[박춘식 교수의 보안이야기] 카스퍼스키랩은 10월15일, 국가가 관여한 것으로 보이는 ‘Flame’이나 ‘Gauss’ 등의 맬웨어에 대해서 조사하는 과정에서 별도의 맬웨어 ‘miniFlame’(별칭 SPE)가 새롭게 발견되었다고 발표했다.
 
이 회사의 블로그에 의하면、miniFlame은 “Full 기능”을 갖춘 스파이 모듈로 감염된 시스템에 액세스해 데이터를 훔쳐내는 기능을 가지고 있다. Flame의 플랫폼을 기본으로 하고 있는 것으로 단체의 맬웨어로써 운용되는 것도, Flame의 component로써 운용되는 것도 있다고 한다.
 
더욱이 miniFlame가 Gauss와 조합되어 사용되고 있는 것도 판명되었다. 이것은 Flame과 Gauss가 동일한 ‘사이버병기제조공장’에서 만들어지고 있다는 사실의 증거로도 되고 있다. miniFlame의 개발은 수년전부터 시작해 Flame 및 Gauss와 병행해서 진행되었다고 보여진다.
 
감염은 레바논이나 이란, 쿠웨이트, 카타르 등의 나라에서 확인되고 있지만 감염수는 Flame이나Gauss에 비하면 작은 편이며 공격자에 있어서의 중요도가 아주 높은 극히 일부의 조직 만에 표적을 겨냥한 공격에 사용되었을 가능성이 크다고 한다.
 
감염 경로는 현시점에서 불명이지만, 이미 Flame이나 Gauss에 감염된 시스템에 맬웨어 제어용의 서버를 통해서 설치된 경우가 많다고 카스퍼스키측은 추정한다. 공격자는 먼저 가능한 한 많은 시스템을 맬웨어에 감염시켜 감염된 곳으로부터 모은 정보를 분석하여 흥미 깊은 표적을 특정한다. 이 중에서 선택된 표적에 대해서 miniFlame과 같은 도루를 보내어 스파이 활동을 실행하고 있었다고 보여진다고 한다.
 
MiniFlame은 엄선표적형 사이버 스파이활동용으로 개발된 신종 악성 프로그램이며 ‘SPE’라고도 불리며、카스퍼스키랩 전문가에 의해서 2012년 7월에 발견되었다.
 
당초는 ‘Flame’의 1 모듈이라고 생각되었지만 연구팀이 9월에 Flame의 C＆C서버의 상세분석을 행하면서, miniFlame모듈은 독립한 악성프로그램으로써 또는 Flame과Gauss 양방에 사용될 수 있는 플래그인으로써 상호사용 가능한 도구라는 사실이 밝혀지게 되었다.
 
miniFlame을 분석한 결과, 2010년부터 2011년 사이에 작성된 수 종류의 버전이 존재하며 이 가운데 일부는 현재도 활동 중에 있는 것을 알게 되었다. 또한 Flame과 Gauss양방의 맬웨어는 miniFlame을 ‘Plug In’으로써 맬웨어 활동에 이용하는 기능을 갖고 있기 때문에 쌍방의 맬웨어 제작자와의 협력제제(또는 동일 조직)가 있었다는 것도 새롭게 판명되고 있다.
 
이것에 의해 사이버전쟁에 있어서 가장 주목되고 있는 맬웨어인 Stuxnet、Duqu、Flame、Gauss의 제작자들이 협력체제에 있다는 사실도 밝혀지고 있다.(ITmedia1016)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]