플레임 (악성 소프트웨어)
악성 소프트웨어, 스파이웨어, 사이버 전쟁
0최근 수정 시각 : 2025-10-21- 18:29:59
플레임은 2012년 발견된 대규모 악성 소프트웨어로, Flamer 또는 sKyWIper로도 불린다. 이란 등 중동 국가의 마이크로소프트 윈도우 시스템을 감염시켜 문서, 녹음, 스크린샷, 네트워크 기록 등 광범위한 정보를 탈취했다. 네트워크나 USB를 통해 확산되며, 백도어를 통한 기능 추가도 가능하다. 스턱스넷과의 연관성도 제기되어, 중동 사이버 전쟁을 위한 특수 제작으로 추정된다.
본 문서는 위키백과 플레임 (악성 소프트웨어) 문서의 내용을 바탕으로 작성·편집되었으며, CC BY-SA 4.0 라이선스에 따라 배포됩니다.
2010
[플레임 웜의 존재 추정]
카스퍼스키 랩은 악성 소프트웨어 플레임(Flame)이 최소 2010년 8월부터 존재했을 것으로 추정했다. 이는 플레임이 발견된 시점보다 훨씬 이전부터 비밀리에 운영되고 있었음을 시사한다.
보안 분석 기업 카스퍼스키 랩의 추정 결과에 따르면, 대규모 정보 탈취 악성코드 플레임은 공식적으로 발견되기 약 2년 전인 2010년 8월부터 이미 활동하고 있었을 가능성이 높다고 보고되었다. 이는 플레임이 상당한 기간 동안 은밀히 운영되며 정보 수집 활동을 벌였음을 암시하며, 사이버 공격의 치밀함을 보여주는 중요한 단서가 되었다.
2012
[대규모 악성코드 플레임(Flame) 발견]
2012년 5월, 카스퍼스키 랩이 새로운 대규모 악성 소프트웨어 '플레임'을 발견했다고 발표했다. 이 악성코드는 이란 등 중동 국가의 수천 대 컴퓨터를 감염시켜 민감한 정보를 탈취하고 있는 것으로 파악되었다.
사이버 보안 기업 카스퍼스키 랩은 2012년 5월 28일, '플레임(Flame)'이라는 전례 없는 규모의 정교한 악성코드를 발견했다고 공식 발표했다. Flamer 또는 sKyWIper라고도 불리는 이 악성코드는 주로 마이크로소프트 윈도우 시스템을 감염시키며, 이란을 비롯한 중동 국가의 정부 및 중요 시설 컴퓨터에서 대규모로 발견되었다. 발견 당시 카스퍼스키 랩은 약 1천 대의 컴퓨터가 감염된 것으로 추정했으며, 플레임은 문서, 녹음 기록, 스크린샷, 네트워크 기록 등 광범위한 정보를 훔칠 수 있는 기능을 갖추고 있었다. 이 사건은 국제 사이버 전쟁의 새로운 국면을 보여주는 중요한 사례로 평가받았다.
[플레임에 사용된 마이크로소프트 위조 인증서 발견]
마이크로소프트는 플레임 악성코드가 자사의 위조된 디지털 인증서를 사용하여 시스템에 침투했음을 확인하고, 이에 대한 보안 권고를 발표했다. 이 인증서는 MD5 해시 함수의 취약점을 악용한 것으로 추정된다.
플레임 악성코드 분석 과정에서, 이 악성코드가 마이크로소프트의 위조된 디지털 인증서를 포함하고 있음이 밝혀졌다. 이 인증서는 시스템이 악성코드를 합법적인 소프트웨어로 오인하게 만들어 감염을 용이하게 했다. 마이크로소프트는 2012년 6월 3일, 해당 위조 인증서에 대한 보안 권고(Security Advisory 2718704)를 발표하며 MD5 해시 함수의 알려지지 않은 취약점을 이용했을 가능성을 제기했다. 이는 디지털 인증서의 신뢰성에 대한 심각한 우려를 불러일으켰다.
[플레임과 스턱스넷의 연관성 제기]
연구자들은 플레임 악성코드의 일부 모듈이 과거 이란 핵 시설을 공격했던 스턱스넷의 초기 버전과 거의 동일하다는 사실을 발견하며, 두 악성코드 간의 강력한 연관성을 제기했다. 이는 국가 단위의 사이버 공격 배후에 대한 추측을 증폭시켰다.
2012년 6월 11일, 보안 연구자들은 플레임 악성코드를 심층 분석한 결과, 그 모듈 중 일부가 2010년 이란 핵 시설을 공격하여 큰 피해를 입혔던 유명한 사이버 무기인 스턱스넷(Stuxnet)의 초기 버전에 사용된 것과 거의 동일하다는 충격적인 사실을 밝혀냈다. 이 발견은 플레임과 스턱스넷이 동일한 배후 또는 조직에 의해 개발되었을 가능성을 강하게 시사하며, 두 악성코드가 중동 지역의 사이버 전쟁에서 중요한 역할을 했음을 암시한다. 이는 국가 주도의 사이버 공격에 대한 국제 사회의 경각심을 고조시키는 계기가 되었다.
