지난 2010년 영화 ‘다이하드4.0′의 한 장면처럼 국가의 도로교통서비스나 핵 관리시설 같은 기간망을 공격해 화제를 모았던 악성코드 ‘스턱스넷’을 기억하는가. 당시 스턱스넷은 이란 부셰르 원전과 중국 전역 1천여곳의 산업시설을 감염켰다. 이후 ‘듀크’ 같은 변종 악성코드로 발전해, 전세계가 주목해야 할 새로운 보안 위협으로 떠올랐다.
2010년 때 발생한 일이 올해도 반복되려는 걸까. 최근 이란을 중심으로 한 중동 국가에서 스턱스넷이나 듀크와는 비교가 안 될 정도로 정교하게 만들어진 악성코드가 발견됐다. 보안업체 카스퍼스키랩은 5월28일(현지기준) 보안 보고서를 통해 이란 등 중동국가를 중심으로 대규모 악성코드 공격이 이뤄진 징후를 포착했다고 발표했다.
발견된 악성코드 이름은 ‘플레임’으로 스턱스넷과 같이 각 국가의 원자력, 전기, 반도체, 철강, 화학 같은 주요 산업 기반 시설 제어 시스템에 침투해 오작동을 유도한 뒤 시스템을 마비시킨다. 잠복 기간이 최소 2년에서 최대 5년으로 추정될 정도로 악성코드 탐지 시스템을 피해 각 국가 기간망에 잠복해 있었던 것으로 알려졌다. 오랫동안 잠복돼 있던 만큼 수집한 국가기관망 정보도 많을 것으로 예상돼, 실제로 공격이 닥칠 경우 어떤 위협으로 번질지 예측할 수 없는 상황이다.
윤광택 시만텍 이사는 “플레임이 만들어지는 양과 정교함이 기존 스턱스넷과 듀크를 앞선다”라며 “단순히 사용자 아이디와 비밀번호를 수집하는 선이 아닌, 감염된 사실을 들키지 않게 주변 조건을 확인한 뒤 실행한다는 점에서 매우 지능적인 악성코드”라고 설명했다.
과거 스턱스넷과 듀크도 국가기간망의 취약점을 노리고 개발된 악성코드긴 했지만, 발견 정도가 플레임보다 빨라 대책을 세우기 쉬웠다. 플레임은 다르다. 누가, 어떤 목적으로 개발했는지에 대해서는 아직 알려지지 않았다. 카스퍼스키랩은 “현재까지 등장했던 악성코드 공격 중 가장 정교하게 만들어졌다”라며 “더 많은 악성코드 특성을 발견하기 전까지 플레임의 전체 특징을 이해하기 힘들 것”이라고 말했다.
지금까지 알려진 플레임의 특징은 시스템 정보 탈취 외에도 PC 콘텐츠와 오디오 대화까지 녹취하고 탈취해갈 수 있게 만들어졌다. 여기에 들키지 않게 잠입한 컴퓨터의 운영체제와 보안 정보 등을 파악해 신중히 활동하는 신중함도 갖췄다. 윤광택 이사는 “플레임 코드는 스턱스넷과 듀크와는 사뭇 다르다”라며 “전혀 다른 인물이 개발해 오랜시간 동안 퍼뜨린 것으로 보인다”라고 설명했다.
카스퍼스키랩과 시만텍을 비롯한 보안업체들에 의하면 플레임 악성코드는 이제 막 활동기에 접어든 것으로 보인다고 예측했다. 제작자가 플레임에 감염된 시스템 감시를 통해 정보를 수집하나 만큼, 목표를 정해 공격할 가능성이 높아졌단 얘기다.
이란, 수단, 시리아, 레바논, 사우디 아라비아, 이집트를 비롯한 중동이 플레임이 가장 많이 발견된 곳으로 알려졌으며, 헝가리를 비롯한 동부유럽 국가 일부도 감염된 것으로 나타났다. 윤광택 이사는 “단순히 재미삼아, 돈을 노리고 만들어진 게 아닌 만큼 공격이 시작됐을 때 어떤 파급 효과가 나올지 모르겠다”라며 “핵 발전소가 파괴되는 일도 충분히 발생할 수 있다”라고 경고했다.
현재로서는 국내에서 플레임이 발견된 적은 없다고 한다. 그러나 조심해서 나쁠 건 없지 않겠는가. 현재로서 플레임 확산을 막을 수 있는 방법은 딱히 알려진 바 없다. 윤광택 이사는 “기존 악성코드 탐지 솔루션을 설치하고 보안 패치를 꾸진히 받아 실행하는 수 밖에 없다”라고 말했다.
'::뉴스' 카테고리의 다른 글
| IOS5가 곧 배포 (0) | 2011.10.12 |
|---|---|
| IOS5 특징 (0) | 2011.09.24 |
