대부분이다.
1995년부터 와이드코어(WildCore)라는 와일드리스트 샘플을 제공하며 2곳 이상에서 발견되고 실제 활동하는 악성코드로 검증되어 현재 와일드 리스트는 백신 프로그램의 테스트와 인증을 위해 사용되고 있다.
와일드리스트는 백신 프로그램 성능 테스트를 위해 가장 공정한 것으로 생각되어 사용되지만 다음 사항을 알아 둘 필요가 있다.
첫째, 사용자에게 발견되는 모든 악성코드가 집계되지 않고 보고자에 보고되는 악성코드만 집계된다.
둘째, 보고자가 속한 회사에서 진단하는 악성코드만 보고된다.
첫째, 사용자에게 발견되는 모든 악성코드가 집계되지 않고 리포터에 보고되는 악성코드만 집계된다. 일반에 많이 퍼져도 진단/치료에 문제가 없는 악성코드의 경우 보안회사로 보고되지 않는 경우가 많다. 이에 따라 보고자에게 정보가 가지 않는 악성코드가 존재할 수 있다. 최근에 몇 몇 업체는 사용자 컴퓨터에서 진단된 악성코드 목록을 받아 통계를 작성하고 있어 이런 문제가 줄어들고 있지만 여전히 사용자 신고나 문의 오는 샘플로 집계하는 업체는 실제 퍼진 게 아닌 진단/치료에 문제 있는 악성코드가 집계될 수 있다.
둘째, 보고자가 속한 회사에서 진단하는 악성코드만 보고된다. 만약 어떤 악성코드가 광범위하게 퍼졌지만 보고자가 속한 회사 제품에서 진단 못하는 악성코드라면 와일드리스트에 집계 되지 않게 된다.
와일드리스트 한계론 혹은 무용론
현실적인 요인으로 여러 테스트에서 와일드리스트 샘플이 주로 사용되고 있다. 하지만, 와일드리스트에 대한 한계론 혹은 무용론도 계속 주장되고 있다.
와일드리스트에 대한 한계론 혹은 무용론은 크게 다음과 같다.
첫째, 악성코드 양상이 바뀌었지만 와일드리스트는 자기 복제 능력이 있는 바이러스나 웜 위주이다.
둘째, 악성코드 수가 급격히 증가하고 지역화가 진행되었다.
셋째, 와일드리스트 공개될 때 구식 자료가 된다.
넷째, 와일드 리스트 이외의 악성코드도 사용자들이 많이 감염된다.
첫째, 악성코드 양상이 바뀌었지만 와일드리스트는 자기 복제 능력이 있는 바이러스나 웜 위주이다. 처음 와일드리스트가 발표된 건 1993년으로 대부분 파일을 감염시키는 컴퓨터 바이러스들이었다. 하지만, 현재 80-90%는 자기 복제 능력이 없는 트로이목마류로 이들은 와일드리스트에 집계가 안 될 수 있다.
둘째, 악성코드 수가 급격히 증가하고 지역화가 진행되었다. 1993년 컴퓨터 바이러스의 전파 경로는 플로피 디스크가 주였고 당시에는 매달 발견되는 악성코드 수도 현재에 비하면 상대적으로 훨씬 적었고 확산 속도도 느렸다. 하지만, 1996년 문서 파일을 감염시키는 매크로 바이러스의 출현은 예전보다 빠른 확산 속도를 보여주고 보다 광범위하게 퍼졌다. 2004년부터는 엄청난 악성코드가 증가하기 시작하며 2009년 현재 악성코드들이 과거처럼 전 세계로 퍼지는 경우는 드물고 특정 지역에서 짧은 시간 활동하다가 사라지는 경향을 보이고 있다. 2곳 이상 한달 내내 감염보고가 되는 악성코드를 집계하기에는 환경변화가 많아 졌다.
1996년 6월 와일드리스트를 보면 세계 여러 곳에서 발견된 악성코드가 다수 존재하지만 2009년 6월 와일드리스트를 보면 대부분 2곳이며 많이 발견되어야 4-5곳이다.

그림 2 1999년 6월 와일드리스트

그림 3 2009년 6월 와일드리스트
셋째, 와일드리스트 공개될 때 구식 자료가 된다. 와일드리스트는 한 달에 한번 발표되는데 발표될 때 이미 자료가 공개될 때는 이미 40-70일 전에 활동하는 악성코드들이다. 이 자료가 테스트에 사용될 때 백신 제품은 두 달 이상의 과거 샘플로 테스트하는 것과 같다. 하루에 몇 만개씩 나오는 현재 상황과 비교하면 발표되는 와일드리스트는 너무 구식자료이다.
넷째, 와일드 리스트 이외의 악성코드도 사용자들이 많이 감염된다. 와일드리스트는 모든 실제 퍼져있는 악성코드를 포함하고 있지 않으며 집계에 빠져있는 악성코드가 많을 수 있다.
와일드리스트의 변화
와일드리스트만 잘 진단하는 백신 프로그램은 사용자에게 안전할까? 와일드리스트를 1-2개 놓치는 제품은 형편 없을까? 이런 질문에 쉽게 답을 해줄 수는 없다.
악성코드의 지역성과 단기 생존을 하고 있는 현재 와일드리스트 회의론자들은 더 이상 와일드리스트가 불필요하다고 생각할 수 있다. 악성코드의 변화는 빠른 속도로 이뤄지지만 와일드리스트는 그 변화만큼 바뀌지는 않고 있다. 이에 와일드리스트도 다양한 악성코드의 집계와 실시간 통계가 요구되고 있다. 하지만, 와일드리스트는 최소한 주의해야 할 악성코드가 무엇인가를 나타내주는 좋은 자료이기도 하다.@
참고자료
[1] Joe Wells, ‘The wildlist’, Virus Bulletin Conference, September 1994
[2] David J. Stang, ‘In pursuit of prevalence : A look at in the wild’, Virus Bulletin Conference, October 1997
[3] Shane Coursen, ‘Taming the wildlist’, Virus Bulletin Conference, October 1998
[4] Shane Coursen, ‘Reviewing What’s in the Wild’, Virus Bulletin, December 1998, pp.11-12
[5] Dr Vesselin Bontchev, ‘The wildlist – still useful?’, Virus Bulletin Conference, September 1999
[6] Mary Landesman, ‘The Wild Wildlist’, Virus Bulletin July 2007, p.2
[7] Andreas Marx & Frank Dessmann, ‘The Wildlist is dead, Long live the wildlist!’, Virus Bulletin Conference, September 2007