보안

플레임, 흔적 완전 삭제 위한 별도 모듈 배포

Lucian Constantin | IDG News Service 2012.06.08
최근 악명을 떨치고 있는 사이버 스파이 툴인 플레임(Flame)의 작성자가 감염된 컴퓨터에게 자체적으로 그간의 흔적을 모두 삭제하는 모듈을 다운로드해 실행할 것을 명령한 것으로 밝혀졌다. 이를 보고한 시만텍 보안 연구원들은 범죄 분석을 방해하기 위한 것으로 보고 있다.
 
플레임은 이른바 ‘자살(SUICIDE)’이란 내장 기능을 가지고 있는데, 감염된 컴퓨터에서 악성 프로그램을 지우는데 주로 사용한다. 하지만 지난 주 플레임 작성자는 이와는 별도로 자체 제거 모듈을 감염된 컴퓨터에 배포하기로 결정했다는 것이 시만텍의 분석이다.
 
Browser32.odx란 이 모듈은 최신 버전이 5월 9일날 작성된 것이다. 시만텍은 “플레임 작성자가 이미 내장되어 있는 자살 기능을 사용하지 않고 새로운 모듈로 눈에 띄는 조처를 취하는 이유는 알려지지 않았다”고 밝혔다.
 
하지만 기본적인 기능에서는 비슷하지만, 새로운 모듈은 기존 자살 기능에 비해 한 단계 더 강화된 기능을 갖춘 것으로 파악된다. 시만텍은 “새로운 모듈은 하드디스크 상의 모든 플레임 파일을 파악해 삭제하고, 임의의 문자를 해당 디스크에 덮어쓰기를 해 감염 관련 정볼르 얻지 못하도록 한다”며, “이 모듈은 임의의 문자를 생성하는 기능이 포함되어 있다. 감염의 흔적을 하나도 남겨 두지 않으려는 것”이라고 설명했다.
 
한편, 카스퍼스키 랩의 최고 보안 전문가 알렉스 고스테브에 따르면, 임의의 문자열로 디스크에 덮어쓰기를 하는 작업은 플레임 파일이 삭제되기 전에 이루어진다고 밝혔다. 시만텍의 설명과는 차이가 있지만, 어느 쪽이든 목적과 결과는 흔적을 지우는 것이다.
 
고스테브는 “새로운 모듈은 하드디스크의 아무 곳이나 덮어쓰기를 하지는 않는다. 플레임에 관련된 파일만 삭제한다”고 설명했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.