시만텍, APT 공격 활용 악성코드 `플레이머` 위험성 경고

시만텍은 `시만텍 인텔리전스 리포트(Symantec Intelligence Report)` 5월호를 통해 최근 이란과 중동지역에서 지능형지속위협(APT) 공격에 활용되는 악성코드 `플레이머(W32.Flamer)`가 확산되고 있어 주의가 요구된다고 13일 밝혔다.

시만텍 분석에 따르면 플레이머는 매우 정교한 표적공격으로 약 한 달 전 이란의 석유자원부가 국가 석유 시설에 대한 공격 사실을 알아차리면서 발견됐다.

플레이머는 수년간 탐지를 피해 시스템에 잠복한 상태에서 정보를 은밀히 수집하고 이를 표준 네트워크 분석기술로 쉽게 검출할 수 없는 방식으로 외부 악성코드 제작자에게 전송한다.

시만텍의 분석에 의하면 플레이머의 코드는 매우 깔끔하고 고급 아키텍처 설계를 이용하고 있다는 점에서 전문 소프트웨어 개발자들이 관여한 것으로 보인다. 플레이머는 지금까지 발견된 악성코드 중 가장 복잡한 형태로, 파일크기가 20MB에 달한다. 500KB 크기의 스턱스넷(Stuxnet)이나 듀큐(Duqu)와 비교하면 용량면에서는 엄청난 차이가 있다. 또한 스턱스넷과 듀큐는 유사한 코드 기반을 공유하고 있지만 플레이머와 중복되는 부분은 아직 발견되지 않았다.

반면 플레이머는 중동, 특히 이란에서 발견되었고, 정치적 의도가 깔려 있다는 점에서 스턱스넷 및 듀큐와 공통점이 있다. 또 제작 기법, 복잡성, 돈을 노리지 않는다는 점 등을 감안할 때 배후에 국가 차원의 지원을 받는 그룹이 존재할 가능성이 크다.

현재 시만텍 보안기술대응팀은 플레이머에 대한 세부 분석작업을 진행중이며, 보안기술대응팀 트위터(@ThreatIntel)와 웹사이트(http://www.symantec.com/outbreak/?id=flamer)를 통해 플레이머에 관한 최신 정보와 세부 분석정보를 공유하고 있다.

윤광택 시만텍코리아 이사는 “향후 플레이머나 스턱스넷, 듀큐와 같이 산업시설 및 국가 시스템을 노리는 고도의 표적공격과 산업 스파이 활동이 더욱 기승을 부릴 것”이라며, “차세대 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검, 임직원의 보안 의식 제고와 보안을 생활화해야 한다”고 강조했다.


장윤정기자 linda@etnews.com


브랜드 뉴스룸