스턱스넷이란 무엇인가? – 핵이 된 디지털 웜

스턱스넷(Stuxnet)은 2010년에 처음 등장한 강력한 악성 컴퓨터 웜 바이러스로서 새로운 종류의 디지털 무기입니다. 스턱스넷을 개발했다고 공식적으로 인정한 국가는 없지만 미국과 이스라엘이 이 웜을 공동 개발한 것으로 공공연히 알려져 있습니다.

같은 유형의 멀웨어 중 가장 큰 규모의 피해 비용을 발생시킨 스턱스넷은 이란의 우라늄 농축 시설의 원심분리기를 표적으로 삼아 만들어졌습니다. 참고로 스턱스넷은 감염된 장치를 물리적으로 파괴한 최초의 바이러스입니다.

2010년 이란의 핵 프로그램을 심각하게 마비시킨 이 악성코드는 시간이 지남에 따라 사이버 공격자들에 의해 수정되어 발전소 또는 가스관 등 다른 위험 시설도 공격할 수 있도록 변경되었습니다.

다음은 스턱스넷에 대한 몇 가지 흥미로운 사실입니다:

• 스턱스넷은 USB 드라이브를 통해 대상 디바이스를 감염시킨 최초의 멀웨어입니다.
• 스턱스넷은 P2P 통신과 온라인 연결을 사용하여 자체 업데이트 기능을 가졌습니다.
• 제로 데이즈, 블랙햇 등 여러 영화의 소재가 되었습니다.

스턱스넷은 2005년부터 개발되었지만 시간이 훨씬 지난 2010년에 발견되어 보고되었습니다. 2010년 1월, 이란 나탄즈 우라늄 농축 공장을 방문한 조사관들은 원심분리기가 전례 없이 빠른 속도로 고장 나는 것을 발견했습니다. 당시에는 고장의 원인을 발견하지 못했지만 5개월 후, 연구원들은 시스템 중 하나에서 악성 파일을 발견했습니다.

스턱스넷은 2010년 3월경부터 본격적으로 확산되기 시작했으며, 2010년 7월 15일에 산업 시스템 보안에 관련된 두 개의 대형 메일링 리스트에 대한 디도스 공격으로 인해 이 웜의 존재가 널리 알려지게 되었습니다.

결과적으로 스턱스넷은 이란의 14개 핵 시설에 있는 2만 개 이상의 장치를 감염시키고 약 900대의 원심분리기를 망가뜨렸습니다. 공격 대상 외에는 큰 피해를 입히지 않았지만, 이후 다양한 국가의 인프라를 표적으로 삼는 멀웨어의 본보기가 되었습니다. 변형된 버전은 비핵 시설도 표적으로 삼습니다.

유일한 분단 국가인 대한민국도 이러한 국가 간 대규모 해킹 공격에서 자유롭지 않습니다. 한국에 거주하고 있는 인터넷 사용자라면 사이버 보안에 특히 더 신경을 써야하는 이유입니다.

한국 군의 연구 결과에 따르면 방위사업청을 향한 해커들의 해킹 시도가 연평균 3000건을 웃도는 것으로 나타났으며, 이러한 방산업체를 대상으로 한 해킹 시도는 매년 수백 건씩 늘고 있다고 합니다.

예를 들어 2021년 3월에는 한국전력공사 통신망이 해킹을 당해 검침 모뎀 1.2만대의 통신이 두절된 적이 있었습니다. 또한 같은 해에 한국원자력연구원, 한국항공우주산업(KAI)와 한국항공우주연구원(KARI), 대우조선해양 등 주요 기술 기업들의 해킹으로 인한 정보 유출 소식이 알려졌습니다.

개인을 대상으로 하는 공격도 나날이 증가하고 있습니다. 개인이 가장 쉽게 취할 수 있는 보안 조치는 VPN이라는 이름으로 우리에게 알려진 가상사설망 기술을 사용하여 네트워크를 보호하는 것입니다. VPN 사용법을 잘 파악하고 국내에서 사용하기에 적합한 서버를 보유한 한국 VPN을 사용하는 것이 좋습니다.

스턱스넷은 매우 정교하고 침입성이 강한 멀웨어입니다. 운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안에서 기존에 알려지지 않은 취약점을 악용하는 제로데이(zero-day) 공격을 통해 대상 시스템을 감염시키고 다른 시스템으로 신속하게 확산됩니다.

퍼핀은 때때로 브라우저 차원에서 성인 사이트에 대한 액세스 차단 정책을 도입하라는 요청을 받습니다. 이를 거부하고 있기 때문에 보수적인 정부에서는 퍼핀을 차단하는 경우가 있습니다.

스턱스넷에 포함된 중간자 공격 코드를 통해 해커는 피해 장치의 센서 신호를 교란하기 때문에 표적이 된 시스템이 비정상적인 작동하는 것을 탐지하더라도 피해자는 시스템을 종료할 수 없습니다.

그러나 불행 중 다행으로 특정 구성을 가진 표적에만 영향을 미치며, 다른 장치에는 최소한의 피해를 입히도록 신중하게 설계되었습니다.

스턱스넷은 세 가지 시스템 계층을 표적으로 삼습니다:

• Windows OS
• Siemens PCS 7, WinCC 및 STEP7 산업용 소프트웨어 애플리케이션
• Siemens S7 프로그래머블 로직 컨트롤러

스턱스넷은 원격 코드 실행과 같은 다양한 제로 데이 취약점을 악용하여 Windows 시스템에 침투합니다. 이 악성코드는 활성화된 프린터 공유 또는 Windows 탐색기에서 파일을 볼 때 파일을 실행하는 LNK/PIF 취약점을 이용했습니다.

이 악성코드의 장치 드라이버는 두 개의 공인 인증서로 서명되어 있어 사용자 모르게 커널 드라이브에 액세스하고 오랫동안 탐지되지 않은 채로 남아있을 수 있습니다. 또한 스턱스넷에는 웜을 모니터링 시스템에서 숨기는 루트킷이 포함되어 있습니다.

Windows 시스템에 침투한 스턱스넷은 지멘스 산업용 소프트웨어 애플리케이션에 속한 파일을 감염시키고 통신을 방해합니다. 또한 PLC 장치의 코드를 수정하고 PLC 모니터에 멀웨어 블록을 설치합니다.

그런 다음 시스템의 주파수를 지속적으로 변경하고 모터의 회전 속도를 변경하여 모터 작동에 영향을 주는 방식으로 장치를 파괴합니다.

스턱스넷은 향후 멀웨어 개발에 큰 영향을 미쳤습니다. 다음은 스턱스넷을 모델로 삼아 만들어진 몇가지 바이러스의 예입니다:

• 

  Flame – 플레임은 이란 및 기타 중동 국가를 표적으로 삼은 정교한 스파이웨어입니다. 주로 교육 및 정부 기관을 표적으로 삼았습니다. 플레임은 USB 스틱을 통해 디바이스를 주입한 후 키 입력을 기록하고 Skype 대화를 녹음합니다.
• 

  Havex – 플레임과 달리 하벡스는 주로 서방 국가를 표적으로 삼고 있지만 의도는 비슷합니다. 항공, 방위, 에너지 및 제약 회사를 감시합니다.
• 

  Duqu – 두쿠는 Windows 제로 데이 취약점을 악용한 컴퓨터 멀웨어 모음입니다. 스턱스넷과 매우 유사하며 이란의 핵 관련 기관을 표적으로 삼습니다.
• 

  Industroyer – 인더스트리로이어는 2016년 우크라이나의 전력망을 공격하는 데 사용된 멀웨어입니다. 이 공격으로 키예프 일부 지역에 한 시간 동안 전기가 공급되지 않았습니다.
• 

  Triton – 트리톤은 사우디아라비아의 석유화학 공장을 표적으로 삼았습니다. 트리톤은 ‘세계에서 가장 살인적인 멀웨어’로 불리며 발전소에 재앙을 초래할 수 있습니다.

위에서 언급했듯이 스턱스넷 바이러스는 주로 기업을 타겟으로 합니다. 기업의 사이버 보안을 위한 몇 가지 팁을 알려드립니다:

• 

  방화벽을 사용하여 산업용 네트워크를 일반 비즈니스 네트워크와 분리하여 멀웨어 확산을 방지하세요.
• 

  애플리케이션 화이트리스트를 사용하여 악의적인 행위자로부터 네트워크를 필터링하세요.
• 

  네트워크에서 비정상적인 활동이 있는지 면밀히 모니터링하세요.
• 

  의심스러운 USB가 디바이스에 연결되지 않도록 엄격한 이동식 미디어 정책을 유지하세요.
• 

  불필요한 서비스를 비활성화하여 호스트 강화를 실천하세요.