스턱스넷
1. 개요
역사상 최초로 발견된 악성 코드 무기. 이란의 원심분리기 1000여 기를 파괴해서 이란의 핵 프로그램을 연기시켰다.
모든 면에서 기존의 발견된 웜과 바이러스를 초월하는 완전체에 가까운 충공깽 스러운 모습을 보여주는 괴물이다. 발견된 계기가 좀 웃긴데, 원래는 이란 핵시설을 겨냥한 바이러스다 보니 인터넷에 돌아다니면 안되지만, 감염된 핵시설에서 일하던 엔지니어가 핵시설에서 쓰던 USB 메모리를 자기 집 컴퓨터에 꽂는 순간 바이러스가 '''인터넷으로 탈출'''했다 [1] 고 한다.
2. 구조 및 작동 방식
일반적인 웜과 바이러스는 10KB 정도의 용량을 차지하지만 이 녀석은 용량만 500KB로, 그 구조가 아주 복잡하다. 그리고 공격 대상 시스템이 한 개인 다른 악성코드와는 달리 이 놈의 경우 윈도우로 침입한 뒤 지멘스사가 제작한 윈도우용 프로그램을 거쳐 지멘스에서 제작한 PLC 시스템[2] 까지 공격한다. PLC 시스템은 윈도우와는 완전히 다른 하드웨어와 소프트웨어를 기반으로 하며, 기계어 수준부터 다르다.
윈도우를 공격하는 방법도 매우 골때리는데, 한 번도 공개된 적이 없어서 방어책이 없을 수밖에 없는 제로 데이 공격용 취약점이 무려 5개[3] 나 들어 있다고 한다. 이 취약점들은 어떤 시스템이든지 한 번은 뚫을 수 있기에 암시장에서 개당 '''1억 원''' 정도에 팔리는 매우 값진 놈들이라서 한 개의 바이러스가 여러 개를 가지고 있는 경우는 극히 드물다. 심지어 처음에는 취약점이 4개인 줄 알았는데, 이후 하나가 더 발견됐다. 서로 다른 버전의 스턱스넷끼리 만나면 P2P로 이런 공격용 취약점을 공유할 수도 있다고 한다. 거기다 감지를 피하기 위해 스턱스넷에 내장된 장치 드라이버에는 대만 회사인 리얼텍[4] 과 Jmicron[5] 의 디지털 서명까지 되어 있었다[6] 고 한다. 유출되어 가짜 서명에 사용된 이들 디지털 서명 인증서는 이후 인증서 폐기 목록에 올라갔다.
일단 이렇게 잘 숨어들어가서 윈도우 시스템을 감염시킨 다음 루트킷으로 자신을 숨기고 감염된 컴퓨터가 SCADA(산업 제어 자동화 시스템)에 연결되었는지 확인한다. 만약 연결되어 있다고 판단되면 PLC를 조작해서 악의적인 행동을 할 수 있으며, 이론적으로는 모터나 컨베이어 벨트같은 장치를 멈추는 것부터 시작해서 크게는 공장 시설 등을 정지 또는 폭파시킬 수도 있다. 물론 SCADA를 감염시키기 위해서도 또다른 제로데이 공격이 들어갔다. 제로 데이 공격을 포함한 APT 공격의 무서움을 보여주는 예라고 할 수 있다.
3. 제작 주체
처음 발견되었을 때는 이란 등 중동 국가에서 집중적으로 발견된 것과 원심분리기를 파괴하려는 패턴으로 이란의 우라늄 농축 시설을 노린 컴퓨터 바이러스로 정황상 추정됐다. 마침, 이란에서도 우라늄 농축 시설의 1000개 가량의 원심분리기가 파괴됐다는 뉴스가 흘러나와 그게 거의 확실시됐다. 이 바이러스를 만든 기관이나 국가에 대해서는 미국의 CIA에서 부터 이스라엘의 모사드까지 온갖 추측이 난무했으나, 뉴욕 타임즈의 조사 결과, 결국 미국 정부가 "올림픽 게임"이라는 이름[7] 하에 작전을 추진했다고 드러났으며, 2013년, 프리즘 폭로 사건의 주역인 에드워드 스노든이 스턱스넷을 NSA과 이스라엘이 공동제작했다고 못을 박았다.
웃기는 건 이 작전을 추진한 이유가 이스라엘이 이란의 우라늄 농축 시설에 폭격을 하려는 걸 막으려는 이유가 컸다는 것이다. 이대로 빠르게 이란의 핵 프로그램이 진행되면 위기감을 느낀 이스라엘이 이란의 우라늄 농축 시설을 폭격할 가능성이 높으니, 스턱스넷으로 시간을 번 것이라는 이야기.
다음 다큐멘터리에서 자세한 정보를 얻을 수 있다.
자세한 설명은 다음 문서들을 참조하자.
널리 이름난 전자전용 악성코드라는 점 때문인지, 공각기동대 ARISE에는 “스턱스넷형” 바이러스라는 용어가 등장한다.
4. 대한민국의 경우
대한민국 국군에서도 비슷한 걸 개발한다고 한다.[8]
5. 참고 문서
[1] 나중에 알려진 바에 따르면, 이는 이스라엘의 첩보기관 모사드에서 스턱스넷에 손을 대었기 때문이라고 한다. 이것이 아니었으면, 아직까지도 스턱스넷은 이란 내에서만 돌아다니고 그 실체가 제대로 드러나지 않았을지도 모른다.[2] Programmable Logic Controller. 자동화 시스템의 두뇌와 같은 것으로 SCADA와 같이 쓰이기도 하며, 산업시설, 원자력 발전소 등 플랜트 제어에 주로 쓰인다.[3] 최초 발견된 버전 기준.[4] 흔히 사운드 카드 하면 떠오르는 그 꽃게 로고 회사 맞다.[5] 이 두 회사는 각종 칩셋을 만드는 회사로, 당시 이란과 업무상 교류가 있었다. 바로 이 회사들을 통해 이란에 스턱스넷을 침투시킨 것이다.[6] 디지털 서명이 무엇인지는 http://d2.naver.com/helloworld/744920을 참조. 간단히 말하자면, 신뢰 할만한 기관이 발행한(Root CA) 인증서를 써서 “이 프로그램은 믿을 수 있다”고 인증하는 것이다. 이것이 뚫리는 경우는 흔치 않지만 가끔 일어나며(이런 일이 잦은 Root CA는 평판이 하락한다.), 한번 일어나면 그 파급효과가 상당히 크다.[7] 2016년에 공개된 다큐멘터리에 따르면, 이 작전은 좀 더 큰 對이란 전자전 계획인 니트로제우스(Nitro Zeus)의 일부였다고 한다.[8] 사실 DarkHotel이라는, 정교하기로는 NSA 수준으로 평가받는 정보수집용 악성코드가 있는데 이것이 한국에서 제작되었을 가능성이 있다고 한다. 그러니까 국정원 같은 데서도 알게 모르게 사이버전에 사용되는 악성코드를 이미 비밀리에 만들어 쓰고 있을지도 모르는 것이다. 참고로, DarkHotel을 제작한 이들은 이탈리아 해킹팀에서 유출된 내용을 금세 자기네들 DarkHotel에 적용시키는 부지런함을 보였다.[9] 작중 대형팀이라는 해킹팀이 대한전력(한국전력)을 공격하는데 쓰였다. 결국 천재 해커인 박기영이 막았지만