침해사고/위협동향

스턱스넷, 듀큐에 이어 ‘플레임’ 등장…진화중인 APT 공격

이민형 기자
[IT 전문 미디어 블로그=딜라이트닷넷]


#1. 2010년 6월 러시아 보안업체인 바이러스블로카다(VirusBlokAda)는 지멘스의 대규모 공정 및 유틸리티 공장에 사용되는 스카다(supervisory control and data acquisition, SCADA) 관리시스템을 공격하는 악성코드를 발견했다고 발표했다.

바이러스블로카다는 해당 악성코드가 1년전부터 활동한 것으로 분석했다. 특히, 스턱스넷은 국가의 기간산업을 타깃으로 한 공격이라는 점에서 세간의 이목을 끌었다. 또 스턱스넷은 프로그램 로직 제어기(PLC)에 들어가 프로그램을 재설계하고 이를 숨기는 능력까지 갖추고 있어 매우 위험한 것으로 알려졌다.

한편 스턱스넷은 USB메모리스틱을 통해 전파됐다. 이 일 발생 이후 보안업계에서는 외부 디바이스에 저장된 데이터를 내부로 복사나 열람할 수 없게하는 솔루션을 내놓기 시작했다.

#2.시만텍은 지난해 10월 스턱스넷과 유사한 악성코드 ‘듀큐(W.32 Duqu)’가 발견됐다고 밝혔다.

시만텍은 'DQ' 파일명을 가진 파일을 생성해 ‘듀큐’로 명명된 이 악성코드의 제작자가 스턱스넷 바이너리는 물론 스턱스넷의 소스코드에도 접근한 것으로 분석했으며, 이를 근거로 듀큐 제작자가 스턱스넷 제작자와 동일인일 가능성이 있는 것으로 보고 있다.

시만텍의 분석에 따르면 듀큐는 스턱스넷과 매우 유사하지만 목적은 다르다. 산업시설에 물리적 피해를 입혔던 스턱스넷과 달리 듀큐는 산업용 제어시스템 제조업체와 같은 조직에 침투해 설계문서 등 핵심 정보 자산을 수집, 향후 제3자에 대한 공격을 보다 쉽게 감행할 수 있도록 준비하는 데 목적을 두고 있다.

듀큐는 스턱스넷 등장 당시의 파급력은 가지지 못했지만, APT 공격이 여전히 성행하고 있음을 다시금 재조명하게 만들었다.


2010년 스턱스넷, 2011년 듀큐에 이어 올해에도 APT 공격에 활용된 강력한 악성코드가 발견됐다.

카스퍼스키랩에서 발견한 플레임(Worm.Win32.Flame) 악성코드는 발견은 최근의 일이지만 약 2년 전인 2010년 3월부터 활동을 시작한 것으로 조사됐다.

특히 이 악성코드는 중동 여러국가에서 활동하고 있는 것으로 보이며, 사이버 스파이 활동을 수행하도록 제작돼 컴퓨터 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화에 이르는 각종 기밀 정보를 탈취한다.

카스퍼스키랩 알렉산더 고스테프는 “이미 플레임의 사이버공격 작전이 개시돼 현재 활성화 단계로 접어든 것으로 보인다”며 “공격자는 은밀한 목표를 달성하기 위해 지속적으로 감염된 시스템을 감시하고 정보를 수집하며 새로운 공격 대상 시스템을 찾고 있다”고 말했다.


플레임은 스턱스넷과 듀큐와 유사하지만 일부 다른 특이점을 지니고 있다. 특정 소프트웨어나 시스템을 공격하는 스턱스넷, 듀큐와 달리 특정 지역을 대상으로 한 공격이다. 중동지방이나 동유럽이 주된 대상이다(상단 이미지, 출처 IT프로).

‘APT(지능형지속가능위협)’ 공격이 위협적인 이유는 ‘타깃공격+제로데이 공격+사회공학적 공격+...’ 등이 복합적으로 합쳐졌기 때문에 탐지하기가 어렵고 규모가 커 막대한 피해를 입을 수 있기 때문이다.

실제 앞서 나온 세 개의 악성코드 모두 알려지지 않은 취약점을 이용한 제로데이 공격이고, 이메일 첨부파일 등을 열람하도록 내용을 조작한 사회공학적인 요소가 포함돼 있으며, 특정 시스템이나 지역을 타깃으로 하기 때문에 발견하는 데 까지 많은 시간이 소요됐다.

이번에 등장한 플레임이 특정 지역에서만 주로 감지된다는 점으로 일부 보안전문가와 군 관계자들은 국가간 사이버전쟁이 막이 올랐다고 주요 외신을 통해 주장하기도 했다.

카스퍼스키랩이 플레임 바이러스에 대한 상세한 내용을 발표한 직후 모세 얄론 이스라엘 부수상은 라디오 방송을 통해 “이란이 핵을 보유하겠다는 위협을 심각하게 생각하는 이들은 이를 막기 위해 별도의 수단을 사용하는 것이 좋다”며 “이스라엘은 첨단기술을 보유하고 있는 축복을 받았으며, 이를 통해 우리는 다양한 가능성을 갖추게 될 것”이라는 의미심장한 발언을 했다.

이란은 APT 공격과 인연이 깊다. 과거 2010년에 등장한 스턱스넷도 이란의 핵시설과 산업시설을 노린 악성코드라는 주장이 나올정도로 이란은 APT 공격에 속수무책으로 당했다. 이번에 등장한 플레임의 활동지역과 감염시도가 주로 중동지역에 초점 잡힌 것에도 주목된다.

이런 상황에서 뉴욕타임즈는 미국 오바마 정부가 이란의 핵시설을 무력화시키기 위해 사이버공격을 진행할 것을 국방부에 주문했다는 사실을 보도했다.

뉴욕타임즈에 따르면 미국와 이스라엘은 공동으로 ‘올림픽게임’이라는 프로젝트를 진행했으며, 스턱스넷은 프로젝트 중 나온 일부의 결과물이다. 양 국가는 이후에도 지속적으로 사이버공격을 감행하기 위해 현재도 프로젝트를 진행하고 있다고 뉴욕타임즈는 전했다.

<관련기사 : Obama Ordered Wave of Cyberattacks Against Iran , 뉴욕타임즈>

이번에 등장한 플레임이 시사하는 것은 APT 공격이 여전히 성행하고 있으며, 이제는 국가대 국가간 사이버전쟁 양상을 띈다는 점이다.

이런 상황에 비춰봤을 때, 휴전중인 우리나라도 결코 안전지대라고 보긴 힘들다. 대비책 마련에 진지한 고민이 필요할 시기다.

[이민형 기자 블로그=딜라이트닷넷]
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널