[보안뉴스 호애진] 최초의 사이버 무기로 알려진 스턱스넷(Stuxnet)에 이어 듀큐(Duqu), 플레임(Flame)의 계보를 잇는 새로운 악성코드가 등장했다.

가우스(Gauss)로 명명된 이 악성코드는 중동지역, 특히 레바논에서 주로 발견됐으며, 현재까지 수천대의 PC가 감염된 것으로 파악됐다.

전문가들은 가우스가 플레임 악성코드를 제작한 이들과 동일한 세력이 만든 것으로 추정하고 있다. 정부가 직접 나섰거나 혹은 정부의 후원을 받은 집단이 개발한 것으로 보고, 상대 국가를 타깃으로 한 사이버전에 쓸 목적인 ‘사이버 무기’로 간주하고 있다.

카스퍼스키랩에 따르면, 가우스는 최근 발견된 플레임과 유사하다. 동일한 플랫폼을 쓰고 있다는 점, 그리고 모듈 구조로 이뤄져 있다는 점 등이다. 하지만 상이한 부분도 많다. 특히, 가우스는 인터넷 뱅킹 계정정보를 훔친다는 점에서 플레임과 다르다. 그러나 이 악성코드는 해당 정보를 통해 돈을 탈취하지는 않고, 거래 내역을 추적하는 데 그치는 것으로 알려져 있다.

특히, 페이팔(PayPal)과 시티은행을 비롯해 중동 내 다수 은행의 인터넷 뱅킹 계정정보를 가로채며, 인터넷 브라우저 쿠키나 비밀번호뿐만 아니라 소셜 네트워크와 IM 애플리케이션의 계정정보를 훔친다. 가우스는 USB를 감염시켜 이를 통해 정보를 수집한다.

가우스는 스턱스넷이나 플레임과 동일하게 USB를 감염시키고, LNK 취약점((CVE-2010-2568)을 이용하는 것으로 알려졌지만, 최초로 어떻게 감염시키고 이를 확산시키는 지에 대해 정확히 밝혀지지 않았다.

흥미로운 점은 팔리다 내로우(Palida Narrow)라는 이름의 맞춤형 폰트가 설치된다는 것이다. 이 폰트가 왜 설치되는지 여부는 파악되지 않았다. 아울러 페이로드에 대한 의문이 풀리지 않고 있다. 암호화돼 있는 페이로드는 아직까지 어느 누구도 해독하지 못하고 있다. 따라서 현재 알려진 기능 외에도 또 다른 기능이 있을 것이라는 추정이다.

지리학적인 분포도 특이한 점이다. 가우스가 중동지역 중 레바논에서 주로 발견됐기 때문이다. 이스라엘과 팔레스타인에서도 감염이 이뤄졌지만, 레바논에서만 1,660대의 PC가 감염됐다.

한편, 카스퍼스키랩은 가우스가 특정 네트워크에 침투하기 위해 고안된 것일 수 있다고 지적했다. 폐쇄망 기반의 시스템을 공격하기 위해 개발된 악성코드로, 정보 탈취 외에도 ICS나 스카다 시스템을 파괴할 수 있다는 가능성까지 배제하지 않고 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>