데이터 탈취나 산업스파이 활동에 쓰여...10여개 중동 국가에서 발견 카스퍼스키랩, “2010년에 제작 추정...500KB에 LUA 언어로 쓰여져”


[보안뉴스 호애진] 최근 이란을 비롯한 중동국가에서 복잡하고 정교하게 만들어진 신종 악성코드가 발견됐다. 이는 국가 주요 기반시설의 제어 시스템을 공격해 파괴하는 악성코드인 스턱스넷이나 변종인 듀큐와 유사한 것으로 알려지면서 중동에 긴장감이 고조되고 있다.

28일(현지시각) 이란 CERT는 최근 이란에서 발생한 데이타 손실사고들이 플레이머(Flamer)라고 불리는 신종 악성코드 때문인 것 같다고 밝혔다. 또한, 이 악성코드가 스턱스넷이나 듀큐와 같이 산업스파이 활동에 쓰이는 것으로 보인다고 덧붙였다.

카스퍼스키랩은 해당 악성코드를 플레임(Flame)으로 명명하고, 이 악성코드가 요르단강 서안, 수단, 시리아, 레바논, 사우디아라비아, 이집트 등 10여개 국가에서 컴퓨터를 감염시킨 것으로 파악됐다고 주장했다.

또한, 스턱스넷이나 듀큐와 비슷하지만 다른 특징을 가지고 있으며, 이 두 악성코드보다 더 복잡하고 정교하게 만들어져 있다고 밝혔다.

카스퍼스키랩에 따르면 플레임은 다수의 개별적인 모듈로 이뤄졌으며, 대규모 공격용 툴킷이다. 악의적인 활동을 다양하게 수행할 수 있으며, 주로 데이터 탈취나 산업스파이 활동과 연관돼 있다.

특징 중 하나는 컴퓨터의 마이크로폰을 이용해서 대화를 녹음할 수 있으며, 특정 애플리케이션이 사용 중일 때 스크린샷을 찍을 수 있고, 키스트로크를 저장하며, 네트워크 트래픽을 스니핑 할 수 있다.

카스퍼스키랩의 악성코드 전문가인 비탤리 캄룩(Vitaly Kamluk)은 “이 툴킷의 첫번째 버전은 2010년에 제작됐으며, 이후 모듈 구조를 변경시켜 그 성능을 확대시킨 것으로 추정하고 있다”고 밝혔다.

크기면에서도 단연 돋보인다. 무려 500KB에 달한다. 결합된 컴포넌트의 크기만 20MB가 넘으며, 한 파일만 6MB가 넘는 것도 있다.

흥미로운 점은 플레임의 일부가 LUA 언어로 쓰여져 있다는 것이다. 이는 악성코드 제작에 흔히 쓰이는 프로그래밍 언어는 아니고, 게임 산업에서 많이 쓰인다. 캄룩은 LUA로 쓰여져 있는 악성코드는 플래밍 외에 본 적이 없다고 강조했다.

또한, 플레임은 휴대용 USB 기기 등으로 자기 자신을 복사해 전파하는 기능을 가지고 있으며, (스턱스넷과 같이) 지금은 패치된 마이크로소프트 윈도우 프린터 취약점을 이용한다.

캄룩은 해당 악성코드가 제로데이 취약점을 이용하고 있다는 증거는 아직 발견하지 않았지만 최신 보안 업데이트가 된 윈도우 7 운영체제의 컴퓨터를 감염시킨 것으로 알려졌기 때문에 가능성을 배제할 수 없다고 설명했다. 또 안티바이러스 프로그램도 우회하기 때문에 그 동안 쉽게 발견되지 않은 것이라고 덧붙였다.
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>