이란 혁명과 핵 개발 시도

서남아시아에 있는 이란은 고대국가 페르시아를 뿌리로 둔 시아파 이슬람 국가다. 이들은 사우디아라비아로 대표되는 수니파 아랍 국가들과 오랜 경쟁 관계를 유지하고 있다. 제2차 세계대전 이후 이란의 팔레비 왕조는 이란을 중심으로 하는 미국 중동 정책의 수혜를 입으며 지역 내에서 입지를 굳건히 했다. 친미 성향의 국왕과 그의 측근들은 석유 수출을 통해 막대한 부를 축적했다.

그러나 급속한 경제성장 이면의 빈부 격차 심화, 비민주적인 국정 운영과 서구화 과정에서 발생한 이슬람 성직자들의 불만으로 팔레비 왕조체제에 균열이 생겼다. 결국, 1979년 이란혁명이 일어났다. 종교지도자 아야톨라 루홀라 호메이니는 민중의 지지를 힘입어 팔레비 왕조를 무너뜨리고, 이슬람 신정 체제의 이란 이슬람 공화국을 수립했다.

호메이니의 이란은 서구 국가와의 결별과 수니파의 맹주인 사우디아라비아를 중심으로 한 미국의 새로운 중동 정책으로 인해 대외적으로 고립됐다. 그들은 이러한 어려운 상황을 돌파하기 위한 생존의 수단으로 결국 핵무기 개발을 선택했다. 국제사회는 이란의 핵 개발에 대한 우려와 함께 이를 저지하기 위한 노력에 돌입했다. 그런데 여기서 흥미로운 것은 이란의 핵무기 개발을 저지하기 위해 사용된 군사적 무기가 컴퓨터 악성코드였다는 사실이다.

이란의 수상한 고객과 벨라루스의 작은 컴퓨터 보안회사

2010년 6월 중순 동유럽의 작은 국가 벨라루스의 수도 민스크에 있는 소규모 컴퓨터 보안회사 ‘VirusBlokAda’가 바빠졌다. VirusBlokAda의 기술지원팀은 신원이 공개되지 않은 오래된 이란인 고객으로부터 급한 연락을 받았다. 그 고객은 자신이 관리하는 컴퓨터가 오류 메시지와 함께 멈추고 재부팅되기를 무수히 반복한다고 했다. 의뢰를 받을 당시 보안회사의 기술지원팀은 문제의 발생 원인을 운영체제인 윈도의 단순한 설정 문제 또는 컴퓨터에 설치된 프로그램 간의 충돌 정도로 여겼다.

기술지원팀은 조사를 시작한 지 얼마 지나지 않아 이상한 낌새를 느꼈다. 서비스를 요청한 이란인 고객 역시도 컴퓨터 보안전문가였기에 단순한 문제였다면 굳이 그들에게 도움을 요청하지 않았을 터였다. 더욱이, 고객의 네트워크에 연결된 수많은 컴퓨터가 동시에 같은 오류를 겪고 있었다. 윈도를 재설치한 컴퓨터에서도 그 문제가 반복됐다. 즉, 이란인 고객에게 나타난 문제는 컴퓨터를 서툴게 다뤄서 나타나는 단순한 문제가 아니었다.

스턱스넷의 등장

VirusBlokAda의 기술지원팀은 문제 해결을 위해 원격으로 이란 고객의 컴퓨터에 접속해 조사를 이어갔다. 2010년 6월 17일 그들은 마침내 컴퓨터 내에 은밀하게 숨어있던 매우 복잡한 구조의 악성코드를 발견해냈다. USB를 통해 전파되는 악성코드는 최신 보안업데이트가 된 윈도7을 운용체제로 사용하는 컴퓨터를 감염시킬 수 있었다. 강력한 전파력을 가진 녀석이었다. 더 무서운 사실은 악성코드가 글로벌 거대 IT 기업의 소프트웨어 프로그램으로 둔갑해 있었다. 악성코드는 믿을 만한 기업의 합법적인 소프트웨어 행세를 했기에 일반 사람들뿐만 아니라 컴퓨터 전문가들의 눈도 피해 은밀히 숨어있을 수 있었다.

VirusBlokAda의 기술지원팀은 발견한 악성코드를 ‘Rookit.Tmphider’로 명명했고, 그 위험성을 세상에 알리기로 했다. 먼저 그들은 합법적 인증서를 도용당한 IT 기업인 마이크로소프트와 리얼텍(Realtek)에 이러한 사실을 알렸으나, 어떠한 답변도 듣지 못했다. 그들의 다음 선택지는 온라인 정보보안 관련 커뮤니티였다. 기술지원팀은 가장 인기 있는 정보보안 포럼(wilderssecurity.com)과 자신들의 회사 웹사이트에 새로운 악성코드에 관한 정보를 공개했다.

한 유명 보안 블로거 브라이언 크렙스는 2010년 7월 15일 자신의 블로그에 VirusBlokAda의 기술지원팀의 게시글을 포스팅했다. 글은 오래지 않아 보안전문가들과 소프트웨어 증명서를 도용당한 IT 기업들의 관심을 끌며, 이내 전 세계에 알려졌다. 크렙스가 글을 게시한 다음날인 7월 16일 마이크로소프트는 악성코드가 자사 프로그램의 취약점을 이용해 활동함을 인정하는 동시에 그에 대한 대처법을 공식적으로 발표했다.

이후, 컴퓨터 보안전문가들과 안보전문가들은 VirusBlokAda의 기술지원팀이 발견한 악성코드를 ‘스턱스넷(Stuxnet)’으로 부르기 시작했다. 영향력이 큰 글로벌 보안회사 시만텍(Symantec)이 악성코드 내에 있는 키워드 몇몇을 조합해 스턱스넷이란 새로운 이름을 부여했기 때문이었다.

저격수의 공격 목표

스턱스넷의 가장 큰 특징은 명확한 목적을 가지고 탄생한 악성코드라는 점이다. 스턱스넷은 모든 컴퓨터를 공격하는 것이 아니라, 오로지 윈도 운영체제를 사용하는 컴퓨터만을 감염시킨다. 악성코드는 엄청난 속도로 전 세계의 윈도 사용 컴퓨터로 퍼져나갔다. 그런데도 일반적인 사람은 그들의 윈도 컴퓨터에 스턱스넷이 침투했더라도 그 사실을 알 수가 없었다. 그 이유는 악성코드 스턱스넷은 독일의 전기전자기업인 지멘스(Siemens)가 만든 특정 소프트웨어에만 반응하도록 설계됐기 때문이었다.

스턱스넷은 침투에 성공한 즉시 컴퓨터에 지멘스의 특정 소프트웨어가 설치돼 있는지를 검색한다. 스턱스넷은 컴퓨터 내에서 공격목표로 설정된 소프트웨어를 발견하지 못하면, 바로 휴면 상태에 들어간다. 스턱스넷의 초기 버전은 공격대상을 발견하지 못했을 때 활동 하지 않지만, 사라지지는 않았기에 보안회사의 조사를 통해 추후 침투 사실을 확인할 수 있는 구조였다.

이후 2012년 6월에 발견된 새로운 버전의 스턱스넷은 심지어 침투한 컴퓨터에서 공격 목표물을 찾지 못할 시 자신을 스스로 삭제하도록 업그레이드돼 있었다. 보안전문가들이 자신을 찾거나 추적하지 못하도록 더 무섭게 진화됐다. 그렇다면, 명확한 목표만을 공격하도록 설계된 스턱스넷의 저격대상은 누구였을까? 전 세계 컴퓨터 보안전문가와 안보전문가들은 그 답으로 지멘스가 개발한 원격 감시 제어 시스템(SCADA·Supervisory Control and Data Acquisition)을 사용하고 있는 이란의 핵 개발 시설을 지목했다.

<다음 회에 계속>