이 스파이웨어는 전 세계 정부, 기간산업, 기업, 연구기간 등을 대상으로 7년 이상 숨어서 활동해온 것으로 드러났다. 스텔스 전투기와 같은 은닉기능을 가진 레긴은 국가 차원의 사이버 스파이 활동을 펼쳐온 것으로 추측된다.
시만텍 지금까지 발견된 멀웨어 가운데 가장 정교하고 진화된 정보 탈취 목적의 멀웨어를 포착했다고 25일 밝혔다.
레긴(Regin)으로 명명된 이 멀웨어는 최소 2008년부터 전 세계의 목표물을 대상으로 체계적인 스파이 활동을 펼쳐왔다.
백도어형 트로이목마 바이러스인 레긴은 전례를 찾기 힘들 정도의 기술 수준을 갖춘 복잡한 멀웨어다. 타깃에 따라 자유자재로 역량을 조정할 수 있는 맞춤형 멀웨어로, 대규모 감시가 가능한 강력한 컨트롤러로 정부 기관이나 기간산업 기관, 기업, 연구 기관 및 개인을 대상으로 스파이 활동을 펼쳐온 것으로 나타났다.
레긴을 개발하는데 수개월에서 많게는 수년이 소요되었을 것으로 보고 있다. 특히 개발자는 트랙을 감추는데 많은 노력을 기울였을 것으로 추측되고 있으며, 레긴의 역량과 재원의 수준을 고려했을 때 국가에서 사용되는 주요 사이버스파이 수단으로 추측된다.
시만텍이 발표한 바와 같이, 백도어 레긴은 다단계형 위협으로, 첫 단계를 제외한 각 단계가 암호화되고 감추어져 있다. 첫 단계로 복호(decryption)의 도미노 체인을 시작으로 총 다섯 단계까지 각 후속 단계가 로딩된다. 개별 단계에는 패키지를 완료하기 위한 정보가 거의 주어지지 않는다. 오직 다섯 단계 모두를 획득해야 위협 분석 및 이해가 가능하다.
레긴은 또한 모듈 방식(Modular approach)을 이용하며 타깃에 맞춤화된 특징을 갖춘다. 이러한 방식은 다른 플레이머(Flamer)나 위빌(Weevil) 같은 지능형 멀웨어 계열의 특징이 나타났고, 다단계 로딩 방식은 듀큐(Duqu)/스턱스넷(Stuxnet) 계열과 유사한 특징이다.
레긴 감염은 2008년에서 2011년 사이에 다양한 조직들에서 관찰되었다가 갑자기 사라졌다. 2013년부터 새로운 버전의 멀웨어가 지속적으로 나타났으며, 사기업을 포함해 정부 단체 및 연구기관을 목표로 하고 있다. 절반에 가까운 감염 피해가 개인과 중소기업에서 나타났다.
감염은 지리적으로 다양한 나라에서 나타나고 있으며, 특히 러시아, 사우디아라비아, 멕시코 등 10개 나라에서 주로 확인됐다.
감염은 지리적으로 다양한 나라에서 나타나고 있으며, 특히 러시아, 사우디아라비아, 멕시코 등 10개 나라에서 주로 확인됐다.
시만텍은 피해자들이 유명 웹사이트를 사칭한 사이트에 방문하도록 유도되었을 것으로 보고 있다. 피해자가 웹사이트를 방문하면 공격자들은 웹브라우저나 애플리케이션을 이용해 멀웨어를 설치한다. 실제로 한 컴퓨터의 로그 파일에서 야후! 인스턴트 메시지의 확인되지 않은 공격을 통해 레긴에 감염된 사례를 발견할 수 있었다.
맞춤화, 암호화된 가상 파일 시스템(EVFS) 및 안티 포렌식 기능과 함께 일반적으로 사용되지 않는 RC5라는 암호화 방식을 쓴다. 레긴은 다양하고 복잡한 방법을 사용해 공격자가 ICMP(Ping) 패킷이나 HTTP 쿠키에 포함된 명령과 사용자 정의 전송제어프로토콜(TCP)및 사용자 데이터그램 프로토콜(UDP) 프로토콜 등을 통해 공격자와 은밀한 소통이 가능하다.

국가별 레긴 감염 비율[사진 = 시만텍 ]