최근 이란과 중동지역에서 지능형지속위협(APT) 공격에 활용되는 악성코드 ‘플레이머(W32.Flamer)’가 확산되고 있어 주의가 요구된다고 시만텍(www.symantec.co.kr)이 ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’ 5월호를 통해 밝혔다.
 
시만텍 분석에 따르면 플레이머는 매우 정교한 표적공격으로 2010년경부터 전파되기 시작한 것으로 보이지만 정확한 생성 날짜는 불확실하다. 플레이머는 약 한 달 전 이란의 석유자원부가 국가 석유 시설에 대한 공격 사실을 알아차리면서 발견됐으며, 이후 추가적인 조사 결과 다른 정부 부처 및 산업계에도 공격이 감행된 것으로 확인됐다.
 
플레이머는 수년간 탐지를 피해 시스템에 잠복한 상태에서 정보를 은밀히 수집하고 이를 표준 네트워크 분석기술로 쉽게 검출할 수 없는 방식으로 외부 악성코드 제작자에게 전송한다. 플레이머가 새로운 사이버 무기라는 추측이 많지만 아직 이를 뒷받침할 증거는 발견되지 않았다. 
 
현재까지 누가 플레이머를 만들었는지 특정 배후를 입증할만한 명백한 증거는 없다. 하지만 플레이머의 코드는 매우 깔끔하고 고급 아키텍처 설계를 이용하고 있다는 점에서 전문 소프트웨어 개발자들이 관여한 것으로 보인다. 일례로 맞춤형 스크립트 언어로 맞춤형 공격 모듈을 개발할 수 있는 프로그래밍 언어인 루아(Lua)를 사용하고 있으며, 또한 정보 수집과 탈취에 SQLite 데이터베이스를 이용하고 있다.
 
플레이머는 지금까지 발견된 악성코드 중 가장 복잡한 형태로, 파일크기가 20MB에 달한다. 500KB 크기의 스턱스넷(Stuxnet)이나 듀큐(Duqu)와 비교하면 용량면에서는 엄청난 차이가 있다. 또한 스턱스넷과 듀큐는 유사한 코드 기반을 공유하고 있지만 플레이머와 중복되는 부분은 아직 발견되지 않았다. 플레이머가 완전히 다른 프로그래머 그룹이 작성한 것처럼 보이는 이유이다.
 
반면 플레이머는 중동, 특히 이란에서 발견되었고, 정치적 의도가 깔려 있다는 점에서 스턱스넷 및 듀큐와 공통점이 있다. 또한 제작 기법, 복잡성, 돈을 노리지 않는다는 점 등을 감안할 때 배후에 국가 차원의 지원을 받는 그룹이 존재할 가능성이 크다.
 
현재 시만텍 보안기술대응팀(STAR, Security Technology and Response)은 플레이머에 대한 세부 분석작업을 진행중이며, 보안기술대응팀 트위터(@ThreatIntel)와 웹사이트(www.symantec.com/outbreak/?id=flamer)를 통해 플레이머에 관한 최신 정보와 세부 분석정보를 공유하고 있다.
 
시만텍코리아의 윤광택 이사는 “향후 플레이머나 스턱스넷, 듀큐와 같이 산업시설 및 국가 시스템을 노리는 고도의 표적공격과 산업 스파이 활동이 더욱 기승을 부릴 것으로 예상되는 만큼 사이버 보안은 국가 차원에서 국민과 기업을 보호하기 위한 필수 역량으로 인식해야 한다”며, “이 같은 차세대 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검하고, 임직원의 보안 의식 제고와 보안을 생활화해야 한다”고 강조했다.
 
또한 “본인도 모르게 프로그램이 생성되거나 삭제된 경우, 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며, “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
 
한편, 시만텍은 오는 7월 개막되는 런던 하계 올림픽을 앞두고 419 스타일*의 각종 사기성 스팸 및 피싱 메시지에 주의를 기울여야 한다고 당부했다. 월드컵이나 올림픽 등 국제적인 스포츠 이벤트는 사이버 범죄자들에게도 스팸, 피싱 등을 비롯한 악의적인 공격을 실행할 수 있는 좋은 기회가 된다. 실제 과거에도 대규모 스포츠 경기가 열릴 때마다 다양한 사이버 위협이 급증하는 양상을 보여왔다.
 
이 같은 공격들은 대부분 전혀 새로운 일은 아니지만 인간의 심리를 이용하는 사회공학적 기법을 통해 이루어지기 때문에 대다수의 사람들이 사기를 당하고 있다는 사실을 인지하지 못한 채 피해를 보기 십상이다.
 
이밖에 ‘시만텍 인텔리전스 리포트’ 5월호에 포함된 주요 발표내용은 다음과 같다.
 
•스팸: 2012년 5월 전세계에서 발송된 이메일 중 스팸이 차지하는 비율은 67.8%로 전월 대비 3.3% 포인트 증가
 
•피싱: 2012년 5월 피싱 이메일 활동은 전월 대비 0.03% 포인트 감소했으며, 이메일 568.3건 당 1 건(0.18%)이 피싱 공격에 이용됨
 
•이메일을 통한 보안 위협: 2012년 5월 전세계에서 발송된 이메일 중 악성코드가 포함된 메일은 365.1건 당 1 건(0.27%) 꼴로, 전월 대비 0.03% 포인트 감소
 
•웹 기반 악성코드 위협: 2012년 5월 악성코드 및 스파이웨어, 애드웨어 등 사용자가 원치 않은 프로그램을 포함하고 있는 웹사이트는 하루 평균 4,359개가 탐지됨
 
한편, 시만텍은 매월 ‘시만텍 인텔리전스 리포트’를 통해 전세계 보안 위협 동향을 발표함으로써 전세계 기업 및 개인 사용자들이 다양한 웹 기반 공격, 악성 코드 활동, 피싱 및 스팸 트렌드에 대한 최신 정보를 통해 효과적으로 시스템을 보호할 수 있도록 돕고 있다.
 
전세계 보안 위협 동향과 통계를 비롯해 각 지역 및 산업별로 자세한 분석 정보를 제공하고 있는  ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’의 2012년 5월호 전문은 www.symanteccloud.com/en/us에서 다운로드 받을 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com