1. 개요
역사상 최초로 시용된 적대 국가의 특정 장치를 목적으로 한 악성 코드 무기. 이란의 원심분리기 1000여 기를 파괴해서 이란의 핵 프로그램을 연기시켰다.
웜이고 트로이목마이고 바이러스인 심히 골때리는 끔찍한 혼종. 웜임에도 불구하고 웜 특유의 네트워크상 구현은 공격 대상인 특정 기기들이 속한 설비 전체를 타격하기 위해 해당 설비가 내장하고 있는 네트워크를 감염시키는 것이 주 목적이었고[1], 실상 전파는 이란의 핵 시설들만을 겨냥해 공격할 목적으로 관계자에 의해 물리적으로 타 기기로 이동되는 전통적 바이러스의 기기간 전파 방식을 채택하고 있었으며, 동시에 최초 침투는 정상 프로그램으로 위장해 망 혼용을 통해 침입한 트로이목마로써 이루어진 것으로 추정되는 에일리언 뺨치게 복잡한 감염경로를 가진 기이한 악성코드로서, 랜섬웨어와는 정 반대 방향으로 기존 악성코드 패러다임을 깨부쉈다.
웜이지만 공격 목표인 이란의 핵 시설의 망 외부로는 나가지 않게 설계된 바이러스이기도 하기 때문에 본래 이란의 핵 시설 외부로 노출될 일이 없었어야 했으나, 스턱스넷에 감염된 핵 시설에서 일하던 엔지니어가 핵시설에서 쓰던 USB 메모리를 자기 집 컴퓨터에 꽂는 순간[2] 바이러스가 인터넷으로 탈출 해버렸다고 한다. 그나마도 원래는 철저히 이란의 핵 시설 소속 망에서만 돌게 설계된 웜-바이러스 복합체이기 때문에, 미국의 소극적인 이란 핵 개발 견제에 불만을 가진 이스라엘의 모사드가 스턱스넷에 손을 대서 외부 망으로 유출시켜버린 것으로 여겨지고 있다.
2. 구조 및 작동 방식
일반적인 웜과 바이러스는 10KB 정도의 용량을 차지하지만 이 녀석은 용량만 500KB로, 그 구조가 아주 복잡하다. 그리고 공격 대상 시스템이 한 개인 다른 악성코드와는 달리 이놈의 경우 윈도우로 침입한 뒤 지멘스사가 제작한 윈도우용 프로그램을 거쳐 지멘스에서 제작한 PLC 시스템[3]까지 공격한다. PLC 시스템은 윈도우와는 완전히 다른 하드웨어와 소프트웨어를 기반으로 하며, 기계어 수준부터 다르다.윈도우를 공격하는 방법도 매우 골때리는데, 한 번도 공개된 적이 없어서 방어책이 없을 수밖에 없는 제로 데이 공격용 취약점이 무려 5개[4]나 들어 있다고 한다. 이 취약점들은 어떤 시스템이든지 한 번은 뚫을 수 있기에 암시장에서 개당 1억 원 정도에 팔리는 매우 값진 놈들이라서 한 개의 바이러스가 여러 개를 가지고 있는 경우는 극히 드물다. 심지어 처음에는 취약점이 4개인 줄 알았는데, 이후 하나가 더 발견됐다. 서로 다른 버전의 스턱스넷끼리 만나면 P2P로 이런 공격용 취약점을 공유할 수도 있다고 한다. 거기다 감지를 피하기 위해 스턱스넷에 내장된 장치 드라이버에는 대만 회사인 리얼텍[5]과 Jmicron[6]의 디지털 서명까지 되어 있었다[7]고 한다. 유출되어 가짜 서명에 사용된 이들 디지털 서명 인증서는 이후 인증서 폐기 목록에 올라갔다.
일단 이렇게 잘 숨어들어가서 윈도우 시스템을 감염시킨 다음 루트킷으로 자신을 숨기고 감염된 컴퓨터가 SCADA(산업 제어 자동화 시스템)에 연결되었는지 확인한다. 만약 연결되어 있다고 판단되면 PLC를 조작해서 악의적인 행동을 할 수 있으며, 이론적으로는 모터나 컨베이어 벨트같은 장치를 멈추는 것부터 시작해서 크게는 공장 시설 등을 정지 또는 폭파시킬 수도 있다. 물론 SCADA를 감염시키기 위해서도 또다른 제로데이 공격이 들어갔다.
3. 제작 주체
처음 발견되었을 때는 이란 등 중동 국가에서 집중적으로 발견된 것과 원심분리기를 파괴하려는 패턴으로 이란의 우라늄 농축 시설을 노린 컴퓨터 바이러스로 정황상 추정됐다. 마침, 이란에서도 우라늄 농축 시설의 1000개 가량의 원심분리기가 파괴됐다는 뉴스가 흘러나와 그게 거의 확실시됐다. 이 바이러스를 만든 기관이나 국가에 대해서는 미국의 CIA에서 부터 이스라엘의 모사드까지 온갖 추측이 난무했으나, 뉴욕 타임즈의 조사 결과, 결국 미국 정부가 "올림픽 게임"이라는 이름[8]하에 작전을 추진했다고 드러났으며, 2013년, 프리즘 폭로 사건의 주역인 에드워드 스노든이 스턱스넷을 NSA와 이스라엘이 공동제작했다고 못을 박았다.웃기는 건 이 작전을 추진한 이유가 이란이 아니라 이스라엘을 막기 위해서였다는 것이다. 이대로 빠르게 이란의 핵 프로그램이 진행되면 위기감을 느낀 이스라엘이 이란의 우라늄 농축 시설을 폭격할 가능성이 높으니, 스턱스넷으로 시간을 번 것이라는 이야기.
다음 다큐멘터리에서 자세한 정보를 얻을 수 있다.
자세한 설명은 다음 문서들을 참조하자.
이란은 이 일을 빌미로 자국의 핵시설에서 크고 작은 사고만 터져도 이스라엘의 공격이라 주장하고 있다.
널리 이름난 전자전용 악성코드라는 점 때문인지, 공각기동대 ARISE에는 “스턱스넷형” 바이러스라는 용어가 등장한다.
4. 대한민국의 경우
- 2014년 대한민국 국군에서는 공격이 발생했을 시 대응하기 위해 비슷한 것을 개발할 수도 있다고 밝힌 적이 있다.
-
2014년
Darkhotel이라는 악성코드가 발견되면서, 해외 보안관련 매체들은 이것이
NSA에 비견할 수준의 정보수집 능력을 갖춘 악성코드라고 연이어 밝혔다. 또한 이것이
한국에서 제작되었을 가능성이 있다
가령 국가정보원?고 한다. DarkHotel을 제작한 이들은 이탈리아 해킹팀에서 유출된 내용을 금세 자기네들 DarkHotel에 적용시키는 부지런함을 보였다. - 2014년 대한민국의 원자력 발전소를 겨냥한 해킹 사건이 발생하였다.
5. 참고 문서
[1]
물론, 핵 시설들이 서로 같은 네트워크로 이어져 있다면 당연히 해당 네트워크를 타고 이동했다.
[2]
즉, 망 혼용이다.
[3]
Programmable Logic Controller.
자동화 시스템의 두뇌와 같은 것으로 SCADA와 같이 쓰이기도 하며, 산업시설,
원자력 발전소 등 플랜트 제어에 주로 쓰인다.
[4]
최초 발견된 버전 기준.
[5]
흔히 무선랜 카드나 메인보드 내장 사운드 카드 하면 떠오르는 그 꽃게 로고 회사 맞다.
[6]
SATA 컨트롤러 등 저장장치 관련 칩셋을 주력으로 생산하는 회사. 이 두 회사는 당시 이란과 업무상 교류가 있었다. 바로 이 회사들을 통해 이란에 스턱스넷을 침투시킨 것이다.
[7]
디지털 서명이 무엇인지는
http://d2.naver.com/helloworld/744920을 참조. 간단히 말하자면, 신뢰할 만한 기관이 발행한(Root CA)
인증서를 써서 “이 프로그램은 믿을 수 있다”고 인증하는 것이다. 이것이 뚫리는 경우는 흔치 않지만 가끔 일어나며(이런 일이 잦은 Root CA는 평판이 하락한다.), 한번 일어나면 그 파급효과가 상당히 크다.
[8]
2016년에 공개된 다큐멘터리에 따르면, 이 작전은 좀 더 큰 對
이란 전자전 계획인
니트로제우스(Nitro Zeus)의 일부였다고 한다.
[9]
작중 대형팀이라는 해킹팀이 대한전력(한국전력)을 공격하는데 쓰였다. 결국 천재 해커인
박기영이 막았지만
[10]
21부작으로 구성된
웹드라마이다.
원자력 발전소에서 전자장치가 부착된 폭발물이 터지면서 이야기가 마무리된다.