레긴

 


Backdoor.Regin
1. 개요
2. 발견
3. 활동 추이
4. 기능
4.1. 은닉 기능
5. 참고


1. 개요


2013년 보안업체에 처음 탐지되었고, 2014년 11월에 그 존재가 발표된 악성코드. '''스턱스넷의 후예'''라는 평가가 어울리는, 2014년까지 발견된 악성코드 중 가장 정교하고 진화된 APT 도구이다.

2. 발견


Backdoor.Regin(이하 “레긴”)은 미국의 보안 기업 시만텍에 의해 2013년 가을에 그 존재가 처음 탐지되었다. 한편, 러시아의 보안 기업 카스퍼스키벨기에의 한 통신사 네트워크에서 이 악성코드의 존재를 검출하였다. 그런데 이 악성코드는 일반적인 악성코드와는 달리 무려 5단계에 이르는 암호화된 전개 단계를 거쳐 작동하도록 설계되어 있어서, 대강의 전모를 파악하는 데만도 무려 1년에 가까운 시간이 걸렸다. 결국, 이 악성코드의 존재가 세상에 공표된 것은 2014년 11월 23일의 일이었다.

3. 활동 추이


레긴이 처음 활동하기 시작한 것은 적어도 2008년부터의 일로 추정된다. 레긴 버전 1.0은 약 2008년부터 2011년까지 활동한 것으로 추정되고, 그 뒤 잠시 활동이 소강 상태에 들어갔다가 버전 2.0이 2013년부터 활동하기 시작한 것으로 추측된다. 레긴의 존재가 공표된 2014년 11월 현 시점에서, 이 악성코드에 대해 분석된 것은 대부분 버전 1.0의 일부분일 뿐이다.
레긴의 감염 사례는 약 10개 국가에서 두드러지게 나타나는데, 특히 러시아사우디아라비아가 감염 사례의 반 이상을 차지하고 있다. 공격당한 대상은 절반 정도는 개인이나 소규모 기업이고, 4분의 1 정도는 통신 기간망이었다.

4. 기능


레긴에는 아주 다양한 기능이 모듈 형태로 갖춰져 있는데, 이는 공격 목표에 따라 자유자재로 역량을 조정하기 위한 것이다. 가장 기본적인 기능으로는
  • 피해자가 모르게 화면을 캡쳐해서 전송
  • 눈치채지 못하게 마우스를 조작
  • 암호를 비롯한 키보드의 입력 내용을 훔칠 수 있음[1]
  • 컴퓨터에 들어있는 모든 파일을 삭제된 파일까지 포함하여 확인하고, 훔칠 수 있음
  • 대상 컴퓨터의 각종 정보 수집
  • 대상 컴퓨터에서 현재 실행중인 프로그램이 무엇인지 확인하고, 필요하면 강제로 종료
  • 대상 컴퓨터의 네트워크 활동을 감시하고, 필요하면 그 내용을 탈취
등이 있다.
특정 목표에 특화된 기능 모듈도 발견되었다. 예를 들면
  • IIS 웹 서버에서 정보 탈취
  • GSM 기지국의 통신 내역 감시
등이 발견되었다.
이러한 기능들은 목표 컴퓨터에 침투한 레긴이 C&C 서버로부터 지령과 함께 내려받아 작동시키도록 되어 있다. 그때그때 필요한 기능 모듈만 받아서 사용하게끔 되어 있기 때문에, 이것 말고도 어떤 기능이 더 있는지 밝혀내기가 무척 어렵다.

4.1. 은닉 기능


레긴의 기능 중 가장 공들여 만들어진 것으로 보이는 것은 바로 자체 은닉(Stealth) 기능이다. 레긴은 침투 사실 자체를 감추기 위해 5단계에 이르는 암호화된 전개 과정을 거쳐야만 비로소 작동하도록 설계되어 있으며, 레긴이 사용하는 암호화 기법 중에는 일반적으로 흔히 사용되지 않는 것이 포함되어 있다. 또한 고도의 루트킷이나 분석 방지(anti-forensic) 기법이 적용되어 있으며, 각종 기능 모듈과 훔쳐낸 모든 정보는 별도의 자체적인 암호화 가상 파일 시스템(EVFS)에 저장[2]되도록 만들어져 있다. 그리고 C&C서버로부터 지령을 받거나 훔쳐낸 정보를 전송하는 데에도 각종 프로토콜과 방법을 섞어서 사용하며, 레긴에 감염된 컴퓨터끼리 P2P로 정보를 주고받기도 한다. 이러한 모든 기능과 특성들은 레긴의 존재 자체와 정보 유출을 탐지하는 것을 극도로 어렵게 만든다.
또한, 레긴 악성코드의 감염 경로 또한 현 시점에서는 오리무중이다. 다시 말해서, 레긴을 누가 어떤 방식으로 목표물에 침투시켰는지 현 시점에서는 전혀 알려진 바가 없다. 다만 고도의 은닉 기능을 포함한 복잡한 구조와 높은 기술 수준, 그리고 특정 목표에 교묘히 침투하여 정보를 수집하는 데 특화된 기능을 고려하면 이 악성코드의 배후에는 특정 국가의 정부 및 정보기관사이버 전쟁 용 첩보 공작이 개입되어 있을 가능성이 높다. 거론되고 있는 유력한 곳은 영국 GCHQ가 있다.

5. 참고



[1] 이 기능은 “QWERTY”라는 키로거 플러그인을 통해 구현되는 것으로 보인다.[2] 이것은 일반적인 백신 검사 방법으로는 레긴의 기능 모듈을 탐지하는 것이 불가능하다는 뜻이다.