플레임 (악성 소프트웨어)
플레임(Flame)은 2012년에 발견된 악성 소프트웨어로[1][2][3], Flamer나 sKyWIper의 이름으로도 알려져 있다. 마이크로소프트 윈도우에 감염되며, 이란 등의 중동 국가에 해당 악성코드가 대규모로 감염되어 있는 것을 카스퍼스키 랩에서 2012년 5월 발견하였다[1]. 카스퍼스키 랩의 추정으로는 2012년 5월 당시에 약 천 대 정도의 컴퓨터가 감염되어 있으며[2], 2010년 8월에 이미 해당 웜이 존재했을 것이라고 한다.[4]
플레임은 네트워크나 USB 저장장치를 통하여 감염되며, 감염된 컴퓨터의 문서, 녹음 기록, 스크린샷, 네트워크 기록 등을 훔치며 백도어를 통하여 새로운 기능을 추가할 수 있도록 구성되어 있다[2][4].
플레임에 대한 목적은 아직 정확히 알려지지 않았으며, 카스퍼스키 랩은 중동 지역의 사이버 전쟁을 위하여 특별히 제작된 것으로 추정한다[3]. 스턱스넷과의 연계 가능성은 현재로서는 명확히 알려지지 않았지만[3], 플레임 모듈 중 일부가 스턱스넷의 초기 버전에 사용된 것과 거의 동일하다는 것이 발견되었다.[5]
구조[편집]
플레임은 전체 크기가 20메가바이트 정도이며, 이것은 일반적인 악성코드 크기에 비교하여 상당히 크다. 여러 개의 모듈로 구성되어 있으며, C++로 만들어져 있고 루아 스크립트를 사용했다.[3]
플레임은 마이크로소프트의 위조 인증서를 포함하고 있으며, 이 인증서는 MD5 해시 함수의 취약점을 이용한 것으로 추정된다[6]. 또한 이것은 과거에 발표된 MD5의 chosen-prefix 공격 기법을 직접 사용하지 않았으며, 아직 공공에 알려지지 않은 공격 기술을 사용하였을 가능성이 있다고 한다.
참고 문헌[편집]
- ↑ 가 나 “신종 악성코드 '플레임', 사이버 전쟁 서막?”. 2012년 5월 29일. 2012년 6월 8일에 확인함.
- ↑ 가 나 다 “Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers”. 2012년 5월 28일. 2012년 6월 8일에 확인함.
- ↑ 가 나 다 라 “The Flame: Questions and Answers”. 2012년 5월 28일. 2012년 5월 30일에 원본 문서에서 보존된 문서. 2012년 6월 8일에 확인함.
- ↑ 가 나 “Flame: Massive cyber-attack discovered, researchers say”. 2012년 5월 28일. 2012년 6월 8일에 확인함.
- ↑ “Researchers Connect Flame to U.S.-Israel Stuxnet Attack”. 2012년 6월 11일. 2012년 6월 12일에 확인함.
- ↑ “Microsoft releases Security Advisory 2718704”. 2012년 6월 3일. 2012년 6월 7일에 원본 문서에서 보존된 문서. 2012년 6월 8일에 확인함.