사이버 사보타주를 위해 설계된 최초의 악의적 소프트웨어, 즉 멀웨어(malware)인 스턱스넷은 지난 2009년 초부터 퍼졌다. 개발자가 누군지, 왜 만들었는지는 알 수 없지만 풍문에 따르면 특정 국가(아마도 이스라엘)가 이란의 핵 프로그램 저지를 위해 개발했다고 한다.
스턱스넷은 지멘스의 산업자동화 제어 소프트웨어 '스텝7'을 추적, 감염시킨다. 스텝7을 실행하는 원자력발전소의 컴퓨터가 감염되면 우라늄 농축용 원심분리기를 제어불능 상태로 만들어 파괴할 수 있다.
다만 이런 용도의 컴퓨터는 일반 인터넷망에 연결되지 않는 폐쇄형 인트라넷으로 구축돼 있다. 때문에 해당 산업설비의 직원이 사용하는 외부저장장치를 회사 밖에서 먼저 감염시켜야 한다. 이 직원이 회사에 들어가 스턱스넷에 감염된 저장장치를 컴퓨터에 연결하는 순간, 스턱스넷이 인트라넷을 타고 스텝7 소프트웨어 제어권한을 하이재킹하는 방식이다.
스턱스넷의 파괴력이 어느 정도인지는 정확히 알려지지 않고 있다. 하지만 이란 원전의 스턱스넷 감염 후 핵 프로그램 진행이 현격히 느려졌다는 관측이 나오고 있다.
작년 11월에는 이란 대통령이 악의적 컴퓨터 프로그램에 의해 원전의 원심분리기에 문제가 생겼음을 시인하기도 했다. 일반 PC에는 피해를 끼치지 않지만 스턱스넷은 인터넷으로도 전파가 가능하다. 작년 가을 현재 스턱스넷 감염 PC가 155개국 수십만 대에 이르는 것으로 확인됐다.
지멘스에 의하면 실제 감염된 산업시설은 15개소다. 적은 숫자라고 안심하면 안 된다. 스턱스넷을 포함한 사이버 사보타주의 잠재 파괴력은 실로 막강하다. 스턱스넷의 공격 대상인 스텝7만 해도 파이프라인, 컨베이어 벨트, 보일러, 경보시스템, 보안시스템 등의 운영을 맡고 있다.
이 점에서 스턱스넷과 같은 멀웨어는 이론상 공장 보일러 폭파, 가스 파이프라인 파괴, 발전소 가동 중단, 전력망 마비 등을 유발할 수 있다. 특히 스턱스넷은 악의적 해커들이 그와 유사한 멀웨어를 제작하는 교과서 구실을 한다. 사이버 보안 기업들이 현재 바짝 긴장하고 있는 이유가 여기에 있다.
개선 방안
사이버보안 컨설턴트 스티븐 스푼아모어는 모든 핵심 인프라를 즉각 '페일 오픈(fail open)' 방식으로 재설계해야 한다고 주장한다. 사이버 공격을 당하면 시스템이 초기화돼 작동능력을 유지토록 해야 한다는 얘기다.
