문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 레긴 (문서 편집) [include(틀:다른 뜻1, other1=북유럽 신화의 뵐숭 사가에서 등장하는 드워프 레긴, rd1=레긴(뵐숭 사가), other2=라이트 노벨 마탄의 왕과 바나디스의 등장인물, rd2=레그나스 왕자)] {{{+1 Backdoor.Regin}}} [목차] == 개요 == [[2013년]] 보안업체에 처음 탐지되었고, [[2014년]] 11월에 그 존재가 발표된 [[악성코드]]. '''[[스턱스넷]]의 후예'''라는 평가가 어울리는, [[2014년]]까지 발견된 악성코드 중 가장 정교하고 진화된 [[APT]] 도구이다. == 발견 == Backdoor.Regin(이하 “레긴”)은 미국의 보안 기업 시만텍에 의해 [[2013년]] 가을에 그 존재가 [[http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99|처음 탐지]]되었다. 한편, 러시아의 보안 기업 [[카스퍼스키]]도 [[벨기에]]의 한 통신사 네트워크에서 이 악성코드의 존재를 검출하였다. 그런데 이 악성코드는 일반적인 악성코드와는 달리 무려 5단계에 이르는 암호화된 전개 단계를 거쳐 작동하도록 설계되어 있어서, 대강의 전모를 파악하는 데만도 무려 1년에 가까운 시간이 걸렸다. 결국, 이 악성코드의 존재가 세상에 공표된 것은 [[2014년]] [[11월 23일]]의 일이었다. == 활동 추이 == 레긴이 처음 활동하기 시작한 것은 적어도 [[2008년]]부터의 일로 추정된다. 레긴 버전 1.0은 약 [[2008년]]부터 [[2011년]]까지 활동한 것으로 추정되고, 그 뒤 잠시 활동이 소강 상태에 들어갔다가 버전 2.0이 [[2013년]]부터 활동하기 시작한 것으로 추측된다. 레긴의 존재가 공표된 [[2014년]] 11월 현 시점에서, 이 악성코드에 대해 분석된 것은 대부분 버전 1.0의 일부분일 뿐이다. 레긴의 감염 사례는 약 10개 국가에서 두드러지게 나타나는데, 특히 [[러시아]]와 [[사우디아라비아]]가 감염 사례의 반 이상을 차지하고 있다. 공격당한 대상은 절반 정도는 개인이나 소규모 기업이고, 4분의 1 정도는 통신 기간망이었다. == 기능 == 레긴에는 아주 다양한 기능이 모듈 형태로 갖춰져 있는데, 이는 공격 목표에 따라 자유자재로 역량을 조정하기 위한 것이다. 가장 기본적인 기능으로는 * 피해자가 모르게 화면을 캡쳐해서 전송 * 눈치채지 못하게 마우스를 조작 * 암호를 비롯한 키보드의 입력 내용을 훔칠 수 있음[* 이 기능은 “[[https://securelist.com/blog/research/68525/|QWERTY]]”라는 [[키로거]] 플러그인을 통해 구현되는 것으로 보인다.] * 컴퓨터에 들어있는 모든 파일을 '''삭제된 파일까지 포함하여''' 확인하고, 훔칠 수 있음 * 대상 컴퓨터의 각종 정보 수집 * 대상 컴퓨터에서 현재 실행중인 프로그램이 무엇인지 확인하고, 필요하면 강제로 종료 * 대상 컴퓨터의 네트워크 활동을 감시하고, 필요하면 그 내용을 탈취 등이 있다. 특정 목표에 특화된 기능 모듈도 발견되었다. 예를 들면 * [[IIS]] 웹 서버에서 정보 탈취 * [[GSM]] 기지국의 통신 내역 감시 등이 발견되었다. 이러한 기능들은 목표 컴퓨터에 침투한 레긴이 C&C 서버로부터 지령과 함께 내려받아 작동시키도록 되어 있다. 그때그때 필요한 기능 모듈만 받아서 사용하게끔 되어 있기 때문에, 이것 말고도 어떤 기능이 더 있는지 밝혀내기가 무척 어렵다. === 은닉 기능 === 레긴의 기능 중 가장 공들여 만들어진 것으로 보이는 것은 바로 자체 은닉([[스텔스|Stealth]]) 기능이다. 레긴은 침투 사실 자체를 감추기 위해 5단계에 이르는 암호화된 전개 과정을 거쳐야만 비로소 작동하도록 설계되어 있으며, 레긴이 사용하는 암호화 기법 중에는 일반적으로 흔히 사용되지 않는 것이 포함되어 있다. 또한 고도의 루트킷이나 분석 방지(anti-forensic) 기법이 적용되어 있으며, 각종 기능 모듈과 훔쳐낸 모든 정보는 별도의 자체적인 암호화 가상 파일 시스템(EVFS)에 저장[* 이것은 일반적인 백신 검사 방법으로는 레긴의 기능 모듈을 탐지하는 것이 불가능하다는 뜻이다.]되도록 만들어져 있다. 그리고 C&C서버로부터 지령을 받거나 훔쳐낸 정보를 전송하는 데에도 각종 프로토콜과 방법을 섞어서 사용하며, 레긴에 감염된 컴퓨터끼리 [[P2P]]로 정보를 주고받기도 한다. 이러한 모든 기능과 특성들은 레긴의 존재 자체와 정보 유출을 탐지하는 것을 극도로 어렵게 만든다. 또한, 레긴 악성코드의 감염 경로 또한 현 시점에서는 오리무중이다. 다시 말해서, 레긴을 누가 어떤 방식으로 목표물에 침투시켰는지 현 시점에서는 전혀 알려진 바가 없다. 다만 고도의 은닉 기능을 포함한 복잡한 구조와 높은 기술 수준, 그리고 특정 목표에 교묘히 침투하여 정보를 수집하는 데 특화된 기능을 고려하면 이 악성코드의 배후에는 특정 국가의 정부 및 [[정보기관]]의 [[사이버 전쟁]] 용 첩보 공작이 개입되어 있을 가능성이 높다. 거론되고 있는 유력한 곳은 영국 [[GCHQ]]가 있다. == 참고 == * [[APT]] 공격 * [[http://www.symantec.com/connect/blogs-364|레긴의 존재를 공표한 시만텍의 블로그 글]] * [[http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf|레긴의 1차 분석 결과를 담은 시만텍의 보안 백서 (영문)]] * [[http://www.boannews.com/media/view.asp?idx=44272|보안 전문 매체 보안뉴스의 관련 기사 링크 소개]] [[분류:컴퓨터 바이러스]]저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기