[사이버전쟁] 核 노답 만든……USB
<12> 스턱스넷 : 악성코드에 의한 핵무기 개발 억제 전략 (하)
USB로 악성코드 전파 설계
핵개발 시설 폐쇄망 무력화
공격 목표에만 엄청난 위력
사이버 공격 전통무기 파괴 증명
|
이란의 나탄즈 핵 시설
2010년 9월 글로벌 컴퓨터 보안회사인 시만텍(Symantec)은 스턱스넷에 관한 조사 결과를 통해 독일회사 지멘스(Siemens)의 원격 감시 제어 시스템(SCADA, Supervisory Control and Data Acquisition)에만 반응하는 그 악성코드가 전 세계로 퍼져나갔다고 발표했다.
그런데 공교롭게도 시만텍은 스턱스넷에 감염된 컴퓨터의 60% 정도가 이란에 몰려 있다고도 했다. 보안전문가들은 스턱스넷이 이란의 컴퓨터에서 처음 발견되었기에 이란을 표적으로 하는 것이 아니냐는 의구심을 갖고 있었던 터였다. 시만텍의 결과 발표로 인해 그 의구심이 확신으로 바뀌었다. 더욱이 전 세계의 이목이 지멘스의 원격 감시 제어 시스템을 사용하고 있었던 이란의 핵무기 개발 시설로 쏠렸다.
이란은 국제사회의 압력에도 불구하고 핵무기 개발을 지속하고 있다. 그 중심에 있던 시설이 나탄즈(Natanz)에 있다. 나탄즈의 시설은 핵무기에 필수적인 우라늄 농축을 담당하고 있다. 구체적으로 그곳에는 우라늄 농축에 사용되는 많은 수의 가스원심분리기가 있다고 알려져 있다.
2004년 이란이 유럽 국가들과 핵 개발 중지 협상을 하던 시기 나탄즈에서의 우라늄 농축 행위가 잠시 멈추기도 했지만 2006년에 재개되었다. 2007년 이란 정부는 나탄즈에 3000기의 가스원심분리기를 설치했다고 발표한 바 있다. 현재 나탄즈에는 1만9000기 이상의 가스원심분리기가 있다고 알려져 있다. 그런데 스턱스넷이 처음 세상에 모습을 드러냈던 2010년 당시 이란의 나탄즈에 있는 가스원심분리기의 작동은 그 악성코드가 공격 목표로 하는 지멘스의 WinCC/PCS 7 SCADA에 의해 통제되고 있었다.
|
스턱스넷의 공격 메커니즘
스턱스넷은 USB 메모리스틱을 통해 무작위로 윈도를 사용하는 컴퓨터를 감염시키며 전 세계로 퍼져나가지만, 설정된 공격 목표물이 아닌 대상에게는 아무런 반응을 하지 않았다. 그렇지만 그 악성코드는 저격 대상에게만큼은 엄청난 위력을 보여주었다. 여기서 USB를 통해 악성코드가 전파되도록 설계된 이유는 공격 목표였던 나탄즈 핵 개발 시설의 컴퓨터 시스템이 인터넷과 분리된 폐쇄망이었기 때문이었다. 스턱스넷은 핵시설에 대한 사이버 공격을 우려해 외부와 컴퓨터 시스템을 분리했던 이란의 방어 전략을 무력화시켰다.
먼저, 스턱스넷은 PLC(Programmable Logical Controller)용 윈도 컴퓨터에 침투하여 지멘스의 스텝 7(Step 7) 소프트웨어를 찾아 이를 감염시켰다. 스텝 7은 가스원심분리기를 원격에서 통제하는 지멘스의 WinCC/PCS 7 SCADA를 제어하는 프로그램이었다. 스턱스넷은 이후 WinCC의 핵심 라이브러리의 내용을 변경하여 WinCC와 PLC용 컴퓨터 사이의 통신을 가로챘다.
이는 중간자 공격(MITM, Man In the Middle Attack)의 일종으로 중간에 신호를 가로채어 SCADA 구동 중 감염된 컴퓨터가 시스템에 발생한 이상 징후를 감지하지 못하도록 하는 것이었다. 통상적으로 산업시설에 이상이 발생하면 컴퓨터의 제어 프로그램은 시설을 자동으로 멈추게 하며, 발생한 이상 현상도 즉각 운영자에게 알려주게 되어 있는데, 스턱스넷은 이러한 안전장치를 제거해 버린 것이다.
공격 준비가 끝난 스턱스넷은 PLC용 윈도 컴퓨터를 통제하여 산업시설을 파괴하는 명령을 내렸다. 구체적으로 스턱스넷의 공격을 받은 나탄즈의 가스원심분리기의 모터 회전수가 1410Hz로 올랐다가 2Hz로 갑자기 낮아지고, 다시 1064Hz로 변경되며 모터에 과부하가 발생했다. 이란의 담당자 누구도 가스원심분리기가 과부하로 스스로 파괴될 때까지 이러한 사실을 알지 못했다.
핵시설 파괴
이란 정부는 공식적으로 스턱스넷에 의한 피해 규모를 외부에 알리지 않았다. 그러나, 이란의 내부 소식통은 상당수의 이란 내 컴퓨터가 스턱스넷에 감염되었으며, 여러 변형의 존재로 인해 스턱스넷을 완전히 제거하는 것이 힘들다는 사실을 알렸다.
서구의 연구기관과 전문가들은 스턱스넷이 이란의 우라늄 농축시설에 피해를 주었다고 밝혔다. 가스원심분리기가 여러 차례 멈췄고, 우라늄 농축시설의 성능이 약 30%로 감소하였다는 주장도 나왔다. 미국 과학자 연맹(FAS, Federation of American Scientists)은 가동하고 있는 나탄즈의 가스원심분리기 4700기 중 800기가 멈췄다고 주장했다. 과학국제안보연구소(ISIS, Institute for Science and International Security)의 2010년 12월 보고서에 따르면, 나탄즈의 가스원심분리기의 10%에 이르는 최대 1000기가 파괴되었다. 국제원자력기구 역시도 스턱스넷 공격 이후 약 1000기의 가스원심분리기 해체 작업 모습이 나탄즈에 설치된 카메라에 포착되었다고 했다. 즉, 확실한 수치는 없지만, 스턱스넷이 이란의 핵무기 개발에 물리적 손해를 입힌 것은 사실이었다.
공격자의 정체
스턱스넷은 악성코드로는 드물게 500KB의 큰 용량을 갖고 있었으며, C와 C++를 포함한 여러 가지 프로그램 언어로 복잡하고 정교하게 만들어졌다. 더욱이, 전례 없이 악성코드 개발자에게 하나만으로도 유용한 제로 데이 취약점이 네 개나 사용되었다. 제로 데이 공격은 소프트웨어 제조사가 해당 취약점을 모르거나, 알고 있으나 그에 대한 보안 패치가 배포되지 않은 상태의 취약점을 공략하는 방식이다.
여러 정황적, 그리고 과학적 증거들은 스턱스넷의 개발자로 미국과 이스라엘 두 국가를 지목했다. 두 국가는 세계에서 가장 앞선 컴퓨터 과학 기술을 보유하고 있었으며, 이란의 핵 개발을 강하게 반대해왔다. 미국과 이스라엘의 고위직, 그리고 외교문서를 통해 간접적으로 그들이 이번 사이버 작전에 관여되었다는 사실이 흘러나오고 있다. 그럼에도, 오랜 시간이 지난 지금까지 두 국가 모두 이를 인정도 부인도 하지 않고 있다.
사이버 무기의 전통적 무기 파괴
스턱스넷은 최대 1000기 정도의 가스원심분리기를 파괴하는 데 그쳤다는 평가를 받는다. 또한, 이란의 피해 복구도 이른 시일 안에 이루어졌다고 한다. 스턱스넷의 공격이 이란 핵 개발의 영구적 중지가 아닌 일시적 지연 정도로 평가를 받기도 한다. 그럼에도, 악성코드를 통해 한 국가의 물리적인 산업시설, 더 나아가 핵무기 개발에 지장을 초래했다는 사실은 군사적으로 큰 시사점을 주고 있다. 그 이유는 스턱스넷이란 사이버 무기가 현실 세계에 존재하는 전통적 무기를 파괴할 수 있다는 것을 어느 정도 증명했기 때문이다.
■ 필자
박동휘 소령_육군3사관학교 군사사학과 학과장
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
[사이버전쟁] 核 노답 만든……USB
<12> 스턱스넷 : 악성코드에 의한 핵무기 개발 억제 전략 (하)
USB로 악성코드 전파 설계
핵개발 시설 폐쇄망 무력화
공격 목표에만 엄청난 위력
사이버 공격 전통무기 파괴 증명
|
이란의 나탄즈 핵 시설
2010년 9월 글로벌 컴퓨터 보안회사인 시만텍(Symantec)은 스턱스넷에 관한 조사 결과를 통해 독일회사 지멘스(Siemens)의 원격 감시 제어 시스템(SCADA, Supervisory Control and Data Acquisition)에만 반응하는 그 악성코드가 전 세계로 퍼져나갔다고 발표했다.
그런데 공교롭게도 시만텍은 스턱스넷에 감염된 컴퓨터의 60% 정도가 이란에 몰려 있다고도 했다. 보안전문가들은 스턱스넷이 이란의 컴퓨터에서 처음 발견되었기에 이란을 표적으로 하는 것이 아니냐는 의구심을 갖고 있었던 터였다. 시만텍의 결과 발표로 인해 그 의구심이 확신으로 바뀌었다. 더욱이 전 세계의 이목이 지멘스의 원격 감시 제어 시스템을 사용하고 있었던 이란의 핵무기 개발 시설로 쏠렸다.
이란은 국제사회의 압력에도 불구하고 핵무기 개발을 지속하고 있다. 그 중심에 있던 시설이 나탄즈(Natanz)에 있다. 나탄즈의 시설은 핵무기에 필수적인 우라늄 농축을 담당하고 있다. 구체적으로 그곳에는 우라늄 농축에 사용되는 많은 수의 가스원심분리기가 있다고 알려져 있다.
2004년 이란이 유럽 국가들과 핵 개발 중지 협상을 하던 시기 나탄즈에서의 우라늄 농축 행위가 잠시 멈추기도 했지만 2006년에 재개되었다. 2007년 이란 정부는 나탄즈에 3000기의 가스원심분리기를 설치했다고 발표한 바 있다. 현재 나탄즈에는 1만9000기 이상의 가스원심분리기가 있다고 알려져 있다. 그런데 스턱스넷이 처음 세상에 모습을 드러냈던 2010년 당시 이란의 나탄즈에 있는 가스원심분리기의 작동은 그 악성코드가 공격 목표로 하는 지멘스의 WinCC/PCS 7 SCADA에 의해 통제되고 있었다.
|
스턱스넷의 공격 메커니즘
스턱스넷은 USB 메모리스틱을 통해 무작위로 윈도를 사용하는 컴퓨터를 감염시키며 전 세계로 퍼져나가지만, 설정된 공격 목표물이 아닌 대상에게는 아무런 반응을 하지 않았다. 그렇지만 그 악성코드는 저격 대상에게만큼은 엄청난 위력을 보여주었다. 여기서 USB를 통해 악성코드가 전파되도록 설계된 이유는 공격 목표였던 나탄즈 핵 개발 시설의 컴퓨터 시스템이 인터넷과 분리된 폐쇄망이었기 때문이었다. 스턱스넷은 핵시설에 대한 사이버 공격을 우려해 외부와 컴퓨터 시스템을 분리했던 이란의 방어 전략을 무력화시켰다.
먼저, 스턱스넷은 PLC(Programmable Logical Controller)용 윈도 컴퓨터에 침투하여 지멘스의 스텝 7(Step 7) 소프트웨어를 찾아 이를 감염시켰다. 스텝 7은 가스원심분리기를 원격에서 통제하는 지멘스의 WinCC/PCS 7 SCADA를 제어하는 프로그램이었다. 스턱스넷은 이후 WinCC의 핵심 라이브러리의 내용을 변경하여 WinCC와 PLC용 컴퓨터 사이의 통신을 가로챘다.
이는 중간자 공격(MITM, Man In the Middle Attack)의 일종으로 중간에 신호를 가로채어 SCADA 구동 중 감염된 컴퓨터가 시스템에 발생한 이상 징후를 감지하지 못하도록 하는 것이었다. 통상적으로 산업시설에 이상이 발생하면 컴퓨터의 제어 프로그램은 시설을 자동으로 멈추게 하며, 발생한 이상 현상도 즉각 운영자에게 알려주게 되어 있는데, 스턱스넷은 이러한 안전장치를 제거해 버린 것이다.
공격 준비가 끝난 스턱스넷은 PLC용 윈도 컴퓨터를 통제하여 산업시설을 파괴하는 명령을 내렸다. 구체적으로 스턱스넷의 공격을 받은 나탄즈의 가스원심분리기의 모터 회전수가 1410Hz로 올랐다가 2Hz로 갑자기 낮아지고, 다시 1064Hz로 변경되며 모터에 과부하가 발생했다. 이란의 담당자 누구도 가스원심분리기가 과부하로 스스로 파괴될 때까지 이러한 사실을 알지 못했다.
핵시설 파괴
이란 정부는 공식적으로 스턱스넷에 의한 피해 규모를 외부에 알리지 않았다. 그러나, 이란의 내부 소식통은 상당수의 이란 내 컴퓨터가 스턱스넷에 감염되었으며, 여러 변형의 존재로 인해 스턱스넷을 완전히 제거하는 것이 힘들다는 사실을 알렸다.
서구의 연구기관과 전문가들은 스턱스넷이 이란의 우라늄 농축시설에 피해를 주었다고 밝혔다. 가스원심분리기가 여러 차례 멈췄고, 우라늄 농축시설의 성능이 약 30%로 감소하였다는 주장도 나왔다. 미국 과학자 연맹(FAS, Federation of American Scientists)은 가동하고 있는 나탄즈의 가스원심분리기 4700기 중 800기가 멈췄다고 주장했다. 과학국제안보연구소(ISIS, Institute for Science and International Security)의 2010년 12월 보고서에 따르면, 나탄즈의 가스원심분리기의 10%에 이르는 최대 1000기가 파괴되었다. 국제원자력기구 역시도 스턱스넷 공격 이후 약 1000기의 가스원심분리기 해체 작업 모습이 나탄즈에 설치된 카메라에 포착되었다고 했다. 즉, 확실한 수치는 없지만, 스턱스넷이 이란의 핵무기 개발에 물리적 손해를 입힌 것은 사실이었다.
공격자의 정체
스턱스넷은 악성코드로는 드물게 500KB의 큰 용량을 갖고 있었으며, C와 C++를 포함한 여러 가지 프로그램 언어로 복잡하고 정교하게 만들어졌다. 더욱이, 전례 없이 악성코드 개발자에게 하나만으로도 유용한 제로 데이 취약점이 네 개나 사용되었다. 제로 데이 공격은 소프트웨어 제조사가 해당 취약점을 모르거나, 알고 있으나 그에 대한 보안 패치가 배포되지 않은 상태의 취약점을 공략하는 방식이다.
여러 정황적, 그리고 과학적 증거들은 스턱스넷의 개발자로 미국과 이스라엘 두 국가를 지목했다. 두 국가는 세계에서 가장 앞선 컴퓨터 과학 기술을 보유하고 있었으며, 이란의 핵 개발을 강하게 반대해왔다. 미국과 이스라엘의 고위직, 그리고 외교문서를 통해 간접적으로 그들이 이번 사이버 작전에 관여되었다는 사실이 흘러나오고 있다. 그럼에도, 오랜 시간이 지난 지금까지 두 국가 모두 이를 인정도 부인도 하지 않고 있다.
사이버 무기의 전통적 무기 파괴
스턱스넷은 최대 1000기 정도의 가스원심분리기를 파괴하는 데 그쳤다는 평가를 받는다. 또한, 이란의 피해 복구도 이른 시일 안에 이루어졌다고 한다. 스턱스넷의 공격이 이란 핵 개발의 영구적 중지가 아닌 일시적 지연 정도로 평가를 받기도 한다. 그럼에도, 악성코드를 통해 한 국가의 물리적인 산업시설, 더 나아가 핵무기 개발에 지장을 초래했다는 사실은 군사적으로 큰 시사점을 주고 있다. 그 이유는 스턱스넷이란 사이버 무기가 현실 세계에 존재하는 전통적 무기를 파괴할 수 있다는 것을 어느 정도 증명했기 때문이다.
■ 필자
박동휘 소령_육군3사관학교 군사사학과 학과장