플레임 변종 멀웨어 '미니플레임' 발견

일반입력 :2012/10/18 11:22

손경호 기자

최근 중동지역에서 자주 출몰하고 있는 멀웨어 '플레임'이나 '가우스'와 비슷한 모듈구조, 코드베이스, 통신시스템을 사용하는 '미니플레임'이 발견됐다. 기존 플레임이 공격대상을 감염시키는 역할을 한다면 새로 알려진 멀웨어는 실제로 필요한 정보를 수집하거나 감시하는 기능을 수행하는 것으로 나타났다.

17일(현지시간) 외신은 카스퍼스키랩이 보안기술 동향을 소개하는 '테크니컬 페이퍼 먼데이'를 인용해 이 같이 보도했다.

카스퍼스키랩은 플레임과 가우스와 활동하는 동안 미니플레임은 데이터를 유출하고, 감염된 시스템에 직접 접속하기 위해 설계된 (용량이) 작고 기능적인 스파잉 모듈이라고 설명했다.

이 회사는 지난 5월 플레임에 대해 보고했고 이어 지난달에는 가우스가 발견됐다고 밝혔다. 이들은 중동 지역에서 기밀유출과 사이버테러를 위해 고도로 복잡하게 설계됐다.

미니플레임은 플레임의 C&C서버를 분석하는 과정에서 발견됐다. 플레임과 가우스에 감염된 PC는 이 멀웨어를 다운로드 한다.

카스퍼스키랩은 블로그를 통해 미니플레임은 플레임과 가우스 모두에서 발견되고 있다는 것은 이들이 모두 같은 사이버 무기공장에서 만들어졌다는 사실을 의미한다고 밝혔다.

플레임과 가우스는 최소 1만개의 기간시설의 시스템을 감염시킨 것으로 알려졌다. 미니플레임은 서아시아 지역에서 수십개 수준으로 발견됐다. 적은 감염수에 대해 카스퍼스키랩은 미니플레임이 높은 정확도를 보이는 정교한 공격을 할 수 있는 툴이라서 그렇다고 말했다. 공격자들이 보다 정교한 공격을 수행할 수 있도록 특별한 목표를 대상으로 개발됐기 때문에 감염수 자체는 적다는 말이다.

카스퍼스키랩은 플레임과 가우스가 스턱스넷, 듀큐와 같은 사회기간시설망 혹은 기밀에 해당하는 정보를 수집하기 위해 사용됐다고 밝혔다. 이들은 이란과 팔레스타인 등 중동 지역을 목표로 하고 있다. 뉴욕타임스는 미국과 이스라엘 정부가 이란의 핵프로그램을 무력화하는 것을 목표로 비밀리에 운영해왔다고 보도한 바 있다.

미니플레임은 지난 2007년부터 올해까지 개발, 배포돼왔다고 카스퍼스키랩은 설명했다. 또한 작년까지만 해도 발견된 수가 6개에 그쳤으나 플레임과 가우스 등에 활용할 목적으로 수십개의 변조된 멀웨어가 나올 가능성이 높다.

관련기사

현재 이 멀웨어의 변종은 레바논, 팔레스타인, 이란 , 쿠웨이트, 카타르 등에서 발견되고 있다. 플레임은 이란과 수단에, 가우스는 레바논 지역에서 주로 사용됐다. 미니플레임은 웹브라우저에 사용되는 어도비플래시와 같은 일종의 플러그인과 같은 개념인 셈이다.

카스퍼스키랩은 플레임, 가우스, 미니플레임은 중동에서 발생하고 있는 대규모 사이버 첩보 영역에 활용되고 있으나 공격자들의 본래 목적이 뭔지는 여전히 보호하고 희생자와 공격자가 누군지도 정확히 파악되지 않고 있다고 밝혔다.