http://www.dt.co.kr/contents.html?article_no=2010100702011860739002
지멘스사 산업자동화제어시스템 타깃 악성코드
취약점 5개 이용… 이란ㆍ중국 등 약 10만대 감염
최근 이란을 시작으로 중국 등 전세계 국가들을 겨냥한 사이버 공격 무기로 `스턱스넷(Stuxnet)’악성코드 이야기가 많이 나오고 있습니다. 보안 전문가들과 각국의 정부가 스턱스넷에 주목하는 것은 이 악성코드로 인해 한 국가의 주요 기간 시설이 공격자에게 장악될 수 있음을 보여줬기 때문입니다. 영화 `다이하드 4.0’에서 국가 기간망을 공격한 사이버 전쟁이 이제는 현실에서도 가능하다는 점도 확인해줬습니다. 지난 한 달간 세계 외신을 달군 스턱스넷에 대해 알아보겠습니다.
◇스턱스넷이란=스턱스넷은 독일 지멘스사의 산업자동화제어시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드를 입력해 시스템을 마비시킬 수 있습니다.
안철수연구소 시큐리티대응센터의 분석에 따르면 스턱스넷은 여러 개의 파일로 구성되며, 알려지지 않은 여러 개의 취약점을 이용해서 산업자동화제어시스템을 제어하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)가 실행됩니다. 이 드롭퍼는 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고, 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 생성합니다. 이후 산업자동화제어시스템을 통합 관리하는 도구(소프트웨어)인 `Step7’을 실행하면 원래의 정상 파일이 아닌 스턱스넷이 실행되게 됩니다.
`Step7’의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화제어시스템 간에 블록 파일을 교환하는 것입니다. 이 파일을 Stuxnet의 DLL 파일로 바꾸면 산업자동화제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있게 됩니다. 이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있습니다. 즉, 산업 시설이 관리자가 아닌 악의적 공격자에게 장악될 수 있는 것입니다.
스턱스넷이 실행되는 환경 조건은 감시 제어 데이터 수집 시스템(SCADA)안에 지멘스사의 `Step7’이 산업자동화제어시스템 제어용 PC에 설치되어 있고, 산업자동화제어시스템 타입이 6ES7-315-2 또는 6ES7-417이고, 산업자동화제어시스템 제어 PC의 운영체제(OS)가 윈도우인 경우입니다.
또 스턱스넷이 이용하는 취약점은 총 5개로, 이 취약점 중 3개(USB, 공유 프린터, 공유 폴더를 통해 감염)는 이미 MS에서 보안 패치를 제공하지만 2개는 아직 발표하지 않은 상황입니다.
◇스턱스넷 감염 현황=현재 스턱스넷은 이란 부셰르 원자력핵발전소와 중국 1000여 개 주요 산업 시설을 비롯해 전세계 여러 국가에 감염이 확산된 것으로 보고되고 있습니다. 시만텍 등 보안업계에 따르면 전세계 PC 수십 만 대가 감염된 것으로 나타났습니다. 시만텍 관계자는 세계적으로 약10만대의 컴퓨터가 스턱스넷에 감염됐고 이중 이란이 60%, 인도네시아가 18%, 미국은 2% 정도라고 밝혔습니다. 또 적어도 5명 이상의 전문가로 구성된 해커들의 짓이라고 예상했습니다. 주요 보안업체들은 웜바이러스가 누구에 의해, 무엇을 목적으로 개발됐는지 아직 확인하기 어렵다는 입장입니다. 하지만 특정 국가를 노린 웜 바이러스가 등장한데 대해 사이버 무기의 전초전이라는 분석을 내놓고 있습니다.
조시행 안철수연구소장은 “이번 스턱스넷은 최근 꾸준하게 보안전문가들이 제기한, 구체적인 목표를 가진 타깃형 사이버 공격”이라며 “악성코드가 전략적으로 이용될 가능성을 보여주는 구체적인 사례이며, 이 같은 공격은 더욱 늘어날 것으로 예상된다”고 말했습니다.
현재 스턱스넷의 국내 감염사례나 피해상황은 확인된 바 없습니다.
행정안전부에 따르면 우리나라에서 독일 지멘스사 제어시스템을 사용하는 곳은 40여개 산업시설로, 현재까지는 스텍스넷에 의한 감염사례 등 피해는 발생하지 않은 것으로 확인됐습니다. 행안부는 유관기관등과 협조해 산업자동화제어시스템을 사용하고 있는 국내 주요 정보통신기반시설에 대해 악성코드 감염 여부를 일제조사하고 백신프로그램을 설치하도록 긴급 조치한 상황입니다.
그러나 최근 시만텍이 발간한 스턱스넷 분석 보고서를 보면, 155개 국가, 총 4만개의 스턱스넷 감염IP중 지멘스사 제품을 사용하는 호스트만 따로 집계한 결과 이중 67.6%가 이란이었고, 한국이 8.1%로 그 뒤를 이었습니다. 미국 와이어드(Wierd) 등 외신들은 이를 인용해 한국의 지멘스 산업자동화제어시스템이 스턱스넷에 이란 다음으로 감염율이 높은 것으로 나타났다고 보도하기도 했습니다.
이와 관련, 행안부, 한국 지멘스 등은 여전히 감염 사례가 없다는 입장이지만, 보안업계는 국내 감염 여부에 대한 철저한 조사가 필요하다고 지적하고 있습니다.
임종인 한국정보보호학회장은 “스턱스넷은 명령제어(C&C)서버를 차단하더라도 P2P 등을 통해 업데이트가 가능할 정도로 정교하게 만들어졌다”며 “변형된 스턱스넷 유포도 얼마든지 가능하기 때문에 지금 패치를 했다고 안심해서는 안 된다”고 말했습니다.
김지선기자 dubs45@
자료제공=안철수연구소