나탄즈의 원심분리기 캐스케이드를 제어하는 소프트웨어에
스턱스넷(Stuxnet ) 이라는 웜 삽입한지 15년 만에 실행
The Real Story of Stuxnet
https://spectrum.ieee.org/the-real-story-of-stuxnet
이란 핵 시설에 대한 공격은 이스라엘 군과 정보 기관이 이란의 핵무기 개발 노력을 방해하고 교란하기 위해 20년간 벌여 온 작전의 가장 최근 사례입니다 . 6월 12일 목요일, 이스라엘의 베냐민 네타냐후 총리는 이스라엘 전투기가 "나탄즈에 있는 이란의 주요 농축 시설"을 공격했다고 발표했습니다. 이 시설은 이란이 발전 등 평화적 용도에 필요한 수준을 훨씬 넘는 수준으로 우라늄을 농축하기 위해 원심분리기를 가동해 온 두 곳 중 하나입니다 .
이스라엘이 나탄즈 의 원심분리기 캐스케이드를 제어하는 소프트웨어에 스턱스넷(Stuxnet ) 이라는 웜을 삽입하는 정보 작전을 개시한 지 15년 만에 발생한 이번 공격은 그 자체로 엄청난 파괴력을 지녔습니다. 이 작전으로 나탄즈 시설의 원심분리기 약 1,000대가 파괴되었습니다. 스턱스넷은 정보 작전에서 산업 기반 시설을 파괴하는 데 성공한 최초의 사이버 무기로 여겨집니다. 2013년 2월에 발표된 이 기사에서 IEEE 스펙트럼은 스턱스넷 웜의 발견 및 분석 과정에 대한 최초의 심층 분석 기사 중 하나를 게재했습니다. —IEEE 스펙트럼
2013년 2월 26일의 원본 기사는 다음과 같습니다.
컴퓨터 케이블이 바닥을 가로질러 뱀처럼 얽혀 있습니다. 벽을 장식한 다양한 화이트보드에는 수수께끼 같은 순서도가 휘갈겨져 있습니다. 실물 크기의 배트맨 인형이 복도에 서 있습니다. 이 사무실은 다른 괴짜 직장과 다를 바 없어 보일지 모르지만 사실 이곳은 전쟁의 최전선입니다. 사이버 전쟁 에서 대부분의 전투는 외딴 정글이나 사막이 아닌 이곳과 같은 교외 오피스 파크에서 벌어집니다. 모스크바에 본사를 둔 선도적인 컴퓨터 보안 회사인 카스퍼스키 랩 의 수석 연구원인 로엘 쇼웬버그는 매사추세츠주 워번에 있는 연구소의 미국 본사에서 낮과 밤을 보내며 물 공급, 발전소 , 은행 , 그리고 한때 공격에 무적해 보였던 기반 시설을 마비시킬 수 있는 가장 교활한 디지털 무기와 싸웁니다 .
이러한 위협에 대한 인식은 2010년 6월, 이란의 우라늄 농축 공장을 포함하여 최소 14곳의 산업 시설 소프트웨어를 감염시킨 500킬로바이트 규모의 컴퓨터 웜인 스턱스넷(Stuxnet)이 발견되면서 폭발적으로 증가했습니다. 컴퓨터 바이러스 는 의도치 않은 피해자가 설치해야 감염되는 반면, 웜은 자체적으로 확산되며, 주로 컴퓨터 네트워크를 통해 이루어집니다.
이 웜은 전례 없이 정교하고 악의적인 코드로, 세 단계에 걸쳐 공격했습니다. 먼저, 마이크로소프트 윈도우 컴퓨터와 네트워크를 표적으로 삼아 반복적 으로 자기 복제를 했습니다. 그다음 , 원심분리기와 같은 장비를 작동하는 산업용 제어 시스템을 프로그래밍하는 데 사용되는 윈도우 기반 소프트웨어인 지멘스 Step7 소프트웨어를 노 렸습니다. 마지막으로, 프로그래머블 로직 컨트롤러(PLC)를 감염시켰습니다. 웜 개발자는 산업 시스템을 감시하고, 공장의 작업자가 모르는 사이에 빠르게 회전하는 원심분리기를 스스로 분해할 수도 있었습니다. (이란은 스턱스넷이 일부 원심분리기를 파괴했다는 보고를 확인하지 않았습니다.)
2012년 10월, 미국 국방장관 리언 파네타는 미국이 열차 탈선, 상수도 오염, 전력망 마비를 초래할 수 있는 "사이버 진주만 공격"에 취약하다고 경고했습니다 . 다음 달, 셰브론은 스턱스넷이 자사 시스템에 확산되었음을 인정한 최초의 미국 기업이 되어 이러한 추측을 사실로 확인했습니다.
스턱스넷의 제작자는 공식적으로 확인되지 않았지만, 이 웜의 규모와 정교함으로 인해 전문가들은 이 웜이 특정 국가의 후원을 받았을 가능성이 있다고 추정하고 있습니다. 아직 아무도 이를 인정하지 않았지만, 미국과 이스라엘 관계자들이 언론에 유출한 정보 에 따르면 이 두 나라가 범인일 가능성이 높습니다. 스턱스넷 발견 이후, 쇼웬버그를 비롯한 컴퓨터 보안 엔지니어들은 듀쿠(Duqu), 플레임(Flame), 가우스(Gauss)와 같은 무기화된 바이러스 에 맞서 싸워 왔으며 , 이러한 공격은 수그러들 기미가 보이지 않습니다.
이는 지정학적 갈등의 전환점을 의미합니다. 한때 <리브 프리>나 <다이 하드> 같은 영화 에서만 상상했던 종말론적 시나리오가 마침내 현실이 된 것입니다. "소설이 갑자기 현실이 되었죠."라고 쇼웬버그는 말합니다. 하지만 이에 맞서 싸우는 영웅은 브루스 윌리스가 아닙니다. 그는 포니테일 머리를 한 꾀죄죄한 27세 청년입니다. 쇼웬버그는 "우리는 세상을 구하기 위해 여기 있습니다."라고 말합니다. 문제는 카스퍼스키 랩이 과연 그럴 만한 역량을 갖추고 있는가 하는 것입니다.
바이러스가 항상 이렇게 악의적이었던 것은 아닙니다 . 1990년대, 쇼웬버그가 네덜란드 의 괴짜 십 대였던 시절 , 악성코드는 대개 장난꾸러기나 해커들이 만들어낸 것이었습니다 . 컴퓨터를 망가뜨리거나 AOL 홈페이지 에 낙서를 하려는 사람들이었죠 .
14세 소년 쇼웬버그는 스스로 컴퓨터 바이러스를 발견한 후, 업계 최고의 백신 회사 중 하나인 카스퍼스키 랩에 연락했습니다. 이러한 회사들은 얼마나 많은 바이러스를 먼저 탐지했느냐로 평가되는데, 카스퍼스키는 최고 중 하나로 여겨졌습니다. 하지만 성공과 함께 논란도 뒤따랐습니다. 일각에서는 카스퍼스키가 러시아 정부와 연루되어 있다고 비난했지만, 카스퍼스키는 이를 부인했습니다 .
첫 번째 제안이 있은 지 몇 년 후, 쇼웬버그는 설립자 유진 카스퍼스키에게 이메일을 보내 보안 전문가가 되고 싶다면 대학에서 수학을 공부해야 하는지 물었습니다. 카스퍼스키는 17세 소년에게 일자리를 제안했고, 그는 그 제안을 받아들였습니다. 네덜란드 에서 4년간 카스퍼스키에서 근무한 후 , 그는 보스턴 지역으로 갔습니다. 그곳에서 쇼웬버그는 엔지니어가 악성코드에 맞서 싸우려면 특정 기술이 필요하다는 것을 알게 되었습니다. 대부분의 바이러스는 윈도우용으로 개발되었기 때문에, 이를 리버스 엔지니어링하려면 x86 어셈블리 언어에 대한 지식이 필요합니다.
그 후 10년 동안 쇼웬버그는 업계 역사상 가장 중요한 변화를 목격했습니다. 바이러스를 수동으로 탐지하던 방식은 매일 최대 25만 개의 새로운 악성코드 파일을 찾아내도록 설계된 자동화된 방식으로 대체되었습니다. 처음에는 은행들이 가장 심각한 위협에 직면했고, 국가 간 사이버 전쟁의 공포는 아직 먼 미래에 온 것처럼 보였습니다. 캘리포니아주 마운틴뷰에 있는 컴퓨터 보안 회사 시만텍(Symantec Corp.)의 분석가 리엄 오머추(Liam O'Murchu)는 "그런 논의는 전혀 없었습니다."라고 말합니다.
2010년 6월, 벨라루스의 한 악성코드 탐지 회사가 고객으로부터 자사 컴퓨터가 반복적으로 재부팅되는 이유를 파악해 달라는 요청을 받으면서 모든 것이 바뀌었습니다. 해당 악성코드는 신뢰할 수 있는 회사에서 발송된 것처럼 보이도록 디지털 인증서로 서명되어 있었습니다. 이 사실은 백신 업계의 관심을 끌었는데, 자동 탐지 프로그램이 이러한 위협을 감당할 수 없었기 때문입니다. 이것이 스턱스넷이 실제로 발견된 첫 사례였습니다.
위조 서명으로 인한 위험은 너무나 심각해서 컴퓨터 보안 전문가들은 이메일 과 비공개 온라인 포럼을 통해 자신들의 연구 결과를 조용히 공유하기 시작했습니다. 이는 드문 일이 아닙니다. 핀란드 헬싱키에 있는 보안 회사 F-Secure의 최고 연구 책임자인 미코 H. 히포넨은 "컴퓨터 보안 업계의 정보 공유는 예외적인 경우라고 할 수밖에 없습니다."라고 덧붙였습니다 . "경쟁사 간의 협력이 이처럼 광범위한 IT 분야는 상상도 할 수 없습니다." 그럼에도 불구하고 기업들은 경쟁을 벌입니다. 예를 들어 사이버 무기의 핵심 기능을 최초로 식별하여 그로 인한 홍보 효과를 노리는 경쟁이 있습니다.
카스퍼스키와 다른 보안 회사의 연구원들은 스턱스넷이 어떤 목표를 노리고 있는지 알아내기도 전에 코드의 역공학을 시작하여 그 과정에서 감염자 수, 이란의 감염 비율, 발전소에서 사용하는 지멘스 산업 프로그램에 대한 언급 등 단서를 수집했습니다.
쇼웬버그는 스턱스넷이 화이트햇 커뮤니티에 알려지지 않았던 취약점을 악용하는 제로데이 익스플로잇을 단 한 건이 아니라 네 건이나 실행했다는 사실에 가장 큰 감명을 받았습니다. 그는 "단순히 획기적인 숫자가 아니라, 모든 공격이 서로 훌륭하게 보완하는 것이죠."라고 말했습니다. "LNK(Microsoft Windows의 파일 바로가기) 취약점은 USB 메모리를 통해 확산되는 데 사용됩니다. 공유 인쇄 스풀러 취약점은 공유 프린터가 있는 네트워크에서 확산되는 데 사용되는데 , 이는 인터넷 연결 공유 네트워크에서 매우 흔합니다. 나머지 두 가지 취약점은 권한 상승과 관련이 있는데, 컴퓨터가 완전히 잠긴 상태에서도 시스템 수준의 권한을 획득하도록 설계되었습니다. 정말 훌륭하게 실행되었습니다."
카스퍼스키의 쇼웬버그와 동료들은 곧 해당 코드가 오합지졸 블랙햇 해커 집단의 아이디어라고 보기에는 너무 정교하다는 결론을 내렸습니다. 쇼웬버그는 10명으로 구성된 팀이 이 코드를 개발하는 데 최소 2~3년은 걸렸을 것이라고 생각합니다. 문제는 누가 책임을 져야 하는가였습니다.
스턱스넷은 이란 핵 농축 프로그램의 원심분리기를 구동하는 지멘스 시스템을 무력화하기 위해 특별히 설계된 악성코드라는 사실이 현장 보고서뿐 아니라 코드 자체에서도 곧 분명해졌습니다. 카스퍼스키 분석가들은 금전적 이득이 목적이 아니라는 것을 깨달았습니다. 정치적 동기에 의한 공격이었습니다. "그 시점에서는 국가 차원의 지원이 있었음에 의심의 여지가 없었습니다."라고 쇼웬버그는 말합니다. 이러한 현상은 대부분의 컴퓨터 보안 전문가들을 놀라게 했습니다. 시만텍의 오머추는 "우리는 모두 엔지니어입니다. 코드를 분석합니다."라고 말합니다. "실제 정치적 파장을 일으킨 최초의 위협이었습니다. 우리는 이를 받아들여야 했습니다."
2012년 5월, 카스퍼스키 랩은 정보통신기술을 관리하는 유엔 산하 기관인 국제전기통신연합(ITU) 으로부터 이란 석유 회사 컴퓨터의 파일을 파괴한 것으로 추정되는 악성코드를 연구해 달라는 요청을 받았습니다 . 당시 쇼웬버그와 그의 동료들은 이미 스턱스넷 바이러스의 변종을 찾고 있었습니다. 그들은 2011년 9월, 헝가리 연구원들이 산업 제어 시스템 정보를 훔치도록 설계된 두쿠(Duqu)를 발견했다는 사실을 알고 있었습니다 .
유엔의 요청을 처리하는 동안 카스퍼스키의 자동화 시스템은 또 다른 스턱스넷 변종을 발견했습니다. 처음에 쇼웬버그와 그의 팀은 새로 발견된 악성코드가 스턱스넷과 명백한 유사성을 보이지 않았기 때문에 시스템에 오류가 있다고 결론지었습니다. 그러나 코드를 더 자세히 분석한 결과, 스턱스넷 초기 버전에서 발견되었던 플레임(Flame)이라는 또 다른 파일의 흔적을 발견했습니다. 처음에는 플레임과 스턱스넷이 완전히 별개의 존재로 여겨졌지만, 이제 연구원들은 플레임이 스턱스넷의 선구자였으며, 어떻게 된 일인지 탐지되지 않았다는 사실을 깨달았습니다.
플레임은 총 20메가바이트로, 스턱스넷보다 약 40배 더 컸습니다. 보안 전문가들은 쇼웬버그의 표현을 빌리자면 "이것이 다시 국가 주도의 공격이 될 수 있다"는 것을 깨달았습니다.
카스퍼스키는 Flame을 분석하기 위해 "싱크홀"이라고 부르는 기법을 사용했습니다. 이는 Flame의 명령 및 제어(C&C) 서버 도메인을 장악하여 Flame이 본거지에 있는 서버와 통신을 시도할 때 Kaspersky 서버로 정보를 전송하도록 하는 방식이었습니다. Flame 서버 의 소유자를 파악하기는 어려웠습니다 . 쇼웬버그는 "도난당한 신용카드 와 인터넷 프록시가 넘쳐나기 때문에 공격자가 쉽게 눈에 띄지 않게 될 수 있습니다."라고 말했습니다.
스턱스넷이 사물 파괴를 목표로 했다면, 플레임은 단순히 사람들을 감시하는 데 그쳤습니다. USB 메모리를 통해 전파되어 동일 네트워크에서 공유되는 프린터를 감염시킬 수 있었습니다. 플레임은 일단 컴퓨터를 감염시킨 후에는 극비 PDF 파일에서 키워드를 은밀하게 검색하여 문서 요약본을 만들어 전송할 수 있었는데, 이 모든 과정이 발각되지 않았습니다.
실제로 플레임 설계자들은 "보안 소프트웨어의 탐지를 피하기 위해 많은 노력을 기울였다"고 쇼웬버그는 말합니다. 그는 한 가지 예를 들며, 플레임은 수집한 정보를 한꺼번에 명령 및 제어 서버로 전송하지 않았습니다. 네트워크 관리자가 갑작스러운 유출을 알아차릴 수 있었기 때문입니다. 그는 "가용 대역폭을 너무 오랫동안 독점하지 않기 위해 데이터를 작은 단위로 나누어 전송합니다."라고 말합니다.
가장 인상적인 점은 Flame이 블루투스 지원 기기와 데이터를 주고받을 수 있다는 것입니다. 실제로 공격자는 블루투스의 표준 30미터 범위뿐 아니라 그보다 더 먼 거리에서도 정보를 훔치거나 다른 악성코드를 설치할 수 있습니다. 블루투스 지원 컴퓨터에 연결된 지향성 안테나인 " 블루투스 소총 "은 온라인에서 쉽게 구할 수 있으며, 약 2킬로미터 떨어진 곳에서도 이 작업을 수행할 수 있습니다.
하지만 Flame에 대해 가장 우려스러운 점은 애초에 컴퓨터에 침투한 방식이었습니다. 바로 Windows 7 운영 체제 업데이트를 통해서 였습니다. 사용자는 단순히 Microsoft에서 정식 패치를 다운로드한 줄 알고 Flame을 설치했습니다. "Windows 업데이트를 통해 Flame이 확산되는 것은 Flame 자체보다 더 큰 문제입니다."라고 Schouwenberg는 말했습니다. 그는 이러한 악성 행위를 조작할 수 있는 프로그래머가 전 세계적으로 10명 정도밖에 없을 것으로 추정합니다. F-Secure의 Hypponen은 "세계적인 수준의 암호화를 뚫었다는 점에서 정말 놀라운 기술적 업적입니다."라고 말했습니다. " 이렇게 하려면 슈퍼컴퓨터 와 수많은 과학자가 필요합니다."
만약 미국 정부가 실제로 웜의 배후에 있었다면, 마이크로소프트의 암호화를 우회하는 이번 시도는 마이크로소프트와 최대 고객인 연방 정부 사이에 긴장감을 조성할 수 있습니다. 히포넨은 "마이크로소프트가 빌 게이츠 , 스티브 발머, 그리고 버락 오바마와 전화 통화를 했을 것 같습니다."라고 말하며, "저는 그 통화 내용을 직접 들어보고 싶었습니다."라고 덧붙였습니다.
플레임(Flame)을 리버스 엔지니어링하는 동안, 쇼웬버그와 그의 팀은 "유사성 알고리즘"(본질적으로 탐지 코드)을 미세 조정하여 동일한 플랫폼에서 구축된 변종을 찾아냈습니다. 7월, 그들은 가우스(Gauss)를 발견했습니다. 가우스의 목적 또한 사이버 감시였습니다.
가우스는 USB 스틱을 통해 한 컴퓨터에서 다른 컴퓨터로 이동하며 파일을 훔치고 비밀번호를 수집했는데 , 알 수 없는 이유로 레바논 은행 계좌 정보를 노렸습니다. (전문가들은 거래 내역을 감시하거나 특정 계좌에서 돈을 빼돌리기 위한 목적이었을 것으로 추측합니다.) "USB 모듈은 암호화된 페이로드 옆의 시스템에서 정보를 가져와 USB 스틱 자체에 저장합니다."라고 쇼웬버그는 설명합니다. "이 USB 스틱을 가우스에 감염된 컴퓨터에 삽입하면 가우스는 USB 스틱에서 수집된 데이터를 가져와 명령 및 제어 서버로 전송합니다."
카스퍼스키 엔지니어들이 가우스를 속여 자체 서버와 통신하게 하려던 바로 그 순간, 해당 서버들이 갑자기 다운되었습니다. 엔지니어들은 악성코드 제작자들이 빠르게 흔적을 감추고 있다고 생각했습니다. 카스퍼스키는 이미 가우스로부터 클라이언트를 보호하기에 충분한 정보를 수집했지만, 그 순간은 섬뜩했습니다. 쇼웬버그는 "우리가 뭔가를 했는지, 해커들이 우리를 노리고 있었는지 확신할 수 없습니다."라고 말했습니다.
플레임과 스턱스넷 의 영향은 국가 지원 사이버 공격 에만 국한되지 않습니다 . "일반 사이버 범죄자들은 스턱스넷이 하는 일을 보고 '멋진 아이디어다. 우리도 따라 하자'라고 생각합니다."라고 쇼웬버그는 말합니다.
버지니아주 맥린에 있는 보안 회사인 타이아 글로벌(Taia Global)의 설립자 겸 CEO인 제프리 카(Jeffrey Carr)는 "핵심은 국가들이 이러한 유형의 사이버 도구 개발에 수백만 달러를 투자하고 있으며, 이러한 추세는 앞으로 더욱 커질 것이라는 점입니다."라고 말했습니다. 스턱스넷(Stuxnet)이 이란의 농축 프로그램을 일시적으로 지연시켰을지는 몰라도 최종 목표는 달성하지 못했습니다. 카는 "스턱스넷, 플레임(Flame), 두쿠(Duqu) 등에 수백만 달러를 투자한 사람은 누구든 간에, 그 돈은 사실상 낭비입니다. 그 악성코드는 이제 공개되었고 리버스 엔지니어링이 가능합니다."라고 말했습니다.
해커는 온라인에서 이용 가능한 특정 구성 요소와 기술을 자체 공격에 재사용할 수 있습니다. 범죄자들은 사이버 스파이 행위를 통해 은행 고객 데이터를 훔치거나 정교한 장난의 일환으로 파괴 행위를 저지를 수 있습니다. "다른 나라들이 우리를 공격하려 한다는 이야기가 많지만, 우리는 2주간 훈련받은 14세 아이들로 구성된 군대에 취약한 상황에 처해 있습니다."라고 쇼웬버그는 말합니다.
이 취약점은 심각하며, 특히 산업용 기계의 경우 더욱 그렇습니다. 예를 들어 미국 수도 시설 시스템에 침투하려면 적절한 구글 검색어만 있으면 됩니다. "많은 산업용 제어 시스템이 인터넷에 연결되어 있고, 기본 비밀번호를 변경하지 않기 때문에 적절한 키워드만 알면 이러한 제어판을 찾을 수 있습니다."라고 쇼웬버그는 말합니다.
기업들은 산업 제어 시스템 업데이트에 필요한 자원 투자에 소극적인 모습을 보였습니다. 카스퍼스키는 30년 된 운영 체제를 사용하는 중요 인프라 기업들을 발견했습니다 . 워싱턴에서는 정치인들이 이러한 기업들이 더 나은 보안 관행을 유지하도록 요구하는 법안 제정을 요구해 왔습니다. 그러나 지난 8월 , 한 사이버 보안 법안은 기업들에게 과도한 비용 부담을 이유로 무산되었습니다. 파네타 주지사는 최근 "우리 민주주의 에 필요한 보호를 완벽하게 제공하기 위해서는 의회에서 사이버 보안 법안이 통과되어야 합니다."라고 말했습니다. "사이버 보안이 없다면 우리는 취약할 것이고, 앞으로도 취약할 것입니다."
그동안 카스퍼스키를 비롯한 여러 회사의 바이러스 사냥꾼들은 계속해서 싸울 것입니다. "위험은 점점 더 커지고 있습니다."라고 쇼웬버그는 말합니다. "10년, 20년 후 어떤 일이 일어날지 매우 궁금합니다. 역사는 우리가 내린 결정을 어떻게 평가할까요?"
The Real Story of Stuxnet
https://spectrum.ieee.org/the-real-story-of-stuxnet
kcontents
