[보안뉴스 권 준] 지난 5월경에 이란 등 중동지역을 중심으로 발견된 플레임(Flame) 악성코드는 컴퓨터 바이러스 역사상 가장 정교하게 제작된 것으로 알려져 있으며, 해당 악성코드는 2010년 3월부터 활동을 시작했던 것으로 추정된다.

이렇듯 가장 정교한 악성코드로 알려진 ‘플레임’과 관련한 기술 분석 보고서가 발표돼 주목받고 있다. KISA 인터넷침해대응센터에서 8월 인터넷 침해사고동향 및 분석월보를 통해 ‘기술적 관점에서 본 플레임 악성코드’라는 제목으로 월간특집 보고서를 발표한 것.

이번 보고서에 따르면 플레임의 주요 기능은 정보 수집으로, 감염 시스템으로부터 녹음 데이터, 문서파일, 화면 캡쳐, 네트워크 정보 등을 C&C 서버로 전송하고, 자기 자신을 네트워크 및 USB 저장장치를 통하여 전파하는 것으로 알려졌다.

이러한 행위와 전파기법은 플레임 악성코드의 제작 목적이 이란 내 고위관리들의 컴퓨터에 잠입하여 핵 개발과 관련된 기밀 사항을 수집하기 위한 것이라는 전문가들의 견해를 뒷받침 해주고 있다는 것.

지난 2010년 이란 ‘나탄즈’ 우라늄 농축기의 원심 분리기 파괴에 이용된 ‘스턱스넷’과 연관성은 현재로서는 명확히 밝혀지지 않았지만, 플레임 악성코드의 일부분이 ‘스턱스넷’ 초기 버전에 사용된 모듈들과 동일하다는 분석결과가 발표되고 있어 악성코드를 이용한 국가 간 사이버공격이 가시화되고 있음을 시사하고 있다고 이번 보고서는 분석했다.

특히, 플레임은 대용량 악성코드임에도 불구하고 최소 2년 이상을 보안 소프트웨어 및 보안 장비에 탐지되지 않고 활동이 지속되고 있었다는 점에서 플레임이 보안 소프트웨어를 우회하기 위한 다양한 장치와 기법을 내장하고 있음을 반증한다고 볼 수 있다.

현재까지 특정 국가의 산업시설을 공격하거나 중요 정보를 수집하기 위해 제작된 APT 형태의 악성코드는 ‘스턱스넷(Stuxnet)’, ‘듀큐(Duqu)’, ‘플레임(Flame)’ 등을 예로 들 수 있다.

한편, 악성코드 ‘플레임’에 대한 이번 분석 보고서 전문은 KISA 인터넷침해대응센터 홈페이지(http://krcert.or.kr/) 자료실내 동향 및 분석월보 메뉴나 보안뉴스 컨텐츠 코너(http://www.boannews.com/security_contents/info/list.asp)에서 다운로드 받을 수 있다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>