국가기간망 위협하는 사이버 지뢰, 스틱스넷
스턱스넷은 일반 바이러스와 달리 자신이 장악한 시스템을 물리적으로 파괴하지는 않지만 심대한 오작동을 야기한다.
그 공격 대상이 국가기간시설이라는 점에서 한 국가 전체를 혼란의 도가니로 몰아넣을 수도 있는 것이다. 도대체 스턱스넷은 어떻게 2중 3중의 보안 결계가 쳐진 국가기간시설에 침투할 수 있는 것일까. 그리고 우리는 어떻게 대응해야 할까.
컴퓨터 바이러스는 지금까지 개인과 기업의 정보를 빼내거나 회선, 서버 등을 마비시키는 존재였다. 일단 바이러스에 감염되면 해당 시스템의 사용자가 대부분의 피해를 입었다.
자신의 컴퓨터만 잘 관리해도 바이러스에 의한 피해를 거의 방지할 수 있었던 것. 하지만 최근 이란 부세르 원자력발전소의 제어 소프트웨어에서 웜 바이러스의 일종인 스 턱스넷이 발견되며 특정 개인이나 시스템이 아닌 국가 전체를 대상으로 한 바이러스 공격 가능성이 현실화됐다.
철통보안을 자랑했던 국가기간시설의 보안망이 뚫리면서 사이버 전쟁, 사이버 테러의 우려 역시 단순한 가능성을 넘어 우리가 직면한 현실이 됐다. 자칫 영화 다이하드4.0에서처럼 한 국가의 금융망, 교통망, 통신망, 전력망 등이 무력화 돼 국가 전체의 근간을 송두리째 뒤흔드는 대재앙이 벌어질 수도 있다는 얘기다.
실제로 현 대 사회에서 금융망 하나만 붕괴돼도 모든 금융거래가 중단되고 기업과 개인의 금융자산 기록이 사라져 버릴 수 있다. 이때 발발할 혼란은 상상을 초월할 것이다.
스턱스넷의 정체
스턱스넷이 등장하기 전까지 사회적으로 가장 큰 문제를 일으켰던 컴퓨터 바이러스는 단연 DDoS(분산 서비스 거부 공격)였다.
이 웜 바이러스는 평상시 대규모 좀비 PC를 만들어 놓고 특정 시점에 특정 시스템을 향해 끊임없이 데이터 전송을 명령, 공격대상 시스템의 서버를 마비시킨다. 이러한 DDoS는 국가와 지역을 불문하고 거의 무한대에 가깝게 번식하기 때문에 공격이 시작되면 그 어떤 시스템도 밀려드는 트래픽을 감당하지 못해 다운되고 만다.
반면 스턱스넷은 여타 웜 바이러스와 달리 일반인들의 PC나 통신회사의 회선, 서버 등을 겨냥하지 않는다. DDoS처럼 좀비 PC 군단을 구축, 간접 공격하는 형태가 아니다. 목표인 국가기간시설의 시스템을 직접 감염시켜 공격한다.
이란 부세르 원전에서 발견된 스 턱스넷(W32.Stuxnet)은 국가 기반 시설에 많이 쓰이는 지멘스의 산업 자동화시스템 'S7'을 관리하는 제어 소프트웨어 '스텝7'이 공격 대상이다. 스텝7에 입력된 명령을 무력화시켜 오작동을 유발하는 식으로 동작한다. 우리나라의 경우 도시철도공사, 한국공항공사, 한국전력공사, 포스코 등이 이를 사용 중인 것으로 알려져 있다. 김권엽 고려대 정보보호연구원 연구원은 "스턱스넷의 주 타깃은 원전, 수력발전소 등 대형 시설에 많이 쓰이는 S7-400 장비일 것으로 예상된다" 고 설명했다.
이와 관련 전민아 지멘스코리아 기업홍보실 부장은 "이번에 문제가 된 스 턱스넷은 지멘스의 전체 산업자동화 시스템이 아닌 일부분에만 선별적으로 침투해 영향을 미치는 것으로 조사됐다"고 밝혔다.
외부 저장장치로 인트라넷 침입
주지하다시피 스턱스넷이 일반 컴퓨터 바이러스나 악성코드와 차별화되는 점은 아주 사소한 오류도 허용되지 않는, 그리고 국가를 통째로 멈춰 세울 수도 있는 국가기간시설을 타깃으로 삼는다는 사실이다. DDos와 비교해 확산력은 낮지만 피해 규모나 파급력은 비교를 불허할 만큼 큰 셈이다.
그런데 S7을 포함한 국가기간시설에 도입된 시스템들은 일반 인터넷망에 연결되지 않는 폐쇄구조의 인트라넷으로 구축돼 있다. 도대체 스턱스넷은 이를 어떤 방법과 경로로 파고드는 것일까.
DDoS와 마찬가지로 일반 PC, 특히 백신프로그램이 설치돼 있지 않은 PC들이 스턱스넷을 국가기간시설의 시스템에 옮겨주는 배달부 역할을 한다. 침투 경로는 이렇다.
우선 스턱스넷은 일반 PC를 감염시킨다. 이후 이 PC에 연결되는 USB 메모리카드, 외장형 하드디스크 등 외부 저장장치에 숨어든다. 바로 이 외장장치가 국가기간시설의 인트라넷과 묶인 장치에 연결되는 순간, 스턱스넷이 침투된다.
일례로 원전 직원의 가정용 PC가 스턱스넷에 감염됐는데 집에서 작업한 문서를 USB 에 담아 회사 PC로 옮겼다면 스턱스넷을 인트라넷에 퍼뜨릴 수 있다.
물론 일반 PC는 단순히 감염만 될 뿐 고장이 나거나 비정상적 동작을 하는 등의 자각증상이 없어 백신프로그램의 도움 없이는 감염 여부의 인지가 사실상 불가능하다. 때문에 이런 전파가 가능해진다. 김권엽 연구원은 "W32.Stuxnet은 자신이 감염시킨 PC와 네트워크에 지멘스 스텝7의 존재를 파악하는 기능이 있는 지능적 바이러스"라고 설명한다.
스텝7이 탐지되면 공격을 감행하고 그렇지 않으면 조용히 숨죽인 채 다른 시스템으로의 전이를 기다리는 것이다.
윈도 OS의 보안 취약점 공략
시만텍의 발표 자료에 따르면 스턱스넷은 파일을 복사하는 다중 익스포트(Export)와 이를 구동할 수 있도록 자원을 제공하는 리소스가 포함된 DLL(Dynamic Linking Library, 동적 라이브러리 링크) 형식 파일, 2개의 암호화된 설정 블록으로 구성돼 있다. 이중 DLL은 윈도 운영체제(OS)용 소프트웨어의 효율적 동작에 필요한 함수를 모아놓은 파일로서 스턱스넷 등의 바이러스도 일종의 소프트웨어이므로 DLL을 통해 실행 파일을 구동 한다.
안철수연구소 시큐리티 대응센터의 분석을 보면 스턱스넷은 제어 소프트웨어의 토대가 되는 윈도 OS의 보안 취약점을 공략, 스턱스넷의 핵심모듈을 생성하는 파일인 '드롭퍼(dropper)'를 실행시킨다. 그러면 드롭 퍼는 제어 소프트웨어의 시스템 파일인 's7otbxdx.dll'을 스턱스넷에 감염된 악성파일로 바꾼다.
이렇게 감염된 s7otbxdx.dll 파일 도 감염되지 않은 정상 파일처럼 완벽히 위장하고 있어 시스템은 이를 비정상 또는 악성 파일로 탐지하지 못한다.
그만큼 시스템 운영자도 파일의 위ㆍ변조 포착이 어려워 치료와 예방에 구멍이 뚫리게 된다. 이후 스텝7이 본격 실행되면 감염된 s7otbxdx.dll 파일이 스텝7과 시설이 주고받는 데이터의 제어 권한을 탈취한다. 이제는 언제든 제어시스템에 치명적 오류를 유발할 명령을 내릴 수 있게 되는 것이다.
시만텍이 지난 7월 20일부터 스턱스넷 C&C(Command and Control) 서버의 통신량을 인터넷주소(IP) 별로 모니터링 한 결과, 9월 29일까지 전 세계 약 10만 대의 PC가 스턱스넷에 감염된 것으로 파악됐다. 이란이 6만대 이상으로 가장 높은 감염률을 보였으며 인도네시아, 인도, 미국이 각각 1만 4,000대 이상, 7,000대 이상, 4,000대 이상으로 그 뒤를 이었다.
또한 아제르바이잔이 약 3,000대, 독일·말레이시아·파키스탄이 약 2,000대의 감염이 추정돼 상위권을 차지했다.
전 세계 10만대 PC 감염
이번 조사에서 한국의 감염 대수는 정확히 발표되지 않았다. 하지만 지멘스의 스텝7이 도입된 국가로 대상을 제한했을 경우 우리나라의 스턱스넷 감염률 비중은 무려 8.1%에 달했다.
스텍스넷에 감염된 스텝7 시스템 100개 중 8 개가 국내에 있다는 말이다. 이는 1위를 기록한 이란(67.6%)에 이어 두 번째로 높은 비중이며 미국(4.98%), 인도네시아(2.18%), 인도(1.25%)를 크게 앞지르는 수치다. 전문가들은 S7 및 스텝7의 국내 보급률이 높아 이 같은 결과가 나온 것으로 보고 있다. 결과적으로 우리나라는 다른 국가보다도 스턱스넷의 위협에 대한 대비가 더 철저해야 한다. 사실 지금까지는 스턱스넷의 존재와 위험성에 대한 조사만 진행됐을 뿐 실제 사고발생 사례는 한 건도 보고되지 않고 있다. 따라서 경각심도 아직은 크지 않다.
이와 관련해 최근 주목할 만한 실험이 실시됐다. 지난 10월 29일 고려대 정보보호대학원이 스마트그리드센터(ITRC) 개소식을 하며 자동화 제어시스템이 도입된 국가 기간시설에 스턱스넷이 침투, 오작동을 일으키는 모의시험을 시연한 것.
이날 시험에서 연구자들은 차세대 전력공급망으로 급부상하고 있는 스마트 그리드의 제어소프트웨어에스턱스넷이 감염된 USB 메모리를 꽂아 그 결과를 확인했다.
감염 대상 장비는 지멘스의 S7-300과 이와 접속된 전자제어 에어펌프였다. 실험 결과, 정상적인 S7은 미리 입력된 2초 간격에 맞춰 에어펌프를 가 동시켜 고무풍선에 공기를 주입했다. 하지만 스턱스넷에 감염된 USB를 연결하고 재실행하자 기존 명령을 무시하고 에어펌프가 무리하게 공기를 주입, 풍선을 터트렸다. 만일 이 시스템이 원전이나 금융망을 제어하고 있었다면 돌이킬 수 없는 사태가 일어났을지도 모를 일이다. 임종인 고려대 정보보호대학원장은 "모의시험을 통해 스턱스넷의 실제 위험성이 입증됐다"며 "USB 메모리카드를 비롯한 각종 저장장치와 네트워크의 보안을 더욱 강화해야 한다"고 강조했다.
사용자의 보안의식이 중요
스턱스넷 발견 이후 지멘스와 마이크로소프트, 각 백신업체들은 앞다퉈 대비책을 내놓고 있는 상태다. 가장 직접적 연관이 있는 지멘스는 자동화시스템 홈페이지(siemens.co.kr/automation)를 통해 스턱스넷 감염을 체크할 수 있는 소프트웨어와 보안 패치를 제공하고 있다.
S7 사용시설에서 감염이 의심스럽다면 지멘스가 공인한 시만텍, 트렌드 마이크로, 맥아피 백신을 사용해 검사를 하는 것이 정확하다. 검사 전 반드시 해당 백신의 바이러스 데이터베이스를 2010년 7월 이후로 업데이트해야 하며 검사 옵션에서 자동치료 옵션을 꺼놓는 것이 안전하다.
만약 스턱스넷이 발견되면 지멘스에서 제공하는 'SIMATIC Security Update V10011.exe' 패치를 다운받아 설치하면 된다. 최재헌 지멘스코리아 기술지원부 차장은 "스턱스넷에 감염된 파일이 윈도 파일인지, 자동화제어 시스템 파일인지 정확히 구분이 안 될 수도 있다"며 "이때는 지멘스코리아 기술지원센터로 연락해 도움을 받는 것이 좋다"고 조언했다.
이상진 고려대 정보보호연구원 교수는 또 "완벽한 보안체계 구축을 위해서는 소프트웨어 개발 단계부터 검증된 데이터(화이트 리스트)만 실행되도록 설계하는 시큐어 코딩이 필수적"이라며 "개발된 소프트웨어를 시설에 즉시 적용하지 말고 엄격한 테스트 베드에서 재검증하는 과정이 요구된다"고 설명했다.
스턱스넷 바이러스가 제거된 후에는 마이크로소프트의 윈도 OS보안 취약점 보완패치를 설치해 방비를 단단히 해둘 필요가 있다. 현재 USB, 공유 프린터, 공유 폴더 등 세 부분의 보안 취약점을 개선한 패치가 배포돼 있다.
특히 이 패치는 스턱스넷이 감염되지 않은 PC와 제어 소프트웨어에도 반드시 업데이트 해줘야 스턱스넷의 위협에서 벗어날 수 있다. 덧붙여 바이러스 백신까지 깔아주면 금상첨화다.
지멘스가 공인한 백신 외에도 안철수연구소의 제품이나 무료백신인 알약도 스턱스넷을 막을 수 있다. 물론 모든 보안전문가들은 이런 사후약방문 식의 조치 보다는 개별 사용자 모두의 보안의식 강화가 가장 중요하다고 입을 모은다.
이것이야말로 스 턱스넷을 위시해 앞으로 출현할지도 모를 모든 컴퓨터 바이러스의 피해에서 자유로워질 수 있는 유일한 방법이라는 데 이견이 없다. 컴퓨터 보안이 무척 번거로운 일로 여겨질 수도 있겠지만 그럴 때는 '편리함은 보안과 반비례한다'는 사실을 상기해보자.
컴퓨터 바이러스 백신이 스턱스넷을 잡을까?
스턱스넷의 전파 경로상 일반인들이 보유한 PC의 보안은 국가기간시설 종사자들의 그것만큼 중요하다. 하지만 일반인이 바이러스에 대응할 수 있는 사실상 유일한 방법은 바이러스 백신의 설치다.
이것만으로도 스턱스넷으로부터 안전할 수 있을까. 백신업체들은 그렇다고 말한다. 과연 이것이 사실인지 고려대 정보보호연구원 변근덕·김권엽 연구원과 함께 검증해봤다. 테스트 대상 백신은 일반인들이 가장 많이 사용하는 안철수 연구소의 'V3 365 클리닉 스탠더드', 시만텍의 '노턴 인터넷 시큐리티 2011', 이스트소프트의 '알약' 등 3종으로 윈도7 운영체제와 마이크로소프트 최신 보안패치를 적용한 PC에 설치한 후 실시간 감시 기능을 통한 스턱스넷 감지·치료능력을 확인했다.
스턱스넷 바이러스는 일반 스턱스넷(W32.Stuxnet)과 정보보호연구원에서 연구용으로 만든 변형된 종을 사용했다. 이 두 종의 스턱스넷을 별도의 USB 메모리카드에 담아 PC에 연결해본 결과, 세 종류의 백신 모두 1~2초 내에 스턱스넷을 탐지했다.
또한 감지 즉시 바이러스로 의심되는 파일의 침입을 막는 한편 검역소로 옮겨 치료를 완료했다. 기대했던 대로 감시와 차단, 치료가 유기적으로 완벽하게 이뤄진 것이다.
다만 스턱스넷 감지 능력은 모두 엇비슷했지만 이를 처리하는 방식에 있어서는 서로 다른 모습을 보였다.
김권엽 연구원은 "스턱스넷의 뿌리는 윈도의 링크(바로가기) 취약점을 파고든다"며 "노턴은 악성코드를 로드하는 링크 차제를 삭제했지만 V3와 알약은 링크가 호출하는 임시 파일을 삭제하는 방식을 취한다"고 설명했다. 쉽게 말해 노턴은 스턱스넷의 줄기를 자르는 반면 V3와 알약은 가지를 쳐낸다는 뜻이다.
물론 이는 각 백신의 동작 방식일 뿐 백신의 성능을 평가하는 잣대는 아니다. 변근덕 연구원은 "앞으로 수많은 변종 스턱스넷의 출현 가능성이 있기 때문에 현 단계에서 어떤 방식의 백신이 더 안전하다고 단언키는 어렵다"며 "한 가지 확실한 것은 PC에 백신프로그램을 설치하고 정기적인 업데이트를 수행하는 것만으로도 최악의 사태는 막을 수 있다는 사실"이라고 밝혔다.
서영진 기자 art juck@sed.co.kr
http://popsci.hankooki.com/popsci_news/view.php?news1_id=7184&cate=21&page=1&keyword=
출처 : 구름위의 산책
글쓴이 : seerose 원글보기
메모 :
'세상분별 > 세상-세계정부' 카테고리의 다른 글
| 홀로코스트 (0) | 2011.05.19 |
|---|---|
| [스크랩] `핵무기급` 컴퓨터 바이러스 전세계 확산 (0) | 2011.01.29 |
| [스크랩] 사탄의 회당 (0) | 2010.10.16 |
| [스크랩] 예루살렘 안의 악의 뿌리-대법원 건물 (0) | 2010.10.16 |
| 세계 새 질서로 재편되고 있다 (0) | 2010.09.28 |
