Breaking
사이버 보안(Cybersecurity)
사이버 보안 연구진, 스턱스넷 멀웨어 관련 새로운 사실 발견
2019-07-01 13:55:02
허서윤
▲연구진이 이란의 핵 시설 데이터 베이스를 해킹한 스턱스넷 멀웨어와 관련된 새로운 멀웨어를 발견했다(사진=ⓒ맥스픽셀)

[라이헨바흐=허서윤 기자] 수년 전 이란의 핵 시설 데이터 베이스를 해킹한 스턱스넷(Stuxnet) 사건과 관련해, 또 다른 배후 세력이 존재할지 모른다는 가능성이 제기됐다.

구글(Google)의 모회사인 알파벳(Alphabet)의 사이버 보안 분야 자회사인 크로니클(Chronicle)에서 일하는 연구원 후안 안드레스 게레로-사아드와 실라스 쿠틀러 등이 싱가포르에서 개최된 카스퍼스키(Kaspersky) 이벤트에서 스턱스넷의 배후 세력의 총칭인 가십걸(GOSSIPGIRL)에 대해 밝혔다.

연구진은 새로운 버전의 플레임(Flame) 및 두쿠(Duqu) 악성 코드를 발견했다. 이 새로운 버전은 최근에 발견됐다는 의미에서 '새롭다'는 뜻이다. 연구진은 조사를 시작하기 전에는 이 멀웨어 버전에 대해 알지 못했다.

크로니클 측은 "스턱스넷 중 알려진 버전은 플레임 플랫폼 플레이머(Flamer) 혹은 스카이와이퍼(SkyWiper) 또는 '틸디드 플랫폼(Tilded Platform, 두쿠)'와 부분적으로 연결돼 있었는데, 이 래된 구성 요소는 플라워샵(Flowershop)과 코드를 공유한다"고 설명했다.

플레임 2.0

언급된 최초의 멀웨어인 플레임(Flame) 멀웨어는 스턱스넷 멀웨어 공격에 사용된 사이버 스파이 멀웨어로, 이란의 나탄즈(Natanz) 원자력 시설의 프로그래머블 로직 컨트롤러를 파괴함으로써 이란의 핵 프로그램에 큰 타격을 입혔다. 당시 원심 분리기가 손상되면서 이란의 핵 프로그램 흐름에 큰 악영향을 미쳤다.

플레임 또는 스카이와이퍼라고 불리는 이 도구는 공격자가 시스템 정보 수집, 백도어 생성, 윈도우 업데이트를 통해 여러 기업 플랫폼에 배포 등 다양한 목적으로 활용할 수 있는 첨단 기능으로 이란 기술 전문가 및 카스퍼스키 랩, 크라이시스 랩(CrySiS Lab) 전문가들에게 포착됐다.

보고서에 따르면 플레임 1.0 모듈은 XOR 기반 암호화를 통해 디코딩된 임베디드 리소스에 저장되고 ZLIB 압축은 해제된다. 데이터와 함께 해독 키를 임베드하는 다른 개발자와 달리 플레임 모듈의 개발자는 다양한 DLL 내보내기에 대한 인수 형식으로 실행시 필요한 해독 키를 오케스트레이터에 전달해야 한다.

▲플레임은 스턱스넷 멀웨어와 연관된 멀웨어로 이란의 핵 시설을 겨냥한 사이버 스파이 멀웨어였다(사진=ⓒ위키미디어 커먼즈)

플레임은 윈도우에서 실행되는 이란의 컴퓨터를 공격했다. 2012년에 발견된 플레임은 대부분의 보안 전문가들이 염려하던 악성 코드였다. 하지만 나머지 작업과 플레임 멀웨어로 인한 감염을 태워버리는 수어사이드(SUICIDE) 모듈이 출시되자 보안 연구진은 플레임 모듈의 대상 디렉토리 및 구성 요소 목록을 발견해 이를 포착했다.

그런데 크로니클이 가십걸에 대해 조사하면서 최근 이 플레임 모듈이 플레임 2.0이라는 이름으로 다시 등장했다는 사실이 알려졌다.

연구진은 연구 초기 단계에 이 사항을 발표하며 위협 인텔리전스 공동체와 힘을 합쳐 더 깊이 연구할 수 있기를 희망하고 있다. 현재로서 플레임 2.0에 관한 내용 대부분은 미스터리로 남아 있다.

 


 

두쿠 1.5

보안 연구자들에게 알려진 최신 버전의 악성 프로그램은 플레임 2.0만이 아니다. 두쿠의 새로운 버전인 두쿠 1.5의 존재도 드러났다.

두쿠 멀웨어는 플레임이 발견되기 1년 전인 2011년에 처음 발견됐다. 크라이시스 랩 연구진은 이 멀웨어가 스턱스넷과 관련이 있다는 사실을 밝혀냈다. 플레임과 다를 바 없는 것이었다. 이들은 키로깅 모듈에서부터 두쿠라는 이름을 따왔다.

두쿠는 산업 제어 시스템을 통해 대상 기업을 감시함으로써 정보를 훔치기 시작했으며 인증 기관에서 직접 디지털 인증서를 훔치는 데 사용된 적도 있다.

새로 발견된 두쿠는 두쿠 1.5라고 불리게 됐다. 이 버전은 원래 버전인 두쿠 1.0과 이란을 공격할 정도로 고급 기능을 갖춘 두쿠 2.0 사이의 교량 역할을 하는 것으로 보인다.

크로니클 연구진은 "두쿠는 2~3년 동안 사라져서 눈에 띄지 않았지만 최근 다시 돌아왔다. 이에 따라 연구진은 툴킷 개발 동향을 더 심도 있게 연구할 수 있다"고 전했다.

 


 

사이버 스파이 슈퍼 그룹

스턱스넷 연결과 관련된 두 가지 새로운 멀웨어 유형이 나타난 배후에는 가십걸이라는 공격자 그룹이 존재한다. 연구진은 지난 2017년에 가십걸 같은 사이버 스파이 슈퍼 그룹이 존재한다는 것을 암시하는 내용을 발견했다.

플레임과 두쿠를 개발한 개발자들이 가십걸의 일부인 이퀘이션 그룹(Equation Group)이라는 것은 공공연한 비밀이었다. 그런데 최근 연구에 따르면 이 외에도 또 다른 배후가 스턱스넷 공격에 가담한 것으로 보인다.

스턱스넷에서 스턱스샵이라고 불리는 특정 구성 요소에는 플라워샵이라는 오래된 멀웨어가 있는데, 이것이 발견됨에 따라 연구진은 공격자가 C2 서버와 통신하면서 다른 기능을 수행했다는 사실이 밝혀졌다.

즉, 이 연구 결과에 따르면 자체적인 악성 코드 플랫폼을 소유한 또 다른 팀이 스턱스넷의 초기 개발에 참여했을 수 있으며 스턱스넷이란 실제로는 다양하고 독립적인 위협 행위자들을 하나로 묶기 위한 모듈 개발 프레임워크일 수 있다.

연구진은 "우리의 최근 연구 결과는 이퀘이션, 플레임, 두쿠와 함께 플라워샵 팀이 스턱스넷의 여러 단계를 구성하고 있었다는 점을 시사한다. 이 활동은 2006년부터 시작됐을 수 있다"고 말했다.

▲플레임과 두쿠는 사이버 스파이 슈퍼 그룹이 현존한다는 증거다(사진=ⓒ맥스픽셀)

 

[라이헨바흐=허서윤 기자]