시만텍(www.symantec.co.kr)은 지금까지 발견된 멀웨어 가운데 가장 정교하고 진화된 정보 탈취 목적의 멀웨어를 포착했다고 밝혔다.

레긴(Regin)으로 명명된 이 멀웨어는 최소 2008년부터 전 세계의 목표물을 대상으로 체계적인 스파이 활동을 펼쳐왔다. 백도어형 트로이목마 바이러스인 레긴은 전례를 찾기 힘들 정도의 기술 수준을 갖춘 복잡한 멀웨어다. 타깃에 따라 자유자재로 역량을 조정할 수 있는 맞춤형 멀웨어로, 대규모 감시가 가능한 강력한 컨트롤러로 정부 기관이나 기간산업 기관, 기업, 연구 기관 및 개인을 대상으로 스파이 활동을 펼쳐온 것으로 나타났다.

레긴을 개발하는데 수개월에서 많게는 수년이 소요되었을 것으로 보고 있다. 특히 개발자는 트랙을 감추는데 많은 노력을 기울였을 것으로 추측되고 있으며, 레긴의 역량과 재원의 수준을 고려했을 때 국가에서 사용되는 주요 사이버스파이 수단으로 추측된다.

시만텍이 발표한 바와 같이, 백도어 레긴은 다단계형 위협으로, 첫 단계를 제외한 각 단계가 암호화되고 감추어져 있다. 첫 단계로 복호(decryption)의 도미노 체인을 시작으로 총 다섯 단계까지 각 후속 단계가 로딩된다. 개별 단계에는 패키지를 완료하기 위한 정보가 거의 주어지지 않는다. 오직 다섯 단계 모두를 획득해야 위협 분석 및 이해가 가능하다.

레긴은 또한 모듈 방식(Modular approach)을 이용하며 타깃에 맞춤화된 특징을 갖춘다. 이러한 방식은 다른 플레이머(Flamer)나 위빌(Weevil) 같은 지능형 멀웨어 계열의 특징이 나타났고, 다단계 로딩 방식은 듀큐(Duqu)/스턱스넷(Stuxnet) 계열과 유사한 특징이다.

레긴 감염은 2008년에서 2011년 사이에 다양한 조직들에서 관찰되었다가 갑자기 사라졌다. 2013년부터 새로운 버전의 멀웨어가 지속적으로 나타났으며, 사기업을 포함해 정부 단체 및 연구기관을 목표로 하고 있다. 절반에 가까운 감염 피해가 개인과 중소기업에서 나타났다. 통신사에 대한 공격은 그들의 인프라를 통해 통화에 접속하기 위해 진행되었다. 감염은 지리적으로 다양한 나라에서 나타나고 있으며, 특히 10개 나라에서 주로 확인되었다.

레긴의 감염 경로는 공격 대상마다 다양하며, 현재 기준으로 재현 가능한 경로는 발견되지 않았다. 시만텍은 피해자들이 유명 웹사이트를 사칭한 사이트에 방문하도록 유도되었을 것으로 보고 있다. 피해자가 웹사이트를 방문하면 공격자들은 웹브라우저나 애플리케이션을 이용해 멀웨어를 설치한다. 실제로 한 컴퓨터의 로그 파일에서 야후! 인스턴트 메시지의 확인되지 않은 공격을 통해 레긴에 감염된 사례를 발견할 수 있었다.

레긴은 모듈 방식으로 공격자들이 필요 시 대상에 따라 사용자 지정 기능을 활용할 수 있는 유연성을 제공한다. 일부 사용자의 페이로드는 매우 정교하고, 특정 분야에서 매우 높은 수준의 전문 지식이 적용되었으며, 레긴 공격자가 사용하는 재원의 수준도 높은 것으로 나타났다.

레긴 페이로드는 수십 가지가 있다. 이 멀웨어는 스크린샷 캡쳐, 마우스 포인트와 클릭 기능, 패스워드 탈취, 네트워크 트래픽 모니터링, 삭제 파일 복구 등의 원격제어 트로이목마(RAT, Remote Access Trojan) 기능을 포함한다.

보다 구체적이고 정교화된 페이로드 모듈은 마이크로소프트IIS 웹서버 트래픽 모니터 및 휴대전화 기지국의 트래픽을 감시하는 프로그램 형태로도 발견되었다.

레긴 공격자들은 몇 년간 잠재적인 스파이 캠페인에 지속적으로 사용하기 위해 은닉 기능에 상당한 노력을 쏟았을 것으로 예상된다. 심지어 멀웨어가 발견되는 경우에도 어떤 활동을 하고 있는지 확인하기가 매우 어려운 것이 특징이다. 시만텍은 샘플 파일을 복호화한 후에야 페이로드를 분석할 수 있었다.

이 레긴은 은닉 기술로 유명한 ‘스텔스’기와 유사한 기능들을 가지고 있다. 맞춤화, 암호화된 가상 파일 시스템(EVFS) 및 안티 포렌식 기능과 함께 일반적으로 사용되지 않는 RC5라는 암호화 방식을 쓴다. 레긴은 다양하고 복잡한 방법을 사용해 공격자가 ICMP(Ping) 패킷이나 HTTP 쿠키에 포함된 명령과 사용자 정의 전송제어프로토콜(TCP)및 사용자 데이터그램 프로토콜(UDP) 프로토콜 등을 통해 공격자와 은밀한 소통이 가능하다.

레긴은 매우 정교한 위협으로, 체계적인 데이터 수집 또는 정보 수집에 사용되어왔다. 공격자는 이 멀웨어를 개발하고 운영하는데 상당히 많은 시간과 재원을 투자했을 것으로 보이며, 이는 국가가 개입했을 가능성도 배제할 수 없다. 이 멀웨어는 공격 대상을 지속적이고 장기적으로 감시하기에 최적화 되어 있다.

레긴의 발견은 정보 수집을 위한 툴을 만드는데 얼마나 많은 투자가 지속되고 있는지를 보여주는 단적인 예다. 시만텍은 아직도 레긴의 많은 구성 요소들이 발견되지 않은 채 남아있으며, 추가적인 기능과 버전이 존재할 것이라 보고 있다. 시만텍은 지속적으로 추가 분석을 진행하며, 새롭게 발견되는 정보를 업데이트 할 예정이다.

시만텍의 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “레긴은 매우 복잡하고 정교한 멀웨어로 지금까지 발견된 스파이웨어 중 가장 진화한 형태라 할 수 있다“며, “특히 통신사나 에너지 기업뿐만 아니라, 전체 감염의 48%가 개인 및 중소기업으로 나타났다는 점에서 각별한 주의가 필요하다”고 설명했다.