플레임 바이러스는 감염 컴퓨터의 마이크를 통이용한 녹음 파일, 애플리케이션 스크린샷 등과 같은 정보를 누출시킬 수 있다.
이란 및 중동 지역에 횡행하고 있는 '플레임' 바이러스에 대한 관심이 집중도고 있다. PC에 감염돼 각종 민감한 데이터를 빼낼 수 있기 때문이다. UN의 인터내셔널 텔레커뮤니케이션 연합은 다른 지역의 국가들 또한 위협에 직면하고 있다고 경고했다.
그렇다면 플레임이란 정확히 뭘까? 그리고 일반적인 PC 사용자에게도 우려의 대상일까? 카스퍼스키 랩이 "지금껏 발견된 가장 복잡한 형태의 위협 중 하나"라고 표현한 이 바이러스에 대해 살펴본다.
-> ‘스턱스넷·두쿠 이상의 악성 SW’··· 보안업계, ‘플레임’ 등장에 긴장
플레임 바이러스 : 기본정보
카스퍼스키는 플레임에 대해 백도어이자 웜과 유사한 기능의 트로이안으로 묘사했다. 이 바이러스가 초기 어떻게 전파됐는지는 불확실하다. 스피어피싱(spearphishing) 또는 감염된 웹사이트가 유력할 뿐이다. 그러나 초기 감염 이후, 이 바이러스는 USB 메모리나 로컬 네트워크를 통해 확산되곤 했다.
플레임의 목표는 감연된 PC로부터 정보를 수집하는 것이다. 카스퍼스키의 비탈리 캄럭은 이 바이러스가 다양한 정보를 빼내가며, 여기에는 비밀 번호, 마이크를 통한 음성 녹음, 애플리케이션 스크린 샷 등이 포함된다고 전했다. 또 근처의 블루투스 기기에 대한 정보도 수집할 수 있으며 수집된 정보는 콘트롤 서버로 발송시킨다. 카스퍼스키 측은 정보를 수집하는 서버가 전세계 수십 개에 이른다고 전했다.
카스퍼스키 측은 또 이 바이러스가 지난 2010년의 스턱스넷 웜을 연상시키지만 훨씬 더 복잡하다면서, 총 20MB 이상에 달하는 모듈로 구성됐다고 전했다. 회사는 "감안해야할 점이 있다. 500K 코드의 스턱스넷을 분석하는데 수 개월이 걸렸다. 20MB 이상의 코드를 완전히 이해하기 위해서는 수년이 걸릴 수도 있다"라고 말했다.
플레임 기원은?
플레임은 2010년 경부터 전파되기 시작한 것으로 분석되고 있다. 그러나 정확한 생성 날짜는 불확실하다. 이 바이러스는 약 한 달 전, 이란의 석유자원부가 공격 사실을 알아차리면서 발견됐다. 이후 조사 결과 다른 정부 부처 및 산업계에도 공격이 이뤄졌다는 증거가 확인됐다. 이란은 몇몇 하드디스크가 삭제되는 공격도 이뤄졌다고 주장했지만, 카스퍼스키는 와이퍼(Wiper)이라는 이름의 맬웨어가 플레임과 관련됐는지 확실치 않다고 전하고 있다. 실제로 와이퍼 공격은 이란에 국한된 반면, 플레임은 다른 국가에서도 발견되고 있다.
플레임 개발측 또한 불명확하다. 국가 차원의 공격으로 추정될 뿐이다. 제작 기법, 복잡성, 돈을 노리지 않는다는 점 등을 감안할 때, 국가가 아니고서는 불가능한 수준의 바이러스라는 설이 유력하다.
위험 수준은?
UN은 다른 국가들 또한 이 바이러스에 경계 태새를 갖춰야 한다고 경고하고 있다. 핵심적인 인프라스트럭처를 공격하는데 사용되기 충분하다는 것이다. 미국의 국토방위부는 이 맬웨어의 존재에 대해 통보받았으며 다른 정부 파트너들과 함께 잠재적인 영향을 분석하는 중이라고 밝혔다.
일반 사용자들에게 대한 경고는 여지껏 나오지 않고 있다. 소포스의 그래험 클루리는 플레임이 수백 개의 컴퓨터에서만 발견됐다면서, 올해 플래시백 맬웨어에 감연됨 맥 컴퓨터가 60만 대였다는 점을 감안하면 경미한 수준이라고 말했다. ciokr@idg.co.kr