중동국가를 겨냥한 신종 악성코드 ‘플레임’ 파문이 일파만파 커지고 있다. 보안 전문가들은 플레임이 미래 사이버전의 전초전이 될 만한 기능을 가지고 있어 이를 더욱 경계하는 모양새다.
씨넷뉴스는 3일(현지시간) 신종 악성코드 플레임이 '사이버무기'로 불리며 전 세계 외교 충돌에 사용될 가능성에 대해 무게가 실리고 있다고 보도했다. 플레임을 분석한 보안 전문가들은 플레임이 지금까지 등장한 악성코드 가운데 가장 강력하고 정교한 형태라고 설명했다.
플레임은 이란 등 중동국가를 겨냥해 제작된 정보탈취 기능을 가진 악성코드로 알려져있다. 단순 시스템 정보는 물론이고 오디오 대화, 정보를 캡쳐할 수 있는 기능까지 보유하고 있다. 산업기반시설을 겨냥해 제작된 스턱스넷과 비교해 용량도 20배의 달한다.
씨넷뉴스는 스턱스넷을 시작으로 사촌격인 악성코드 듀큐, 그리고 최근 등장한 플레임까지 악성코드 기능의 특징들을 분석해 전했다. 세 악성코드의 가장 큰 특징은 사이버스파이 기능을 가지고 있다는 점이다. 이를 통해 정보를 수집하려는 것이 주 목적이다.
보안 전문가들이 스턱스넷, 듀큐보다 플레임의 등장을 더욱 경계하는 이유는 플레임의 활동기간과 국가 간 정보공유 부재 때문이다.
먼저 플레임의 활동 기간에 대한 분석이 가장 큰 논란의 중심이 되고 있다. 플레임은 이미 5~8년간 활동이 이뤄졌다는 분석이 나오고 있다. 악성코드가 얼마나 많은 정보를 수집해갔을지 가늠할 수 없는 상황이다.
헝가리 부다페스트 대학 CrySyS(Cryptography and System Security) 연구소는 “플레임 악성코드가 기존 악성코드와 대조적인 특징을 보유하고 있는 것은 물론 악성코드 탐지를 우회하는 기능도 고도화되어 있다”고 설명했다. 또한 악성코드는 정기적으로 명령통제(C&C)서버가 공격자에게 정보를 전송하도록 제작돼 있다.
플레임의 확산이 어떻게 이뤄졌는지에 대해 국가 간 공조가 제대로 이뤄지지 않는 점도 문제점으로 지적되고 있다. 현재 구체적으로 어떤 국가에서 플레임이 발견됐는지 알려지지 않고 있기 때문이다.
관련기사
- 신종 악성코드 '플레임' 피해, 세계로 확대?2012.06.04
- 신종 악성코드 '플레임', 사이버 전쟁 서막?2012.06.04
- 스턱스넷 악성코드 '듀큐' 변종 등장2012.06.04
- 스턱스넷 등 산업기반시설 해킹 위협 증가2012.06.04
이로 인해 플레임으로 인한 피해가 추가 확산될 소지도 있어 이에 대한 대책이 필요한 상황이다.국제전기통신연합(ITU)의 사이버 보안 전문가인 마르코 오비소는 “플레임이 국가 간 스파이 도구로 활용되고 있으며 잠재적으로 주요 시설 공격에도 활용될 수 있다”고 분석했다.
아직까지 플레임 악성코드에 대한 추가적인 기술 정보들은 밝혀지지 않은 상태다. 한편 카스퍼스키랩은 자사 기술 컨퍼런스를 통해 플레임 악성코드가 C&C서버를 감염시킨 다음 공격자와 감염PC 사이에 커뮤니케이션에 어떻게 이용됐는지 공개했다.
