??: ??? ?? ??? ?? ??? ?? ?
summary
지능적인 악성 코드 중 하나인 레긴(Regin)은 적어도 2008년부터 전 세계의 다양한 표적을 대상으로 한 조직적인 스파이 작전에 활용되어 왔습니다. 백도어 유형의 트로이 목마인 레긴은 매우 높은 수준의 기술 전문성을 갖춘 복잡한 악성 코드입니다. 레긴은 광범위한 기능을 활용하여 표적에 따라 맞춤 구현할 수 있으며, 관련 제어 권한을 가진 사용자에게 대규모 정탐을 가능케 하는 강력한 프레임워크를 제공하므로 정부 기관, 기간산업 기관, 기업, 연구 기관, 개인 사용자를 대상으로 한 스파이 작전에 이용되어 왔습니다.
레긴을 개발하는 데 수개월에서 많게는 수년이 소요되었을 것으로 보이며 개발자들이 관련 행적을 감추기 위해 많은 노력을 기울였을 것으로 추측됩니다. 레긴의 기능과 그를 뒷받침하는 리소스의 수준으로 미루어볼 때 이 악성 코드는 일부 국가 정부에서 사용되는 주요 사이버 첩보 수단 중 하나로 보입니다.
시만텍이 새로 발표한 기술 백서에서 소개하는 것처럼 Backdoor.Regin은 다단계 보안 위협으로, 첫 단계를 제외한 모든 단계가 암호화되고 숨겨져 있습니다. 첫 단계를 실행하면 후속 단계가 차례로 해독되고 로드되어 총 5단계가 수행되는데, 개별 단계만으로는 전체 패키지를 파악하는 것이 거의 불가능합니다. 이 보안 위협을 분석하고 이해하려면 다섯 단계 전체를 획득해야 합니다.
그림 1. 레긴의 5단계
또한 레긴은 모듈 방식을 사용하므로 공격 표적에 따라 맞춤 기능을 로드하는 것이 가능합니다. 이러한 모듈 방식은 Flamer, Weevil(The Mask)과 같은 다른 정교한 악성 코드 그룹에서도 확인된 바 있으며, 다단계 로딩 아키텍처는 Duqu/Stuxnet 보안 위협 계열과 유사합니다.
추이 및 공격 대상
레긴 감염 사례는 2008년에서 2011년 사이에 다양한 조직에서 발견되었다가 갑작스럽게 사라졌습니다. 2013년부터는 이 악성 코드의 새로운 버전이 활동하기 시작했는데, 민간 기업을 비롯하여 정부 기관, 연구 기관 등이 공격 표적에 포함되었습니다. 절반에 가까운 감염 사례가 개인 사용자와 소기업에서 발견되었습니다. 통신 회사에 대한 공격은 해당 인프라스트럭처를 통해 통화 라우팅에 접근하는 데 주안점을 두고 설계된 것으로 보입니다.
그림 2. 확인된 레긴 감염 사례(부문별)
한편 감염 사례는 다양한 지역에서 나타나고 있는데, 특히 10개국에서 그 활동이 두드러졌습니다.
그림 3. 확인된 레긴 감염 사례(국가별)
감염 벡터 및 페이로드
레긴의 감염 벡터는 표적에 따라 달라지며, 현재로서는 재현 가능한 벡터가 발견되지 않았습니다. 시만텍은 일부 피해자들이 유명 웹 사이트를 사칭한 스푸핑 버전에 방문하도록 유인되었을 것으로 보고 있습니다. 이 경우 보안 위협이 웹 브라우저 또는 애플리케이션 익스플로잇을 통해 설치될 가능성이 있습니다. 실제로 일부 시스템의 로그 파일을 보면 Yahoo! Instant Messenger의 미확인 익스플로잇을 통해 레긴이 유입된 것을 알 수 있습니다.
레긴은 모듈 방식을 사용하므로 공격자가 필요에 따라 표적에 적합한 맞춤형 기능을 추가할 수 있는 유연성을 제공합니다. 일부 맞춤형 페이로드는 매우 정교하고 특정 분야에 대한 고도의 전문성을 보여주는데, 이 역시 레긴 개발 조직이 보유한 리소스의 수준을 가늠케 합니다.
레긴 페이로드는 수십 가지에 달합니다. 이 보안 위협은 다양한 RAT(Remote Access Trojan) 기능을 표준으로 제공하며, 여기에는 스크린샷 캡처, 마우스의 포인트 앤 클릭 기능 제어, 암호 도용, 네트워크 트래픽 감시, 삭제 파일 복구 등이 포함됩니다.
그 외에 Microsoft IIS 웹 서버 트래픽 모니터, 휴대폰 기지국 제어 장치 관리에 대한 트래픽 감시 프로그램 등 보다 정교하고 특화된 형태의 페이로드 모듈도 발견되었습니다.
은닉 기능
레긴 개발자들은 이 악성 코드가 이목을 끌지 않도록 하는 데 각별한 노력을 기울였습니다. 이러한 은닉성은 수년에 걸친 첩보 작전에 이용될 가능성을 시사합니다. 심지어 악성 코드의 존재가 드러나는 경우라도 구체적으로 어떤 활동을 수행하는지 파악하기가 매우 어렵습니다. 시만텍은 샘플 파일을 해독한 후에야 페이로드를 분석할 수 있었습니다.
레긴은 다양한 “은닉” 기능을 갖추고 있습니다. 그중에는 분석 차단(anti-forensics) 기능, 맞춤형 암호화 가상 파일 시스템(EVFS), 일반적으로 사용되진 않지만 RC5 변종의 형태를 띤 대체 암호화 기능이 포함되어 있습니다. 레긴은 ICMP/ping, HTTP 쿠키에 포함된 명령, 맞춤형 TCP 및 UDP 프로토콜 등 여러 정교한 수단을 통해 공격자와 은밀하게 소통합니다.
결론
레긴은 매우 복잡한 보안 위협으로 조직적인 데이터 수집 또는 첩보 작전에 이용되어 왔습니다. 공격자가 이 악성 코드를 개발하고 운영하는 데 상당한 시간과 재원을 투자했을 것으로 보이며, 이는 배후에 국가 정부가 개입되어 있을 가능성을 시사합니다. 이 악성 코드는 표적을 지속적이고 장기적으로 정탐하는 데 최적화되어 있습니다.
레긴의 발견은 첩보 활동을 위한 툴 개발에 지속적으로 얼마나 많은 투자가 이루어지는지 보여줍니다. 시만텍은 레긴의 구성 요소 중 상당수가 아직 밝혀지지 않았으며 또 다른 기능과 버전도 존재할 가능성이 있다고 판단합니다. 시만텍은 추가적인 분석을 통해 새롭게 밝혀지는 정보를 업데이트할 계획입니다.
추가 자료
보안 관리자가 주목해야 할 감염 지표를 비롯하여 보다 자세하고 기술적인 정보는 시만텍 기술 백서, 레긴: 은밀한 감시 기능을 갖춘 최첨단 첩보 툴을 참조하십시오.
시만텍의 보호
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Regin으로 탐지합니다.