문서 편집 권한이 없습니다. 다음 이유를 확인해주세요: 요청한 명령은 다음 권한을 가진 사용자에게 제한됩니다: 사용자. 문서의 원본을 보거나 복사할 수 있습니다. ||[[북유럽 신화]]의 [[뵐숭 사가]]에서 등장하는 [[드워프]] 레긴은 [[레긴(뵐숭 사가)]]항목으로. 라이트 노벨 [[마탄의 왕과 바나디스]]의 등장인물은 [[레그나스 왕자|(1부 스포일러 방지)]] 항목으로.|| 상위 항목 : [[악성코드]] Backdoor.Regin [[2013년]] 보안업체에 처음 탐지되었고, [[2014년]] 11월에 그 존재가 발표된 악성코드. '''[[스턱스넷]]의 후예'''라는 평가가 어울리는, [[2014년]] 현재까지 발견된 악성코드 중 가장 정교하고 진화된 [[APT]] 도구이다. [목차] == 발견 == Backdoor.Regin(이하 “레긴”)은 미국의 보안 기업 [[시만텍]]에 의해 [[2013년]] 가을에 그 존재가 [[http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99|처음 탐지]]되었다. 한편, 러시아의 보안 기업 [[카스퍼스키]]도 [[벨기에]]의 한 통신사 네트워크에서 이 악성코드의 존재를 검출하였다. 그런데 이 악성코드는 일반적인 악성코드와는 달리 무려 5단계에 이르는 암호화된 전개 단계를 거쳐 작동하도록 설계되어 있어서, 대강의 전모를 파악하는 데만도 무려 1년에 가까운 시간이 걸렸다. 결국, 이 악성코드의 존재가 세상에 공표된 것은 [[2014년]] [[11월 23일]]의 일이었다. == 활동 추이 == 레긴이 처음 활동하기 시작한 것은 적어도 [[2008년]]부터의 일로 추정된다. 레긴 버전 1.0은 약 [[2008년]]부터 [[2011년]]까지 활동한 것으로 추정되고, 그 뒤 잠시 활동이 소강 상태에 들어갔다가 버전 2.0이 [[2013년]]부터 활동하기 시작한 것으로 추측된다. 레긴의 존재가 공표된 [[2014년]] 11월 현 시점에서, 이 악성코드에 대해 분석된 것은 대부분 버전 1.0의 일부분일 뿐이다. 레긴의 감염 사례는 약 10개 국가에서 두드러지게 나타나는데, 특히 [[러시아]]와 [[사우디아라비아]]가 감염 사례의 반 이상을 차지하고 있다. 공격당한 대상은 절반 정도는 개인이나 소규모 기업이고, 4분의 1 정도는 통신 기간망이었다. == 기능 == 레긴에는 아주 다양한 기능이 모듈 형태로 갖춰져 있는데, 이는 공격 목표에 따라 자유자재로 역량을 조정하기 위한 것이다. 가장 기본적인 기능으로는 * 피해자가 모르게 화면을 캡쳐해서 전송 * 눈치채지 못하게 마우스를 조작 * 암호를 비롯한 키보드의 입력 내용을 훔칠 수 있음[* 이 기능은 “[[https://securelist.com/blog/research/68525/|QWERTY]]”라는 [[키로거]] 플러그인을 통해 구현되는 것으로 보인다.] * 컴퓨터에 들어있는 모든 파일을 '''삭제된 파일까지 포함하여''' 확인하고, 훔칠 수 있음 * 대상 컴퓨터의 각종 정보 수집 * 대상 컴퓨터에서 현재 실행중인 프로그램이 무엇인지 확인하고, 필요하면 강제로 종료 * 대상 컴퓨터의 네트워크 활동을 감시하고, 필요하면 그 내용을 탈취 등이 있다. 특정 목표에 특화된 기능 모듈도 발견되었다. 예를 들면 * [[IIS]] 웹 서버에서 정보 탈취 * [[GSM]] 기지국의 통신 내역 감시 등이 발견되었다. 이러한 기능들은 목표 컴퓨터에 침투한 레긴이 C&C 서버로부터 지령과 함께 내려받아 작동시키도록 되어 있다. 그때그때 필요한 기능 모듈만 받아서 사용하게끔 되어 있기 때문에, 이것 말고도 어떤 기능이 더 있는지 밝혀내기가 무척 어렵다. === 은닉 기능 === 레긴의 기능 중 가장 공들여 만들어진 것으로 보이는 것은 바로 자체 은닉([[스텔스|Stealth]]) 기능이다. 레긴은 침투 사실 자체를 감추기 위해 5단계에 이르는 암호화된 전개 과정을 거쳐야만 비로소 작동하도록 설계되어 있으며, 레긴이 사용하는 암호화 기법 중에는 일반적으로 흔히 사용되지 않는 것이 포함되어 있다. 또한 고도의 [[루트킷]]이나 분석 방지(anti-forensic) 기법이 적용되어 있으며, 각종 기능 모듈과 훔쳐낸 모든 정보는 별도의 자체적인 암호화 가상 파일 시스템(EVFS)에 저장[* 이것은 일반적인 백신 검사 방법으로는 레긴의 기능 모듈을 탐지하는 것이 불가능하다는 뜻이다.]되도록 만들어져 있다. 그리고 C&C서버로부터 지령을 받거나 훔쳐낸 정보를 전송하는 데에도 각종 프로토콜과 방법을 섞어서 사용하며, 레긴에 감염된 컴퓨터끼리 [[P2P]]로 정보를 주고받기도 한다. 이러한 모든 기능과 특성들은 레긴의 존재 자체와 정보 유출을 탐지하는 것을 극도로 어렵게 만든다. 또한, 레긴 악성코드의 감염 경로 또한 현 시점에서는 오리무중이다. 다시 말해서, 레긴을 누가 어떤 방식으로 목표물에 침투시켰는지 현 시점에서는 전혀 알려진 바가 없다. 다만 고도의 은닉 기능을 포함한 복잡한 구조와 높은 기술 수준, 그리고 특정 목표에 교묘히 침투하여 정보를 수집하는 데 특화된 기능을 고려하면 이 악성코드의 배후에는 특정 국가의 정부 및 정보기관의 첩보 작전이 개입되어 있을 가능성이 높다. 거론되고 있는 유력한 곳은 영국 [[GCHQ]]가 있다. 이후 새로운 분석 내용이 나오면 [[추가바람]]. == 참고 == * [[APT]] 공격 * [[http://www.symantec.com/connect/blogs-364|레긴의 존재를 공표한 시만텍의 블로그 글]] * [[http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf|레긴의 1차 분석 결과를 담은 시만텍의 보안 백서 (영문)]] * [[http://www.boannews.com/media/view.asp?idx=44272|보안 전문 매체 보안뉴스의 관련 기사 링크 소개]] [[분류:악성코드]] 레긴 문서로 돌아갑니다.