新냉전시대 007…사이버첩보원 '레긴'

 

新냉전시대 007…사이버첩보원 '레긴'

머니투데이 원문 |입력 2014.11.29 06:

 

 

 

[[Digital Life]'은닉기능 갖춘 악성코드' 6년 만에 베일 벗어…정찰용 스파이웨어부터 기간망 타격코드까지]


"6년 전 제작한 스파이웨어가 이정도일 줄이야…."

첨단 스파이 기능을 갖춘 악성코드가 6년 동안 활동하다 최근에서야 그 존재가 드러면서 전 세계 보안당국을 크게 경악시키고 있다.

미국 보안기업인 시만텍이 첫 발견, 공개한 '레긴(Regin)' 악성코드는 최소 2008년부터 전 세계 목표물을 대상으로 체계적인 스파이 활동을 펼친 것으로 드러났다. 특히 이 악성코드는 타깃에 따라 자유자재로 역량을 조정할 수 있는 맞춤형 코드로, 정부 기관이나 기간산업, 기업, 연구기관 등 가리지 않고 전방위적 감시가 가능한 강력한 기능을 갖췄다.

국가별 레긴 감염 비율. /사진제공=시만텍.

◇국가기관 개입 '스파이웨어', 휴대전화 통화까지 감시

시만텍의 자체 분석 결과, 레긴 악성코드는 암호화된 다단계 방식으로 다수의 PC에 몰래 설치되고, 타깃에 따라 PC화면을 캡쳐 하거나 비밀번호 탈취, 네트워크 모니터링은 물론 사용자가 지운 삭제파일까지도 빼낼 수 있는 것으로 드러났다. 심지어는 휴대전화 기지국의 트래픽을 감시할 정도로 정교화된 모듈도 발견됐다.

자신의 존재를 은폐하는 '스텔스' 기능도 갖췄다. 암호화된 가상파일 시스템과 보안시스템이나 역추적을 회피할 수 있는 안티 포렌식 기능은 물론 일반적으로 사용되지 않는 'RC5' 암호화 방식을 쓰기 때문에 6년째 보안 감시망을 피할 수 있었다.

'레긴'은 최소 6년간 매우 정교한 형태로 체계적인 데이터 수집과 정부수집에 사용돼왔다는 게 시만텍의 종합분석이다.

시만텍은 '레긴'을 개발하는데 수개월에서 많게는 수년이 소요됐으며, 코드 제작의 역량과 재원 수준을 감안할 때 국가 정보기관이 제작에 개입했을 것으로 보고 있다. 이와 관련, 서방 국가의 정보기관이 러시아, 이란, 사우디아라비아 등을 겨냥해 퍼트린 '스파이웨어'일 것이라는 관측이 우세하다. 실제 시만텍이 '레긴' 감염국가 비율을 조사한 결과, 러시아 28%, 사우디아라비아 28%로 절반 이상이 두 나라에 집중됐다.

그러나 '레긴'이 어떤 경로를 통해 감염시켰는지는 여전히 베일에 쌓여있다. 유명 웹사이트를 사칭한 사이트에 방문하도록 유도한 뒤 PC를 감염시켰을 것으로 추측만 하고 있을 뿐이다. 특히 현재까지 발견된 '레긴'은 일부 일뿐 전체 윤곽은 파악조차 않고 되고 있다. 추가적인 기능과 버전이 더 존재할 것이라는 얘기다.

◇세계는 지금 포성 없는 전쟁 중

보안 전문가들은 이번에 포착된 '레긴'이 '빙산의 일각'에 불과하다는 진단을 내리고 있다. 각국 정보기관들의 국경을 넘나다는 사이버 정보전쟁은 이미 세계 곳곳에서 활발히 진행되고 있다는 것이다.

지난 2002년에는 중동, 북아프리카 지역을 겨냥한 스파이웨어 '플레임'이 발견돼 유엔 산하 전기통신연합(ITU)가 최고 수준의 사이버 경보를 발령했다. 당시 '플레임'은 세계적으로 1000~5000대 가량의 PC를 감염시켜 데이터나 채팅 내용을 빼가는 것은 물론 블루투스 기능을 이용해 컴퓨터 주변 휴대전화 정보까지 빼간 것으로 확인됐다. 당시 이란은 '플레임'이 미국과 이스라엘의 합작품이라는 주장이 나오기도 했다.

우리나라도 마찬가지다. 올 초 북한 해킹조직이 외교, 통일 등 안보관련 기관의 주요 인사를 대상으로 첩보용 악성코드 설치를 유도하기 위한 이메일을 다량 유포해오다 발각됐다.

사이버전 첨단무기는 정보수집 용도의 스파이웨어만 있는 게 아니다. 핵시설, 전력, 교통, 수자원 등 국가기간시스템을 마비시킬 용도로 개발된 '스턱스넷'도 은밀히 활동 중이다. 1991년 걸프전 당시 미국은 이라크 방공시스템에 악성코드를 탑재한 칩을 심어 이를 마비시켰다. 2010년 이란에서는 핵시설 무력화를 시도한 악성코드가 발견되기도 했다. 러시아 보안업체인 카스퍼스키에 따르면, 당시 악성코드는 핵 시설 노동자들의 USB를 통해 내부망에 침투했던 것으로 확인됐다.

미국과 중국간 사이버 전쟁 위기감도 크게 고조되고 있다. 2012년 미국이 보유 중이던 F-35 스텔스기의 핵심정보를 중국 해커들이 빼냈다는 의혹을 제기한 이후부터 양국의 미묘한 신경전이 거듭된 결과, '백도어 탑재 가능성'을 이유로 통신 및 네트워킹 장비와 PC 등 양국 IT 제품간 금수조치까지 이어지고 있다.

여기에 그치지 않고 마이클 로저스 미국 국가안보국(NSA)국장이 최근 "중국이 사이버 공격으로 미국의 전력망 가동을 중단시킬 능력을 갖추고 있다"고 공개적으로 경고하기도 했다. 중국의 사이버전 능력이 미국 정부기관은 물론 발전소, 전력망 등 기간산업에 대한 사이버 공격을 충분히 수행할 수 있는 수준이라는 것. 이에 대해 중국 정부 측은 반대로 미국 정부의 사이버 공격 가능성을 제기하며 반격에 나서고 있다.

그렇다면 우리나라의 사이버 정보전 역량은 얼마나 될까. 미국, 중국, 일본은 물론 북한에 비해서도 아직 그 역량이 미미하다는 게 전문가들의 지적이다. 임종인 고려대 정보보호대학원장은 "사이버전에 대비하기 위해서는 방어기술 못지않게 적국에 대한 사이버 정보 수집 및 정찰기술 개발도 활발히 이루어져야 하는데, 미국, 중국 등에 비해 저조한 것이 사실"이라며 "무엇보다 정보전에 활용할 수 있는 창의적 인재 육성이 시급하다"고 말했다.

성연광기자 saint@