다른 소프트웨어에 부착된 이 기게스(Gyges) 악성코드의 변종은 센티넬 랩(Sentinel Labs)이 처음 발견, 보고했다. 센티넬 랩은 지난 수 년 동안 국가의 지원을 받는 해커들이 개발한 악성코드를 연구해 왔다.
근원지가 러시아일 것으로 추정되는 기게스 악성코드는 사용자의 활동을 가장해 악성코드를 닫힌 컨테이너 안에서 발동하게 만드는, 샌드박스 기반의 보안 제품을 우회하는 악성코드다. 이러한 기게스 코드에 추가된 기능은 보안 연구원들이 악성코드를 분석하기 위해 사용되는 디버깅 및 리버스 엔지니어링을 차단하는 고급 기술이다.
기게스 코드의 발견이 전하는 시사점은 해커들이 더 치명적인 악성코드를 개발하기 위해 이제 일반적인 공격 코드와 고차원 코드를 결합시키고 있다는 것이다.
센티넬 랩은 ‘인텔리전스 리포트(Intelligence Report)’를 통해 "흥미롭게도, 디버깅과 리버스 엔지니어링과 같은 기술들을 회피하도록 만들어진 악성코드는 기존의 것들보다 더 정교하고, 더 고차원적”이라고 전했다.
바로 이러한 정교함 때문에 센티넬의 연구원들은 이 악성코드가 정부 주도의 데이터 절도 공격에 쓰였다고 믿고 있다. 기게스 코드를 더 심층 분석한 결과, 연구원들은 해당 악성코드가 네트워크 활동에 대한 정부 차원의 도청 작업이나 키 로깅, 지적 재산권 도난 등의 작업을 위해 개발된 실행파일들의 ‘운반체(carrier)’로서 사용됐다는 것까지 밝혀냈다.
센티넬 측은 또한 “사이버 범죄자들 사이에서 이 코드는 랜섬웨어를 통해 돈을 갈취하거나 온라인 뱅킹 사기에 쓰였다. 뿐만 아니라, 좀비 PC로 구성된 네트워크인 봇넷(botnet)을 만들어 주요 시설을 공격, 각종 루트킷(rootkit)이나 트로이목마를 설치하는 데도 사용됐다”고 설명했다.
한편, 이러한 공격의 주 목적은 사이버 범죄지만 상당 수의 데이터 도난 사건에는 사이버 첩보 활동(cyperespionage) 또한 연루돼 있다.
물론 이 같은 공격의 배후에 특정 국가가 있다고 밝히는 것은 매우 힘들다. 그러나 버라이즌(Veriozon)은 ‘데이터 위반 조사 리포트(Data Breach Investigations Report)’를 통해 2013년 사이버 첩보 활동으로 집계된 공격은 총 505건이라고 밝혔다.
버라이즌은 공격의 가장 큰 피해 국가는 미국이었으며, 전문과학기술 서비스 업체, 그리고 제조 및 미디어 기업들, 그리고 각종 공공 부문 시설들이 가장 많이 노려졌다고 설명했다. editor@itworld.co.kr