로이터 등 주요 외신에 따르면 미국 보안업체 시만텍은 23일(현지시간) 이른바 '레긴(Regin)'으로 불리는 악성코드가 2008년부터 러시아·사우디아라비아·아일랜드·이란 등 10개국에서 체계적인 정보탈취 행위를 하는 데 사용됐다는 내용의 보고서를 발표했다. 이 악성코드는 2011년까지 활동하다 잠시 종적을 감춘 뒤 2013년 새로운 버전으로 재등장했다.
레긴은 공격 대상에 대한 장기적이고 지속적인 감시기능을 수행하기에 적합한 형태를 띤 것이 특징이다. 감염 사실을 숨기기 위해 여러 은닉기능을 가졌으며 5단계로 암호화돼 있어 설사 발견되더라도 악성코드가 어떤 활동을 하는지 규명하기 어렵다. 아울러 대상에 맞춰 맞춤형 공격을 할 수 있도록 모듈 방식을 채택하고 있다.
레긴은 우선 인터넷서비스 사업자, 이동통신사를 감염시킨 뒤 이들 회사의 기간망을 이용하는 고객들의 시스템에 침투해 e메일 서버, 휴대폰 대화 등의 정보를 빼낸 것으로 드러났다. 하지만 구체적으로 어떤 방식에 따라 시스템을 감염시키는지는 파악되지 않았다.
시만텍은 이러한 기술수준과 정교성을 볼 때 레긴이 스턱스넷처럼 국가 차원에서 개발됐을 가능성이 높다고 추정했다. 스턱스넷은 이란 핵시설 타격 용도로 미국과 이스라엘의 정보기관이 개발했다고 알려진 신종 사이버 무기다. 오를라 콕스 시만텍 이사는 "(레긴 개발에) 최소 수개월에서 수년이 걸렸을 것"이라며 "아마 서방 정보기관들이 개발한 것이 아닌가 보고 있다"고 말했다.
이에 대해 서방 정보기관의 한 관계자는 파이낸셜타임스(FT)에 "악성코드가 특정 국가에서 사용된다고 그 나라가 개발하지 않았다고 제쳐놓는 것은 위험한 발상"이라고 밝힌 뒤 "몇몇 국가와 정보기관은 이 도구를 국내용으로 쓸 것"이라며 레긴의 '서방 개발설'을 부정했다.
