플레임 (악성 소프트웨어)

플레임(Flame)은 2012년에 발견된 악성 소프트웨어[1][2][3], Flamer나 sKyWIper의 이름으로도 알려져 있다. 마이크로소프트 윈도우에 감염되며, 이란 등의 중동 국가에 해당 악성코드가 대규모로 감염되어 있는 것을 카스퍼스키 랩에서 2012년 5월 발견하였다[1]. 카스퍼스키 랩의 추정으로는 2012년 5월 당시에 약 천 대 정도의 컴퓨터가 감염되어 있으며[2], 2010년 8월에 이미 해당 웜이 존재했을 것이라고 한다.[4]

플레임은 네트워크나 USB 저장장치를 통하여 감염되며, 감염된 컴퓨터의 문서, 녹음 기록, 스크린샷, 네트워크 기록 등을 훔치며 백도어를 통하여 새로운 기능을 추가할 수 있도록 구성되어 있다[2][4].

플레임에 대한 목적은 아직 정확히 알려지지 않았으며, 카스퍼스키 랩은 중동 지역의 사이버 전쟁을 위하여 특별히 제작된 것으로 추정한다[3]. 스턱스넷과의 연계 가능성은 현재로서는 명확히 알려지지 않았지만[3], 플레임 모듈 중 일부가 스턱스넷의 초기 버전에 사용된 것과 거의 동일하다는 것이 발견되었다.[5]

구조

플레임은 전체 크기가 20메가바이트 정도이며, 이것은 일반적인 악성코드 크기에 비교하여 상당히 크다. 여러 개의 모듈로 구성되어 있으며, C++로 만들어져 있고 루아 스크립트를 사용했다.[3]

플레임은 마이크로소프트의 위조 인증서를 포함하고 있으며, 이 인증서는 MD5 해시 함수의 취약점을 이용한 것으로 추정된다[6]. 또한 이것은 과거에 발표된 MD5의 chosen-prefix 공격 기법을 직접 사용하지 않았으며, 아직 공공에 알려지지 않은 공격 기술을 사용하였을 가능성이 있다고 한다.

같이 보기

각주

  1. “신종 악성코드 '플레임', 사이버 전쟁 서막?”. 2012년 5월 29일. 2012년 6월 8일에 확인함. 
  2. “Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers”. 2012년 5월 28일. 2012년 6월 8일에 확인함. 
  3. “The Flame: Questions and Answers”. 2012년 5월 28일. 2012년 5월 30일에 원본 문서에서 보존된 문서. 2012년 6월 8일에 확인함. 
  4. “Flame: Massive cyber-attack discovered, researchers say”. 2012년 5월 28일. 2012년 6월 8일에 확인함. 
  5. “Researchers Connect Flame to U.S.-Israel Stuxnet Attack”. 2012년 6월 11일. 2012년 6월 12일에 확인함. 
  6. “Microsoft releases Security Advisory 2718704”. 2012년 6월 3일. 2012년 6월 7일에 원본 문서에서 보존된 문서. 2012년 6월 8일에 확인함.