[보안뉴스 호애진] 전 세계 정부를 비롯해 외교 및 연구기관을 대상으로 5년여간 사이버 첩보활동을 해온 악성코드가 발견됐다.

이를 처음 발견한 카스퍼스키랩에 따르면, 해당 악성코드는 주로 동유럽, 과거 소비에트 연방 회원국 및 중앙아시아를 비롯한 여러 나라들을 타깃으로 했다. 서유럽과 북미의 국가들 역시 포함돼 있다. 

‘붉은 10월(Red October)’ 혹은 줄여서 ‘로크라(Rocra)’라고 불리는 이 악성코드는 PC뿐만 아니라 스마트폰에서 데이터를 훔치고, 이동식 디스크에서 파일을 절취하는 한편, 이메일 데이터베이스와 로컬 네트워크 FTP 서버를 스캔할 수 있다.

이렇게 얻어진 정보는 다른 시스템에 액세스하는데 사용되는 경우가 빈번하다. 예컨대 훔쳐낸 정보는 패스워드나 구문을 추측할 때 사용할 수 있도록 목록으로 편집됐다.

배후에 있는 공격자들은 여러 나라에서 60개 이상의 도메인 이름과 몇몇 서버 호스팅 지점을 생성했다. 이들 대다수는 독일과 러시아에 위치한 것으로 알려졌으며, C&C 서버의 위치를 숨기기 위한 프록시로 사용됐다.

주요 목표는 정부나 기업, 여타 기관 및 단체들에게 피해를 주는 정보와 문서를 수집하는 것이다. 전 세계 외교 및 정보기관들에 주력하면서도 에너지 및 핵 단체, 상업 및 우주항공 표적들 역시 공격한 것으로 드러났다. 

공격자들의 정체는 현재까지 자세히 밝혀지지 않았다. 그러나 기술적 증거로 봤을 때 소스코드의 주석에 속어 등을 포함한 러시아어가 사용된 것으로 보아 러시아어를 사용하는 사람들인 것으로 추정되고 있다. 알려진 공격 다수가 러시아어를 사용하는 국가에서 발생했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>