스턱스넷(Stuxnet)은 2010년에 처음 등장한 강력한 악성 컴퓨터 웜 바이러스로서 새로운 종류의 디지털 무기입니다. 스턱스넷을 개발했다고 공식적으로 인정한 국가는 없지만 미국과 이스라엘이 이 웜을 공동 개발한 것으로 공공연히 알려져 있습니다.
같은 유형의 멀웨어 중 가장 큰 규모의 피해 비용을 발생시킨 스턱스넷은 이란의 우라늄 농축 시설의 원심분리기를 표적으로 삼아 만들어졌습니다. 참고로 스턱스넷은 감염된 장치를 물리적으로 파괴한 최초의 바이러스입니다.
2010년 이란의 핵 프로그램을 심각하게 마비시킨 이 악성코드는 시간이 지남에 따라 사이버 공격자들에 의해 수정되어 발전소 또는 가스관 등 다른 위험 시설도 공격할 수 있도록 변경되었습니다.
다음은 스턱스넷에 대한 몇 가지 흥미로운 사실입니다:
스턱스넷은 2005년부터 개발되었지만 시간이 훨씬 지난 2010년에 발견되어 보고되었습니다. 2010년 1월, 이란 나탄즈 우라늄 농축 공장을 방문한 조사관들은 원심분리기가 전례 없이 빠른 속도로 고장 나는 것을 발견했습니다. 당시에는 고장의 원인을 발견하지 못했지만 5개월 후, 연구원들은 시스템 중 하나에서 악성 파일을 발견했습니다.
스턱스넷은 2010년 3월경부터 본격적으로 확산되기 시작했으며, 2010년 7월 15일에 산업 시스템 보안에 관련된 두 개의 대형 메일링 리스트에 대한 디도스 공격으로 인해 이 웜의 존재가 널리 알려지게 되었습니다.
결과적으로 스턱스넷은 이란의 14개 핵 시설에 있는 2만 개 이상의 장치를 감염시키고 약 900대의 원심분리기를 망가뜨렸습니다. 공격 대상 외에는 큰 피해를 입히지 않았지만, 이후 다양한 국가의 인프라를 표적으로 삼는 멀웨어의 본보기가 되었습니다. 변형된 버전은 비핵 시설도 표적으로 삼습니다.
유일한 분단 국가인 대한민국도 이러한 국가 간 대규모 해킹 공격에서 자유롭지 않습니다. 한국에 거주하고 있는 인터넷 사용자라면 사이버 보안에 특히 더 신경을 써야하는 이유입니다.
한국 군의 연구 결과에 따르면 방위사업청을 향한 해커들의 해킹 시도가 연평균 3000건을 웃도는 것으로 나타났으며, 이러한 방산업체를 대상으로 한 해킹 시도는 매년 수백 건씩 늘고 있다고 합니다.
예를 들어 2021년 3월에는 한국전력공사 통신망이 해킹을 당해 검침 모뎀 1.2만대의 통신이 두절된 적이 있었습니다. 또한 같은 해에 한국원자력연구원, 한국항공우주산업(KAI)와 한국항공우주연구원(KARI), 대우조선해양 등 주요 기술 기업들의 해킹으로 인한 정보 유출 소식이 알려졌습니다.
개인을 대상으로 하는 공격도 나날이 증가하고 있습니다. 개인이 가장 쉽게 취할 수 있는 보안 조치는 VPN이라는 이름으로 우리에게 알려진 가상사설망 기술을 사용하여 네트워크를 보호하는 것입니다. VPN 사용법을 잘 파악하고 국내에서 사용하기에 적합한 서버를 보유한 한국 VPN을 사용하는 것이 좋습니다.
클릭 한 번으로 완성되는 소중한 개인정보 보호 NordVPN
NordVPN 구매스턱스넷은 매우 정교하고 침입성이 강한 멀웨어입니다. 운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안에서 기존에 알려지지 않은 취약점을 악용하는 제로데이(zero-day) 공격을 통해 대상 시스템을 감염시키고 다른 시스템으로 신속하게 확산됩니다.
퍼핀은 때때로 브라우저 차원에서 성인 사이트에 대한 액세스 차단 정책을 도입하라는 요청을 받습니다. 이를 거부하고 있기 때문에 보수적인 정부에서는 퍼핀을 차단하는 경우가 있습니다.
스턱스넷에 포함된 중간자 공격 코드를 통해 해커는 피해 장치의 센서 신호를 교란하기 때문에 표적이 된 시스템이 비정상적인 작동하는 것을 탐지하더라도 피해자는 시스템을 종료할 수 없습니다.
그러나 불행 중 다행으로 특정 구성을 가진 표적에만 영향을 미치며, 다른 장치에는 최소한의 피해를 입히도록 신중하게 설계되었습니다.
스턱스넷은 세 가지 시스템 계층을 표적으로 삼습니다:
스턱스넷은 원격 코드 실행과 같은 다양한 제로 데이 취약점을 악용하여 Windows 시스템에 침투합니다. 이 악성코드는 활성화된 프린터 공유 또는 Windows 탐색기에서 파일을 볼 때 파일을 실행하는 LNK/PIF 취약점을 이용했습니다.
이 악성코드의 장치 드라이버는 두 개의 공인 인증서로 서명되어 있어 사용자 모르게 커널 드라이브에 액세스하고 오랫동안 탐지되지 않은 채로 남아있을 수 있습니다. 또한 스턱스넷에는 웜을 모니터링 시스템에서 숨기는 루트킷이 포함되어 있습니다.
Windows 시스템에 침투한 스턱스넷은 지멘스 산업용 소프트웨어 애플리케이션에 속한 파일을 감염시키고 통신을 방해합니다. 또한 PLC 장치의 코드를 수정하고 PLC 모니터에 멀웨어 블록을 설치합니다.
그런 다음 시스템의 주파수를 지속적으로 변경하고 모터의 회전 속도를 변경하여 모터 작동에 영향을 주는 방식으로 장치를 파괴합니다.
스턱스넷은 향후 멀웨어 개발에 큰 영향을 미쳤습니다. 다음은 스턱스넷을 모델로 삼아 만들어진 몇가지 바이러스의 예입니다:
위에서 언급했듯이 스턱스넷 바이러스는 주로 기업을 타겟으로 합니다. 기업의 사이버 보안을 위한 몇 가지 팁을 알려드립니다: