류재림기자 jawoolim@seoul.co.kr
인터넷침해 행위 꼼짝마!
한국인터넷진흥원(KISA) 직원들이 13일 서울 송파구 가락동에 설치된 인터넷침해대응센터 종합상황실에서 인터넷 침해행위 등을 실시간으로 체크하고 있다. 종합상황실은 분산서비스거부(DDoS) 공격 정보, 인터넷서비스사업자(ISP) 트래픽 이상징후, 악성코드 등 각종 위협 정보를 서로 연계해 침해사고 징후 탐지 방법을 획기적으로 개선했다.
류재림기자 jawoolim@seoul.co.kr
류재림기자 jawoolim@seoul.co.kr
은닉 기능 악성코드가 7년 만에 정체를 드러냈다.
은닉 기능 악성코드는 이란 핵시설을 마비시켰던 스턱스넷을 떠올리게 할 만큼 정교하게 만들어진 악성코드다. 2008년부터 각국 정부, 기업, 기관 등을 감시하는 용도로 악용됐다는 사실이 최근에야 알려졌다.
보안업체 시만텍이 최근 발표한 보고서에 따르면 일명 ‘레진(regin)’이라 불리는 이 악성코드는 탐지를 피하기 위해 여러가지 은닉 기능을 가졌다. 사후 분석을 방지하기 위한 안티포렌식 기능과 함께 일반적으로 사용되지 않는 RC5라는 암호화 방식을 쓰고, 암호화된 가상 파일 시스템(EVFS) 등을 활용한다.
레진은 총 5단계로 공격을 수행한다. 전체 과정이 암호화, 복호화를 거쳐 실제 악성행위를 수행하기까지 여러 단계가 복합적으로 작동한다. 각각 단계가 아주 적은 악성코드 정보만 갖고 있어 전체 구조를 파악하기 어렵다.
레진은 공격 대상 시스템에 최적화된 방식으로 비밀번호, 데이터를 훔치는 것은 물론 마우스 포인트와 클릭을 모니터링하고, 스크린 캡처를 통해 기밀정보를 빼낸다. 해당 시스템을 통해 오가는 네트워크 트래픽과 이메일 데이터베이스에 대한 분석도 수행한다.
주요 공격대상은 인터넷 서비스사업자, 이동통신사들인 것으로 추정된다. 해당 회사들의 인프라를 통해서 통화를 포함한 커뮤니케이션 경로를 모니터링하기 때문이다. 이밖에 항공사, 발전소, 병원, 연구소 등도 공격 대상이 된 것으로 시만텍은 분석했다.
네티즌들은 “은닉기능 악성코드 발견, 대단하네”, “은닉기능 악성코드 발견, 무섭다”, “은닉기능 악성코드 발견, 어떻게 이런 일이” 등 다양한 반응을 보였다.
온라인뉴스부 iseoul@seoul.co.kr
