스턱스넷.

자료 삼아 정리.

 

www.extremetech.com

 

1.개요

2010년에 처음 발견된 악성 웜바이러스. 2005년부터 개발된 것으로 추정. Stuxnet은 감독 제어 및 데이터 수집(SCADA) 시스템을 공격해 이란의 핵 프로그램에 타격을 입힌 것으로 유명.

 

2.작동 방식

 

웜: 컴퓨터 바이러스의 일종이지만, 일반적인 바이러스와 달리 다른 프로그램을 감염시키지 않고 자기 자신을 복제하면서 통신망 등을 통해서 퍼짐.

 

1)스턱스넷의 구성

-공격 전과정에서 루틴을 실행하는 페이로드 모듈

특정 산업프로세스를 제어하는 지멘스 SCADA만을 대상으로 설계

-자가복제한 웜을 자동으로 실행하는 링크 파일

-탐지를 피하기 위해 악성파일과 프로세스를 숨기는 루트킷

 

2) 2단계 타깃 설정

-Microsoft Windows 운영 체제와 네트워크를 사용하는 기계를 대상으로

-Siemens Step7 소프트웨어를 찾아 작동. 

 

3) 전염 루트

감염된 USB 플래시 드라이브->네트워크를 통해 전파

->PLC를 제어하는 컴퓨터에서 지멘스의 특정 소프트웨어를 검색

(없으면 Stuxnet은 컴퓨터 안에서 휴면 상태가 됨.)

->감염된 루트킷을 PLC와 Step7 소프트웨어에 집어넣어 코드를 수정

 

특징: 고도의 정교함

산업시스템을 염탐하고 파괴하는 최초의 맬웨어, PLC 루트킷을 포함한 최초의 악성코드. 산업 공정 제어센서의 신호를 위조, 시스템이 감염을 감지해 작업을 종료하지 않도록 하는 코드를 포함하고 있음. 이러한 복잡성은 맬웨어에서는 드문 일.

 

3.이란 핵시설 공격

 

1)어떤 피해를 얼마나 일으켰나

 

-이란의 피해 정도: 2010년 나탄즈 우라늄 농축이 ‘기술적 문제’로 여러차례 중단된 것으로 보아, 스턱스넷의 핵심 목표는 나탄즈 핵시설로 추정. 미국과학자연맹(FAS) 통계에 따르면 이 무렵 이란에서 가동 중인 원심분리기 수가 4700개에서 3900개로 갑자기 감소. 이밖에 20만 대 이상의 컴퓨터를 감염시켰으며 1000대 이상의 기계장비 성능이 물리적으로 저하된 것으로 추정.

 

 

-부셰르 핵발전소도 공격했으나 직원의 개인용 컴퓨터만 감염시킴(발전소장 로이터 인터뷰). 

 

(그 전 해에도 일부 원심분리기가 폐쇄되는 등의 심각한 고장이 일어났음. 2009년 7월 이란원자력기구의 골람 레자 아가자데 사무총장이 사퇴한 것도 이 때문으로 추정.)

 

2)공격 과정

 

-나탄즈 원심분리기는 파키스탄 압둘 카디르 칸 박사가 빼돌린 설계를 이용한 것. 이스라엘은 이 설계도를 1)핵 암시장 네트워크에서 얻었거나 2)리비아에서 미국이 얻은 비슷한 설계를 미국에서 입수한 뒤 자국 내 디모나의 핵시설에서 스턱스넷을 시험한 것으로 추정.

 

-스턱스넷은 원심분리기를 제어하는 PLC의 프로그램을 변경해 정보를 수집하고, 원심분리기의 주파수를 올려 장시간 지나치게 빠른 속도로 회전하게 만들었음. 약 한달 후 이번엔 주파수를 갑자기 낮춤. 속도 변경 스트레스로 원심분리기 알루미늄 튜브가 팽창하거나, 너무 부풀어 다른 원심분리기와 닿아 고장을 일으킴. 

 

Centrifuge machines line a hall at the Natanz uranium enrichment facility in Iran. (file photo)

 

-장치 드라이버는 대만 회사가 도난당한 공개 인증서의 개인키를 이용했고 덴마크와 말레이시아의 웹사이트를 이용해 프로그램을 업데이트할 수 있게 돼 있었음(뒤에 사이트 비활성화). 또 스턱스넷은 특정 주파수 변환 드라이브와 연결돼야만 하는데 이 드라이브는 핀란드와 이란의 기업이 공급하는 것.

 

-2010년 11월 29일, 아흐마디네자드 당시 이란 대통령은 나탄즈 시설에서 원심분리기 컨트롤러가 공격을 받았다고 처음으로 인정. 

*같은 날 이란 핵과학자 마지드 샤흐리아리가 테헤란에서 차량 폭탄 공격에 숨지고 또다른 핵과학자는 중상. 앞서 2010년 1월에도 테헤란 대학교의 물리학 교수인 핵과학자가 비슷한 폭탄 폭발로 사망했고 2012년 1월에는 나탄즈 핵 농축 시설 책임자인 모스타파 아흐마디 로샨이 유사한 공격으로 사망. 

 

-이란뿐 아니라 여러 나라를 대상으로 진행됨.

시만텍의 당시 조사에서 스턱스넷에 감염된 컴퓨터 가운데 이란 컴퓨터가 58.9%, 인도네시아 18.2%, 인도 8.3%, 아제르바이잔 2.6%, 미국 1.6%, 파키스탄 1.3% 등으로 나타났음.

 

3)공격은 누가 했나

 

-2010년 6월 중순 보안회사 VirusBlokAda가 처음 확인. 당초 2010년 3~4월 핵시설 감염이 시작된 것으로 추정됐으나 2007년에도 감염이 있었고, 당시 쓰인 것은 스턱스넷 2005년 버전으로 드러남. 즉 여러 차례에 걸쳐 공격이 일어났던 것. 

-당시까지 맬웨어 개발 역사상 가장 복잡하고 비용이 많이 든 프로그램이었을 것으로 보임. 시만텍 등의 추정에 따르면 5~30명이 최소 몇 달에서 몇 년에 걸쳐 개발했을 것. 카스퍼스키랩 등 보안회사 전문가들은 국가 단위의 지원이 있어야만 가능했을 것으로 평가.

 

-위키리크스를 통해 유출된 미 국무부 외교전문에는 이란의 핵능력을 표적으로 삼은 ‘은밀한 사보타주(파괴공작)’를 언급한 내용이 있음.

 

-2011년 5월 오바마 백악관의 대량살상무기 및 무기통제 조정관 개리 세이모어는 PBS 방송 프로그램에 나와 “(이란인들이) 원심분리기를 가동하는 데에 문제가 생겼다는 것은 기쁜 일”이라며 “미국과 그 동맹국들은 그들에게 문제를 일으키기 위해 할 수 있는 모든 것을 하고 있다”라며 스턱스넷 작전에 대한 개입을 인정하는 듯한 발언.

이스라엘군(IDF) 참모총장이던 가비 아슈케나지도 은퇴 파티에서 작전 성공사례 중의 하나로 스턱스넷을 언급.

 

-2012년 3월 CBS 인터뷰에서 NSA와 CIA 국장을 모두 지낸 마이클 헤이든은 스턱스넷이 “좋은 아이디어”라고 생각했지만 사이버무기 사용을 합법화할 수 있기 때문에 공격에 개입하지 않았다고 부인. 그러나 석달 뒤인 2012년 6월 뉴욕타임스는 스턱스넷에 대해 조지 W 부시 행정부 시절 NSA가 고안하고 오바마 시절에 실행된 ‘올림픽 작전’의 일환이었다고 보도. 2013년 7월, NSA의 광범위한 도감청을 폭로한 에드워드 스노든도 스턱스넷이 미국과 이스라엘의 협력 속에 개발됐다고 주장.

 

-반면에 미국과 이스라엘의 정보기관과 군사기관 간의 신뢰 수준이 이 정도 대규모 사이버공격을 함께 할 정도로 높지는 않으며, 공동 작전일 가능성은 낮다는 반론도 있음.

사이버보안 전문가 랠프 랭너, 2011년 2월 TED 컨퍼런스에서 “모사드가 관련된 것으로 보이지만 주도 세력은 이스라엘이 아닐 것. 배후에서 주도한 것은 사이버 초강대국, 미국이다.”

 

이 밖에 

-이스라엘과 CIA에 연결된, 네덜란드 측 스파이가 직접 혹은 나탄즈 직원을 거쳐 USB로 스턱스넷을 컴퓨터 시스템에 집어넣었다는 주장

-이란과 협력해온 러시아 쪽에 구멍이 뚫려 스턱스넷이 들어갈 수 있었다는 주장

-영국 프랑스 요르단 등 여러 나라가 관련돼 있다는 주장 등이 있었음.

 

3)바이러스는 누가 만들었나

 

-이란 공격에 쓰인 스턱스넷 프로그램 자체는 암시장에서 구입된 것으로 추정

-2019년, 스턱스넷 변종 버전들을 개발하는 맬웨어 플랫폼들(GOSSIP GIRL)이 여럿 발견됨. 

-가십걸은 Equation Group, Flame, Duqu, Flowershop 등등 여러 그룹으로 추정.

예를 들어 Equation Group은 세계에서 가장 정교한 사이버공격 그룹의 하나이자 스턱스넷 개발자들이 포함된 그룹으로 추정. 그런데 미 NSA의 TAO(Tailor Access Operations) 부대와 연결이 돼 있다는 의혹이 제기됨(이들의 주된 공격 타깃은 이란, 러시아, 파키스탄, 아프간, 인도, 시리아, 말리 등).

 

*TAO(Office of Tailor Access Operations)

1997~1998년부터 가동된 NSA의 사이버전쟁 부서. 조직에서는 S32과가 담당하는 것으로 추정. 미국 내 외국 기업의 컴퓨터 시스템에 침투, 정보를 수집하는 것으로 알려져 있음.

 

4)잠재적 위험성

 

-스턱스넷은 특정 소프트웨어(이 경우는 Siemens Step7)만을 공격. 

따라서 엄청난 확산 능력에도 불구하고 우라늄 농축에 관여하지 않는 컴퓨터에는 거의 해를 입히지 않으므로 탐지가 어려움.

또한 작동 과정에서 PLC는 정상가동 중인 것으로 표시되므로 고장이 가시화될 때까지 감염을 파악하기가 더욱 어려워짐.

 

-공장의 조립라인이나 발전소의 SCADA, PLC 시스템을 공격하기 위해 ‘맞춤화’될 수 있음. 이런 시스템은 미국과 유럽 등 기술 선진국에 더 많기 때문에 잠재적 공격타깃이 될 가능성이 더 높을 수 있음.

 

4.대응과 파장

 

1)이란

 

-공격의 목표가 ‘농축 중단’이었다면 성공적이지는 않았음. 일시적으로 늦췄을 수는 있음. 그러나 이란은 곧 통제 시스템에서 맬웨어를 제거한 것으로 보이며, 2010년 한 해 동안 저농축우라늄(LEU)의 생산량은 줄어들지 않은 것으로 보임. -The Institute for Science and International Security (ISIS) report
*2010년은 이란 원심분리기 성능이 60% 향상(미국과학자연맹 평가)됐고 농축우라늄 생산량이 늘어나기 시작한 해.

 

-2010년 이란의 농축 능력의 성장을 감안할 때, 이란 정부가 서방을 속이려고 피해 상황을 과장했을 가능성도. 

-이란은 스턱스넷 공격 이후 사이버 전쟁 능력을 강화한 것으로 보임. 일명 ‘아바빌 작전’ 등 미국 은행에 대한 보복 공격을 저지른 것으로 의심.

 

2)지멘스

 

이란은 엠바고 대상이지만 비밀리에 지멘스 장비를 조달한 것으로 추정. 따라서 지멘스의 공식 입장은 ‘고객이 피해를 입은 적이 없다’는 것이었음. 하지만 이후 탐지/제거 도구를 출시하고 고객들에 권고사항(Microsoft 보안패치 업데이트, USB 플래시 드라이브 사용 주의, 비밀번호 액세스 코드 업그레이드 등)을 통지. 

 

3)북한 공격설

 

NSA는 2009~2010년 이란뿐 아니라 스턱스넷으로 북한 핵프로그램을 공격하려 시도했다는 보도(로이터)가 있었음. 그러나 북한 핵 프로그램 역시 A.Q. 칸이 이전한 기술로 개발됐음에도 북한은 극도의 보안 유지로 웜을 유입하는 데에 실패했다는 것.

 

4)추가 공격

 

-2012년 12월 이란 반관영 통신사는 남부 호르무즈간 지역의 발전소와 산업시설에 몇 달 전 스턱스넷의 사이버 공격이 있었다고 발표. 이란뿐 아니라 러시아의 핵발전소도 감염시켰으나, 이 발전소는 공용 인터넷에 연결되어 있지 않아 문제를 일으키지 않은 것으로 알려짐.

-2018년 이란은 통신인프라를 겨냥한 스턱스넷과 유사한 공격을 막아냈다고 주장하며 이스라엘을 비난.