플레임 (악성 소프트웨어)

카스퍼스키 랩의 분석 결과, 플레임의 일부 코드는 2006년부터 개발이 시작된 것으로 파악되었습니다. 이는 플레임이 일시적인 공격이 아니라 수년에 걸쳐 치밀하게 준비된 국가적 규모의 프로젝트임을 뒷받침하는 근거가 되었습니다. 초기 개발 단계에서는 탐지를 피하기 위한 고도의 암호화 기술이 적용되었습니다.

2007년경 생성된 모듈들은 훗날 2012년 발견된 플레임의 핵심 아키텍처와 일치했습니다. 특히 정보 탈취를 위한 스토리지 관리와 네트워크 통신 관련 모듈들이 이 시기에 집중적으로 개발되었습니다. 개발자들은 기존 악성코드와는 다른 독창적인 구조를 설계하는 데 주력했습니다.

분석 결과, 플레임의 운영을 위한 서버들이 2008년부터 활성화되어 있었습니다. 운영진들은 80개 이상의 가짜 도메인을 등록하고 유럽과 아시아 등지에 서버를 분산 배치했습니다. 이를 통해 수집된 데이터는 암호화된 터널을 통해 공격자들에게 전달되었습니다.

2010년 3월에 발견된 일부 코드는 플레임의 초기 작전 모델 중 하나였습니다. 보안 전문가들은 이 코드가 일반적인 범죄용 악성코드와는 확연히 다른 정교함을 갖추고 있음을 인지했습니다. 하지만 전체적인 윤곽은 2년 뒤에야 비로소 세상에 드러나게 됩니다.

ITU는 중동의 여러 국가에서 보고된 의문의 시스템 장애와 데이터 탈취 사건에 주목했습니다. 카스퍼스키 랩을 포함한 글로벌 보안 업체들이 이 요청에 응답하여 샘플 수집을 시작했습니다. 이 과정에서 전례 없는 규모의 파일 뭉치가 발견되었습니다.

플레임은 약 20MB의 용량을 가졌으며, 이는 스턱스넷의 약 20배에 해당하는 크기였습니다. 이 방대한 용량 안에는 수많은 라이브러리와 데이터베이스 파일이 포함되어 있었습니다. 이 거대한 구조를 통해 복합적인 스파이 활동을 수행할 수 있었습니다.

플레임은 핵심 엔진 위에 루아 스크립트를 얹어 구동하는 하이브리드 구조를 가졌습니다. 이 방식을 통해 공격자는 새로운 기능을 담은 스크립트만 전송하여 악성코드를 손쉽게 업데이트할 수 있었습니다. 이는 고전적인 악성코드 설계 방식을 뛰어넘는 고도의 전략적 선택이었습니다.

플레임은 스카이프 대화나 회의실 내의 육성을 녹음할 수 있는 모듈을 탑재했습니다. 특정 단어가 감지될 때만 녹음을 시작하는 지능적인 필터링 기능도 갖추고 있었습니다. 수집된 음성 정보는 타깃의 기밀 정보를 파악하는 데 결정적인 역할을 했습니다.

감염된 PC의 블루투스 어댑터를 사용하여 주변에 있는 블루투스 활성 기기를 검색했습니다. 발견된 기기의 모델명, 연락처 리스트 등을 스캔하여 탈취했습니다. 심지어 블루투스를 통해 다른 기기로 악성코드를 전파하려는 시도도 포함되어 있었습니다.

공격자들은 훔친 정보를 효율적으로 분류하고 검색하기 위해 경량 데이터베이스인 SQLite를 내장했습니다. 화면 캡처, 키보드 입력 기록, 파일 목록 등이 이 데이터베이스에 저장되었습니다. 서버로 전송하기 전 데이터를 최적화하여 네트워크 트래픽 이상을 숨기려 했습니다.

CrySyS 연구소는 플레임이 적어도 20종 이상의 서로 다른 라이브러리를 사용하고 있다고 지적했습니다. 보고서는 이 악성코드가 특정 타깃을 정밀하게 타격하기 위해 고도로 맞춤화되었음을 강조했습니다. 이는 플레임 분석에 있어 카스퍼스키 보고서와 함께 가장 중요한 참고 자료가 되었습니다.

전 세계에 분산되어 있던 플레임의 명령 서버들이 순차적으로 응답을 멈췄습니다. 이는 공격자들이 실시간으로 뉴스를 모니터링하며 작전 종료를 결정했음을 의미합니다. 수년간 구축해 온 거대 인프라를 한순간에 포기할 만큼 은밀 유지가 중요했음을 알 수 있습니다.

보도에 따르면 미국 국가안보국(NSA)과 이스라엘군이 협력하여 이란의 핵 시설을 무력화하기 위해 개발한 일련의 사이버 무기 중 하나가 플레임이었습니다. 비록 정부는 공식적으로 부인했으나, 여러 정황은 국가 배후설을 강력히 뒷받침했습니다. 이로 인해 사이버 안보 담론은 국가 간 전쟁 차원으로 격상되었습니다.

플레임은 윈도우 업데이트 서버인 것처럼 속여 악성코드를 전파하는 고난도 기술을 사용했습니다. 마이크로소프트는 무단 인증서를 차단하고 시스템 업데이트 메커니즘을 강화하는 KB2718704 패치를 배포했습니다. 이는 플레임이 윈도우 운영체제의 핵심적인 암호학적 구조를 공략했음을 입증한 사례였습니다.

공격 모듈은 시스템의 유효한 라이선스 요청을 가장하여 다른 컴퓨터에 접근했습니다. 관리자는 정상적인 원격 접속 활동으로 오인하여 경계심을 갖지 못했습니다. 이러한 전파 방식 덕분에 플레임은 인터넷이 차단된 폐쇄망 내부에서도 빠르게 확산될 수 있었습니다.

시만텍 연구팀은 SUICIDE 명령이 활성화되면 플레임이 남긴 로그 파일, 데이터베이스, 심지어 레지스트리 키까지 모두 삭제됨을 확인했습니다. 공격자들이 남긴 마지막 메시지는 '작전 종료'를 의미하는 암호화된 신호였습니다. 이를 통해 공격자들이 시스템에 대해 가졌던 높은 통제권이 증명되었습니다.

보도에 따르면 플레임은 이란의 네트워크 지형을 파악하고 향후 스턱스넷과 같은 파괴형 공격을 준비하기 위한 정찰병 역할을 수행했습니다. 이 프로젝트에는 엄청난 규모의 예산과 최고급 인력이 투입된 것으로 알려졌습니다. 국가 간의 무력 충돌이 사이버 공간으로 완전히 전이되었음을 보여주는 사례로 인용되었습니다.

서버 운영진은 SSH와 HTTPS 통신을 결합하여 보안을 강화했습니다. 훔친 데이터는 각 타깃별로 철저히 분리되어 관리되었으며, 서버 측에서도 감염된 기기의 무결성을 수시로 체크했습니다. 이러한 체계적인 관리 덕분에 플레임은 수년간 외부의 방해 없이 작전을 지속할 수 있었습니다.

가우스는 플레임의 코드 베이스를 공유하면서도 페이로드(공격 내용)만 금융 특화용으로 교체된 형태였습니다. 레바논 등 중동 국가의 은행 고객들이 주요 피해자였습니다. 이는 플레임 제작진이 동일한 플랫폼을 활용해 다양한 목적의 변종을 양산했음을 증명합니다.

논문은 공격자들이 윈도우 업데이트 인증을 우회하기 위해 얼마나 정교한 수학적 최적화를 수행했는지 분석했습니다. 특히 이 공격이 사전에 고성능 컴퓨팅 자원을 활용해 계산된 결과물임이 드러났습니다. 이는 플레임이 개인 해커가 아닌 강력한 컴퓨팅 자원을 보유한 집단의 작품임을 시사했습니다.

미니플레임은 'SPE'라는 모듈명으로도 알려져 있으며, 플레임이나 가우스에 의해 미리 점령된 시스템 중 가장 중요한 곳에만 추가로 설치되었습니다. 매우 구체적인 정보를 탈취하도록 맞춤 설계되었으며, 극도의 은밀성을 유지했습니다. 이를 통해 공격자들은 핵심 인사들의 기밀 대화에 직접 접근할 수 있었습니다.

보안 보고서에 따르면 미니플레임의 최신 버전들이 소수의 특정 기기에서 발견되었습니다. 공격자들은 주요 인프라의 핵심 관리자들을 타깃으로 계속해서 귀를 기울이고 있었습니다. 이 시기에 수집된 정보들은 이후 중동 정세에 영향을 미치는 첩보 자료로 활용된 것으로 추측됩니다.

포렌식 분석 결과, 위퍼가 데이터를 지우기 위해 사용한 특정 알고리즘과 파일 명명 규칙이 플레임의 내부 구조와 일치했습니다. 이는 공격자들이 정보 수집(플레임)을 마친 후, 시스템을 파괴(위퍼)하여 흔적을 지우거나 상대를 무력화했음을 의미합니다. 이 복합적인 전술은 훗날 다른 국가 간 사이버전에서도 표준 모델이 되었습니다.

수많은 보안 컨퍼런스에서 플레임은 '전설적인 악성코드'로 인용되었습니다. 특히 MD5 충돌 공격과 같은 수학적 무기를 실전에 사용한 첫 사례로서 그 위상이 강조되었습니다. 전문가들은 플레임이 보여준 치밀한 기획력이 현대 사이버 안보 체계를 구축하는 데 큰 교훈을 주었다고 평가했습니다.