Home > 전체기사
은닉기능 갖춘 최첨단 스파이웨어 ‘레긴’ 포착
  |  입력 : 2014-11-25 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

시만텍, 기술적 복잡성·맞춤형 페이로드 탑재·정교화된 멀웨어 발견 

전 세계 정부,기간산업·기업·연구기관·개인사용자 대상 스파이 활동

[보안뉴스 김태형] 지금까지 발견된 멀웨어 가운데 가장 정교하고 진화된 정보 탈취 목적의 멀웨어를 포착됐다. ‘레긴(Regin)’으로 명명된 이 멀웨어는 최소 2008년부터 전 세계의 목표물을 대상으로 체계적인 스파이 활동을 펼쳐왔다. 백도어형 트로이목마 바이러스인 레긴은 전례를 찾기 힘들 정도의 기술 수준을 갖춘 복잡한 멀웨어다.

시만텍(
www.symantec.co.kr)에 따르면, 레긴은 타깃에 따라 자유자재로 역량을 조정할 수 있는 맞춤형 멀웨어로, 대규모 감시가 가능한 강력한 컨트롤러로 정부 기관이나 기간산업 기관, 기업, 연구 기관 및 개인을 대상으로 스파이 활동을 펼쳐온 것으로 나타났다.

레긴을 개발하는데 수개월에서 많게는 수년이 소요되었을 것으로 보고 있다. 특히 개발자는 트랙을 감추는데 많은 노력을 기울였을 것으로 추측되고 있으며, 레긴의 역량과 재원의 수준을 고려했을 때 국가에서 사용되는 주요 사이버스파이 수단으로 추측된다. 

시만텍이 발표한 바와 같이, 백도어 레긴은 다단계형 위협으로, 첫 단계를 제외한 각 단계가 암호화되고 감추어져 있다. 첫 단계로 복호(decryption)의 도미노 체인을 시작으로 총 다섯 단계까지 각 후속 단계가 로딩된다. 개별 단계에는 패키지를 완료하기 위한 정보가 거의 주어지지 않는다. 오직 다섯 단계 모두를 획득해야 위협 분석 및 이해가 가능하다.

레긴은 또한 모듈 방식(Modular approach)을 이용하며 타깃에 맞춤화된 특징을 갖춘다. 이러한 방식은 다른 플레이머(Flamer)나 위빌(Weevil) 같은 지능형 멀웨어 계열의 특징이 나타났고, 다단계 로딩 방식은 듀큐(Duqu)/스턱스넷(Stuxnet) 계열과 유사한 특징이다.


시기 및 공격 대상

레긴 감염은 2008년에서 2011년 사이에 다양한 조직들에서 관찰되었다가 갑자기 사라졌다. 2013년부터 새로운 버전의 멀웨어가 지속적으로 나타났으며, 사기업을 포함해 정부 단체 및 연구기관을 목표로 하고 있다. 절반에 가까운 감염 피해가 개인과 중소기업에서 나타났다. 통신사에 대한 공격은 그들의 인프라를 통해 통화에 접속하기 위해 진행되었다. 감염은 지리적으로 다양한 나라에서 나타나고 있으며, 특히 10개 나라에서 주로 확인되었다.


▲ 국가별 레긴 감염 비율

감염 경로 및 페이로드

레긴의 감염 경로는 공격 대상마다 다양하며, 현재 기준으로 재현 가능한 경로는 발견되지 않았다. 시만텍은 피해자들이 유명 웹사이트를 사칭한 사이트에 방문하도록 유도되었을 것으로 보고 있다. 피해자가 웹사이트를 방문하면 공격자들은 웹브라우저나 애플리케이션을 이용해 멀웨어를 설치한다. 실제로 한 컴퓨터의 로그 파일에서 야후! 인스턴트 메시지의 확인되지 않은 공격을 통해 레긴에 감염된 사례를 발견할 수 있었다.

레긴은 모듈 방식으로 공격자들이 필요 시 대상에 따라 사용자 지정 기능을 활용할 수 있는 유연성을 제공한다. 일부 사용자의 페이로드는 매우 정교하고, 특정 분야에서 매우 높은 수준의 전문 지식이 적용되었으며, 레긴 공격자가 사용하는 재원의 수준도 높은 것으로 나타났다.

레긴 페이로드는 수십 가지가 있다. 이 멀웨어는 스크린샷 캡쳐, 마우스 포인트와 클릭 기능, 패스워드 탈취, 네트워크 트래픽 모니터링, 삭제 파일 복구 등의 원격제어 트로이목마(RAT, Remote Access Trojan) 기능을 포함한다.

보다 구체적이고 정교화된 페이로드 모듈은 마이크로소프트IIS 웹서버 트래픽 모니터 및 휴대전화 기지국의 트래픽을 감시하는 프로그램 형태로도 발견되었다.


스텔스 전투기와 같은 은닉 기능

레긴 공격자들은 몇 년간 잠재적인 스파이 캠페인에 지속적으로 사용하기 위해 은닉 기능에 상당한 노력을 쏟았을 것으로 예상된다. 심지어 멀웨어가 발견되는 경우에도 어떤 활동을 하고 있는지 확인하기가 매우 어려운 것이 특징이다. 시만텍은 샘플 파일을 복호화한 후에야 페이로드를 분석할 수 있었다.

이 레긴은 은닉 기술로 유명한 ‘스텔스’기와 유사한 기능들을 가지고 있다. 맞춤화, 암호화된 가상 파일 시스템(EVFS) 및 안티 포렌식 기능과 함께 일반적으로 사용되지 않는 RC5라는 암호화 방식을 쓴다. 레긴은 다양하고 복잡한 방법을 사용해 공격자가 ICMP(Ping) 패킷이나 HTTP 쿠키에 포함된 명령과 사용자 정의 전송제어프로토콜(TCP)및 사용자 데이터그램 프로토콜(UDP) 프로토콜 등을 통해 공격자와 은밀한 소통이 가능하다.

레긴은 매우 정교한 위협으로, 체계적인 데이터 수집 또는 정보 수집에 사용되어왔다. 공격자는 이 멀웨어를 개발하고 운영하는데 상당히 많은 시간과 재원을 투자했을 것으로 보이며, 이는 국가가 개입했을 가능성도 배제할 수 없다. 이 멀웨어는 공격 대상을 지속적이고 장기적으로 감시하기에 최적화 되어 있다.

레긴의 발견은 정보 수집을 위한 툴을 만드는데 얼마나 많은 투자가 지속되고 있는지를 보여주는 단적인 예다. 시만텍은 아직도 레긴의 많은 구성 요소들이 발견되지 않은 채 남아있으며, 추가적인 기능과 버전이 존재할 것이라 보고 있다. 시만텍은 지속적으로 추가 분석을 진행하며, 새롭게 발견되는 정보를 업데이트 할 예정이다.


▲ 산업 부문별 레긴 감염 비율

시만텍의 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “레긴은 매우 복잡하고 정교한 멀웨어로 지금까지 발견된 스파이웨어 중 가장 진화한 형태라 할 수 있다“며, “특히 통신사나 에너지 기업뿐만 아니라, 전체 감염의 48%가 개인 및 중소기업으로 나타났다는 점에서 각별한 주의가 필요하다”고 설명했다. 이에 대한 보다 자세한 정보는 시만텍 블로그와 백서를 통해 확인할 수 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향