언젠가, 컴퓨터 바이러스도 그 특징이 나라마다 다 다르다는 말을 들어본 것 같다. 기억나기로, 북한 컴퓨터 바이러스의 특징은 부트 데이터를 지워버리거나 다른 데이터로 덮어서 시스템이 원활하게 돌아갈 수 없도록 해놓고 나간다는 것이 특징이라 했던 것 같다. 필자는 악성코드 분석을 많이 해본 것도 아니고, 그 분야로는 거의 모르기 때문에 나라마다 바이러스 특징이 있다는 말이 진짜인지는 모르겠다. 하지만 바이러스에 관한 글을 보고 들으며 여러 바이러스를 접해온 입장에서 그 말도 어느 정도 맞다고 생각한다. 특히, ‘나는 대륙의 바이러스요’라고 대륙의 스케일을 단적으로 잘 보여주는 바이러스가 존재하니, 오늘은 그 바이러스에 관해 이야기해볼까 한다.
중국은 그 놀라운 땅덩어리와 인구수만큼 컴퓨터 바이러스도 엄청나다. 엄청나다는 것이 무슨 의미냐 하면, 바이러스에 걸렸을 때도 중국발 바이러스인 경우가 많았고, 실제로 중국인 사용자들을 노리는 컴퓨터 바이러스도 많아 여러 의미로 바이러스의 핫플레이스라고 말하고 싶다. 어느 한 기관에서는 중국의 정보보안 관련 상황을 살펴보고자 분야별로 나눠 조사한 결과, 2014년에 중국에서 새로 발견한 바이러스가 1억 4,500만 개였다고 말했다. 또한, 2012년서부터 컴퓨터 바이러스 감염 사례는 매년 늘어나 무려 41%나 급증한 적도 있고, 컴퓨터 사용자 1인당 1년에 평균 35.65회에 걸쳐 바이러스 감염 피해를 당하였다고 한다.[1] 그만큼 많은 사람이 컴퓨터 바이러스에 크게 노출되어있다는 이야기다. 반대로 그들이 만들어 퍼트리는 컴퓨터 바이러스의 위험성도 오래전부터 경계의 대상이 되었다.[2] 미국과 일본도 중국산 바이러스에 혀를 내두를 정도고[3] 특히, 중국과 민간 교류가 많은 국내에서는 중국으로부터 일부가 유입되어 여럿 더 피해를 보고 있는 것으로 생각된다. 예를 들어, 중국어로 되어있는 이메일이라던가 광고 팝업 창 등 트로이와 애드웨어 중심의 악성코드가 주로 나타나며[4][5], 전 세계를 강타한 님다(Nimda)와 코드레드도 중국산일 가능성이 크다고 보고 있다.[6] 그만큼, 컴퓨터 바이러스에 관해서 이야기 할 때, 중국을 빼놓고 말하기란 쉽지 않다.
따라서 오늘 이야기 할 악성코드 Whboy 바이러스도 컴퓨터 바이러스의 메카 중국에서 온 녀석이다. 2006년도 초, 중국 전역을 2년 가까이 유유히 떠돌아다니며 수백만 대의 컴퓨터를 감염시켰고, 상하이 정보 기술 서비스 센터 (Shanghai Information Technology Service Center)에서는 이 바이러스를 최고 수준의 위협으로 분류했다.[7] 개인 사용자는 물론, 정부 기관, 기업 등 가리지 않고 감염되어 피해자가 속출했고 중국 정부는 분노에 차 처음으로 악성코드 유포자 체포에 나서기도 했다. 이 바이러스는 Whboy 바이러스가 정식 명칭이지만, Fujacks 혹은 Win32/DellBoy라고도 알려졌기도 하다.[8][9]
이 바이러스에 감염되면 감염된 프로그램의 아이콘을 joss-stick을 가지고 있는 팬더의 그림으로 바꾼다. 그림만 바꾸는 것이 아니라 보안 관련 프로세스를 중지하거나 종료하고, .exe .dll 등의 프로그램 동작과 관련된 응용 프로그램들을 바꾸어 버린다. 파일이 바뀌면 바뀐 파일은 삭제되거나 다른 곳으로 옮겨지는데, 그런 식으로 파일을 감염시키며 서서히 시스템을 장악한다.[10][11] 그러다 결국에는 시스템이 실행되는 데 필요한 파일들까지 건들게 되면서 부팅도 할 수 없고 블루 스크린을 표시하거나 하드 드라이브 데이터를 날려버린다.[12] Windows XP는 windows\system32\driver\spoclsv.exe라는 파일이 생성된다는 데, 만약 감염될 경우 네트워크와 USB 사용은 자제하는 것이 좋다.[13]
시스템에서 감염된 파일이 증가하고 퍼져 나가는 것이 특징이라 자칫 잘못 백업하면 바이러스도 함께 백업 될 수 있었기 때문에 백업도 조심해야 했다. 또한, 이 바이러스에 감염되면 사용자 계정을 탈취하는 트로이목마를 드랍하거나 다운로드하기도 한다.[14] Whboy 바이러스는 컴퓨터 바이러스가 아닌 거의 웜 형태의 기생 바이러스로 분류되기 때문에 PC가 감염되면 다른 컴퓨터로도 빠르게 감염되었다. Whboy 바이러스는 크게 USB와 네트워크를 통해 감염된다.[15] 앞서 얘기한 것처럼 USB의 경우, 악성 USB가 컴퓨터에 연결되는 순간 컴퓨터는 감염되고, 감염된 컴퓨터에 연결된 정상적인 USB에는 악성 파일이 만들어진다고 한다. 네트워크를 통해 감염되었다는 사람들은 웹에서 다운로드할 때 같이 들어온 것이거나[16], P2P를 통해서 감염되었을 것으로 보고 있다.[17] 또한, 감염된 상태에서 네트워크에 연결되면 system folder\GameSetup.exe처럼 시스템 폴더 안에 GameSetup.exe 파일을 복사하고 현재 사용자의 이름과 암호를 간단하게 바꾸어 버린다.[18]
이 바이러스는 결국 중국 정부의 분노를 일으켰고, 최초로 악성 프로그램 유포자를 체포하게 된다. 이 바이러스 확산에 가담한 20대의 8명의 남성이 체포되었고, 그 중 25세의 해커 리준 (Li Jun)은 이 바이러스를 만들어 엄청난 비난을 샀다. Li Jun은 Whboy 바이러스를 120명 이상에게 판매하며 약 13,000달러를 벌었고, 체포된 당시 Whboy 바이러스 외에도 또 다른 세 가지의 바이러스를 만든 혐의로 기소되었다. 붙잡힌 다른 5명의 용의자는 Whboy 바이러스를 포함하여 다양한 바이러스를 퍼뜨린 혐의를 받고 있으며, 그들은 또한 컴퓨터 게임과 관련하여 계정 정보를 훔쳐 불법적으로 이익을 얻었다고 한다.[19]
Whboy 바이러스는 중국에서 처음으로 바이러스 유포 때문에 큰 피해를 당하고[20], 직접 유포자를 찾아내게 한 어떻게 보면 중국 바이러스 역사의 시작을 보여준 바이러스이지 않을까 생각된다. 더불어, 중국에서 바이러스가 어떻게 돈이 되고 사용되는지 보여줄 수 있는 사례였지 않나 생각한다. 한 가지 특이한 점은 당시 Whboy 바이러스의 복사본이 호스팅 된 3,500개의 다른 인터넷 웹 사이트에서 발견되었지만, 이 바이러스에 감염된 고객에 관한 보고서를 거의 받지 못했다고 한다.[21] 바이러스가 감염되고, 눈에 안 보이는 증상을 보인 것도 아닌데 어떻게 하나도 못 받았을까.