보안 정보 보고서 9호 (Security Intelligence Report Version 9, SIR v9) 발간

마이크로소프트가 반년마다 보안 동향을 정리해 발표하는 보안 정보 보고서 (Security Intelligence Report) 9호가 지난 주 발간됐습니다. 긴 이름을 줄여서 SIR v9라고 부르는데요, 이번 버전 9는 2010년 1월부터 6월까지 반년동안 보안 취약점과 악성 코드 동향을 분석해 제공합니다.

MSRT, 즉 마이크로소프트의 악성소프트웨어 제거 도구는 매월 보안 패치가 제공되는 날 함께 배포되어 사용자의 PC를 스캔합니다. 실시간 탐지나 제거 기능이 있는 것도 아니고, 마이크로소프트가 현재 가장 활발한 활동을 한다고 보는 악성 코드 100여 종만을 탐지하고 제거하는 간단한 툴입니다. 이 툴이 실행되고 나면 제거한 악성 코드가 어떤 것이었는지, 사용 중인 운영체제와 서비스 팩, 언어는 어떤 것인지를 마이크로소프트의 통계 서버로 보냅니다. 개인 정보라고 볼 수 있는 내용은 물론 수집하지 않고 IP도 통계 목적으로만 활용합니다. 이 외에도 마이크로소프트 시큐리티 이센셜 (Microsoft Security Essentials, MSE), 포어프론트 클라이언트 시큐리티 (Forefront Client Security, FCS), 윈도우 비스타와 윈도우 7에 포함된 안티스파이웨어 툴인 윈도우 디펜더 (Windows Defender), 그리고 이제는 판매가 중단된 마이크로소프트 원케어 (Microsoft OneCare) 등이 악성코드를 치료하고 마찬가지로 통계 정보를 보냅니다. 이렇게 수집되는 정보의 양이 어마어마한데 이를 정리한 것이 SIR의 상당 부분을 차지하고 있습니다. MSRT는 2010년 상반기 동안 총 32억회가 다운로드되어 실행됐습니다. 월 평균 5억 5천만회 정도 됩니다.

이렇게 분석한 정보에 의하면 국가별 제거 건 수로는 미국이 압도적으로 수위를 차지합니다. 그 뒤로 브라질, 스페인, 한국, 멕시코가 있습니다. 그런데 컴퓨터 숫자가 많은 나라에서 제거되는 악성 코드도 많을 것이기 때문에 이를 정규화(normalize)해 비교하는 것이 마땅합니다. 즉 악성 코드 제거 건 수를 전체 스캔 수로 나눠서, 컴퓨터 1000대 당 몇 대가 감염됐는지를 비교하는 게 합리적이죠. SIR에서는 이를 CCM (computers cleaned per mille)이라고 표현합니다.

이렇게 CCM으로 순위를 매긴 표가 다음과 같습니다.

CCM이 10을 넘는 국가는 이번 반기에 딱 세 나라 뿐입니다. 나머지 나라는 대부분 6 미만입니다. 그래서 언론에 이런 내용이 “한국이 봇넷 감염 1위”라는 내용으로 보도되기도 했습니다.

위 표의 한국을 클릭해 보시면 한국에 대한 자세한 차트가 나옵니다. 보시다시피 Win32/Rimecud라는 악성 코드가 전체 감염 중 절반 정도를 차지하며 압도적으로 높은 감염률을 보이고 있지요. 다른 백신회사에서 Mariposa나 Pilleuz 등으로 명명한 악성코드입니다.

SIR v9에서는 이 밖에도 봇넷 대응, 악성코드 (malware) 분석 정보와 사례 연구, 취약점 추이, 스팸 추이, 위기 관리 등 유용한 내용을 다루고 있습니다.