국가기반시설 공격하는 사이버지뢰 스턱스넷<br>일반PC 통해 인트라넷 우회 침투… 原電등 특정시스템 정교하게 공격<br>제2, 제3 변종 출현할 가능성 높아… 北 사이버전쟁 도구로 활용 우려도<br>백신 설치하고 자주 업데이트 해야
 | | 스턱스넷은 공격 대상이 국가기간시설 시스템이라는 점에서 일반 컴퓨터 바이러스와 달리 국가 전체를 혼란에 빠뜨릴 수 있다. |
|
 | | 김권엽 고려대 정보보호연구원 연구원이 차세대 지능형 전력망인 스마트그리드의 에어펌프 제어 소프트웨어에 대한 스턱스넷 감염 상황을 시연하고 있다. |
|
국가의 근간을 뒤흔들 엄청난 컴퓨터 바이러스 공격이 현실화됐다. 지난 9월 말 이란 부세르 원자력발전소의 제어 소프트웨어에서 웜 바이러스의 일종인 스턱스넷이 발견된 것. 국가기간시설의 제어시스템을 타깃으로 한 스턱스넷이 확산되면 자칫 영화 '다이하드4.0'에서처럼 한 국가의 전력망ㆍ교통망ㆍ통신망ㆍ금융망 등이 무력화되는 대재앙이 벌어질 수도 있다.
◇특정 시스템만 정교히 공격=스턱스넷의 공격 목표는 일반인들의 PC나 통신회사의 회선, 서버 등이 아니다. 국가기간시설의 특정 시스템을 타깃으로 삼는다. 공격 방식 또한 달라 일반 컴퓨터 바이러스처럼 불특정 다수의 시스템을 감염시키는 것이 아니라 목표만 정확히 찾아 타격한다.
이란 부세르 원전에서 발견된 스턱스넷 'W32.Stuxnet'의 경우 국가기반시설에 많이 쓰이는 지멘스의 산업자동화시스템 'S7'을 관리하는 제어 소프트웨어 '스텝7'이 공격 대상이다. 스텝7에 입력된 명령을 무력화시켜 오작동을 유발하는 형태로 동작한다.
김권엽 고려대 정보보호연구원 연구원은 "이 스턱스넷의 주 타깃은 원전ㆍ수력발전소 등 대형 시설에 많이 보급된 S7-400 장비일 것"이라고 예측했다. 나중찬 한국전자통신연구원(ETRI) 보안관제기술연구팀장에 따르면 우리나라는 도시철도공사ㆍ한국공항공사ㆍ한국전력공사 등에서 지멘스 장비를 사용하고 있다.
물론 현재까지 발견된 스턱스넷은 W32.Stuxnet이 유일하다. 하지만 이를 변형한 제2, 제3의 스턱스넷 출현 가능성이 매우 높다는 것이 보안전문가들의 일관된 견해다. 최근에는 북한이 사이버전쟁의 도구로 스턱스넷을 활용할 것이라는 전망이 대두되며 우려가 커지고 있다.
◇외부 저장장치로 인트라넷 침입=S7을 포함해 국가기간시설에 도입된 시스템들은 일반 인터넷망에 연결되지 않는 폐쇄형 인트라넷으로 구축돼 있다. 인터넷망을 타고 외부의 바이러스가 침투할 소지가 전혀 없는 것이다.
때문에 스턱스넷은 일반 PC를 통해 국가기간시설의 인트라넷에 우회 침투한다. 평상시 일반 PC를 감염시킨 후 PC와 연결되는 모든 외부 저장장치에 숨어드는데 이렇게 감염된 외부 저장장치가 인트라넷과 묶인 장치에 연결되는 순간 스턱스넷이 침투하는 것이다.
일례로 원전 직원이 스턱스넷에 감염된 가정용 PC로 작업한 파일을 USB 메모리카드에 담아 직장 PC에 복사하면 원전의 인트라넷에 스턱스넷이 전파된다. 일반 PC는 감염돼도 이상 증상이 전혀 없어 최신 백신프로그램이 없다면 인지가 사실상 불가능하다.
그렇다면 현재 스턱스넷의 감염률은 얼마나 될까. 보안업체 시만텍이 최근 발표한 조사 결과에 따르면 9월29일을 기준으로 전세계 약 10만대의 PC가 감염돼 있다. 이란이 6만대 이상으로 감염률이 가장 높았고 인도네시아, 인도, 미국이 뒤를 이었다. 주목할 만한 사실은 조사 대상을 지멘스의 스텝7이 도입된 국가로 제한할 경우 국내 감염률 비중이 8.1%에 달한다는 점이다. 이는 1위 이란(67.6%)에 이어 두 번째로 높은 수치다.
◇백신프로그램 설치는 필수=전문가들은 다른 국가보다 국내의 S7 보급률이 높기 때문으로 분석하지만 그만큼 우리나라가 스턱스넷에 더욱 철저히 대비해야 함을 의미하기도 한다. 이상진 고려대 정보보호연구원 교수는 "완벽한 보안체계 구축을 위해서는 소프트웨어 개발 단계부터 검증된 데이터(화이트 리스트)만 실행되도록 설계하는 시큐어 코딩이 필수적" 이라며 "개발된 소프트웨어를 시설에 즉시 적용하지 말고 엄격한 테스트 베드에서 재검증하는 과정이 요구된다" 고 설명했다.
특히 스턱스넷의 경우 전파 경로상 일반인들의 PC 보안이 국가기간시설 종사자의 그것만큼 중요하다. 하지만 일반인이 스턱스넷에 대응할 유일한 방법은 백신프로그램 설치 정도다. 백신업체들의 말처럼 이것만으로 스턱스넷의 숙주가 되는 치욕을 면할 수 있을까.
본지가 고려대 정보보호연구원과 실제 실험을 해본 결과 사실로 확인됐다. 테스트 대상 백신은 일반인들이 가장 많이 사용하는 안철수연구소 'V3 365 클리닉 스탠더드', 시만텍 '노턴 인터넷 시큐리티 2011', 그리고 무료 백신인 이스트소프트 '알약' 등 3종. 이들을 각각 PC에 설치한 후 실시간감시 기능을 켜놓고 W32.Stuxnet과 정보보호연구원에서 연구용으로 만든 변형 스턱스넷이 담긴 USB 메모리카드를 차례로 PC에 연결하자 세 종류의 백신 모두 1~2초 내에 두 종의 스턱스넷을 탐지해 치료를 완료했다.
변근덕 고려대 정보보호연구원 연구원은 "앞으로 변종 스턱스넷이 출현할 가능성이 있어 어느 백신이 더 안전하다고 단언하기는 어렵다"며 "확실한 것은 PC에 백신프로그램을 설치해 정기적으로 업데이트하는 것만으로도 최악의 사태는 막을 수 있다는 사실"이라고 밝혔다.
