| KISTI 미리안 『글로벌동향브리핑』 2015-02-05 |
|
 안티바이러스 솔루션 제공업체인 Kaspersky社는 최근 디지털 바이러스에 대한 면밀한 분석작업 끝에 악성 레진 말웨어와 쿼티 키스토로크 로거 사이의 상관관계를 밝혀냈다고 주장하여 말웨어들의 공생관계에 대해 면밀히 조사해보기로 한다.이른바 레진 말웨어는 말웨어 툴킷으로서 Kaspersky社에서 최초로 발견하였는데, 당시 벨기에의 통신사업자인 Belgacom社의 네트워크에 침투한 말웨어를 발견하면서 알려지기 시작했다고 한다. 2년 전 미국의 국가안전보장국의 통신망감시를 폭로했던 Edward Snowden씨의 유출문건에 의하면 영국의 첩보기관인 정보통신사령부가 그 배후에 있다는 주장을 한 것으로 알려져 왔으나, 그동안 레진 말웨어의 알려진 감염사례에 대한 절반 이상의 사례들은 러시아 혹은 사우디아라비아의 컴퓨터들에서만 발견되었다고 한다. 이에 Kaspersky社는 레진 말웨어가 약 십 년 이상 다양한 형태로 변화하여 지속되어온 것으로 보인다는 주장을 하기에 이르렀다고 한다. 미국의 국가안전보장국의 유출된 수 천 건의 문건 가량을 현재까지도 조사하고 있는 독일계 신문사인 더슈피겔의 보도에 의하면, Kaspersky社가 쿼티 키스트로크에 대한 면밀한 분석작업을 수행하였으며 말웨어들 간의 상관관계를 밝혀내기 위해 연합형태의 말웨어의 데이터베이스에 대한 분석작업을 수행해오고 있다고 밝혔다고 한다. 쿼티 키스트로크 말웨어를 분석한 결과에 의하면, 레진 말웨어의 플랫폼 일부에서 동작할 수 있도록 고안된 플러그인 형식을 취하고 있음이 밝혀졌다고 하며, 쿼티 키스트로크 말웨어는 그 자체만으로는 해당 기능을 발휘하지 못하며 커넬 후킹방식을 통해 레진 말웨어의 플랫폼 모듈 50225 환경이 제공될 때에만 그 영향력을 발휘하는 것으로 나타났다고 한다. 해당 정보는 Securelist.com社의 블로그 포스트에 해당 내용이 상세히 기술되어 있다고 한다. [출처: https://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-keylogger] 레진 말웨어 플랫폼의 매우 복잡한 환경을 고려해볼 때, 소스코드에 접근할 수 있는 권한 없이 누군가에 의해 복제될 수 있는 가능성은 극히 적은 것으로 나타났으며, 이러한 사실을 토대로 쿼티 키스트로크 말웨어의 개발자와 레진 말웨어의 개발자들이 동일하거나 또는 함께 공동으로 작업하여 만들어낸 결과물이라는 사실에 도달했다는 주장이 신빙성을 얻고 있는 것으로 나타났다. 더슈피겔사에 의하면, 소스코드 내부에 개발자에 대한 레퍼런스가 포함되어 있었으며 이를 통해 명백히 범행을 주도한 장본인들을 추려낼 수 있을 정보도 포함되어 있는 것으로 나타났다고 한다. 이를 통해 정보기관들에게서 불리는 사이버무기시스템의 유사성이 드러나게 되었다고 추론해볼 수 있다고 한다. [출처: http://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html] 레진 말웨어 또는 쿼티 키스트로크 말웨어를 밝혀내는 것은 쉬운 작업이 아니었지만, 레진 말웨어에 대한 플러그인들이 압축된 형태의 가상파일시스템 내부에 저장되어있다는 의미는 이들이 직접적으로 피해자의 디지털기기에 존재하고 있지 않다는 뜻으로 해석해볼 수 있다고 한다. 즉 플랫폼을 통해 내려진 명령어를 통해 플러그인들이 말웨어의 동작을 활성화시키거나 실행시킬 수 있는 형태인 것으로 보아야 할 것이며 키스트로크 방식을 잡아내는 방식은 시스템의 메모리 영역을 스캔하거나 가상파일시스템을 암호해독시키는 방식 밖에 없는 것으로 나타나, 말웨어에 보다 적극적으로 대비해야 할 것으로 보이는 시점이라 할 수 있겠다. | |
