스턱스넷: 세계 최초의 무서운 디지털 무기

스턱스넷은 ​​2010년 6월 이란의 핵 시설을 마비시킨 후 처음 발견된 악성 컴퓨터 웜입니다. 오늘날까지도 스턱스넷은 ​​글로벌 인터넷에 무서운 위협으로 남아 있습니다.

스턱스넷은 ​​해커들이 Windows 운영 체제의 제로데이 취약점을 악용하는 데 자주 사용됩니다. 하지만 스턱스넷은 ​​단순히 대상 컴퓨터를 점령하거나 정보를 훔치는 것이 아닙니다. 악성 웜은 디지털 세계를 탈출하여 자신이 제어하는 ​​장치를 물리적으로 파괴합니다.

스턱스넷은 ​​어떻게 이란의 핵시설을 공격했는가?

스턱스넷은 ​​2010년에 처음 발견되었는데, 당시 국제원자력기구(IAEA)의 검사관들은 원자로에 전력을 공급하기 위해 우라늄을 농축하는 지멘스가 제작한 이란의 나탄츠 원자력 발전소의 많은 원심분리기가 제대로 작동하지 않는다는 사실을 발견했습니다.

이란의 핵시설은 완전히 고립되어 있으며, 내부 네트워크나 인터넷에 연결되어 있지 않다는 점은 주목할 만합니다.

벨라루스의 보안팀은 원심분리기 오작동의 원인이 시스템을 운영하는 컴퓨터에서 비롯되었으며, 그 이면에는 매우 복잡한 맬웨어가 있다는 것을 발견했습니다. 이 맬웨어는 USB 포트를 통해 확산되어 원심분리기를 제어하는 ​​프로그래밍 가능 논리 컨트롤러(PLC)를 빠르게 감염시킨 다음 파괴했습니다.

이란 핵 시설의 원심분리기는 매우 빠른 속도로 회전하여 중력보다 몇 배나 강한 힘을 만들어내 우라늄에서 원소를 분리합니다.

스턱스넷이 시스템에 침입한 후, 무작위로 선택된 원심분리기의 배출 밸브를 닫아 가스는 유입되지만 빠져나가지 못하게 했습니다. 이로 인해 원심분리기 내부의 압력이 증가하여 시간과 가스가 낭비되었습니다.

위험한 점은 Stuxnet이 수 주 동안 시스템에 존재했기 때문에 원심분리기의 속도를 잠시 높인 후 표준 속도로 느려지게 된다는 것입니다. 이로 인해 해당 작업을 감지하기 어렵습니다.

또한, Stuxnet은 시스템에서 자신의 존재와 활동을 숨기기 위해 산업 공정을 제어하는 ​​센서 신호를 보냅니다.

기존의 맬웨어와 달리 스턱스넷은 ​​발견된 후에도 계속해서 확산되었습니다. 그래서 연구자들은 이를 "디지털 무기"라고 부릅니다.

스턱스넷은 ​​왜 위험한가요?

사이버 보안 회사들은 스턱스넷을 컴퓨터 웜이라고 부르는데, 이는 일반적인 컴퓨터 바이러스보다 훨씬 더 정교할 수 있습니다.

바이러스와 달리 컴퓨터 웜은 활성화되는 데 인간의 개입이 필요하지 않고, 시스템에 침입한 후 매우 빠른 속도로 자동으로 확산됩니다.

컴퓨터 웜은 데이터를 삭제하는 것 외에도 네트워크 과부하, "백도어" 열기, 대역폭 소모, 하드 드라이브 공간 감소, 루트킷, 스파이웨어, 랜섬웨어와 같은 다른 위험한 맬웨어 설치 등 다른 유해한 영향을 미칠 수 있습니다.

스턱스넷은 ​​2010년에 이란의 원심분리기 1,000여 대를 약화시켰습니다. 전문가들은 이 웜이 매우 복잡한 코드 조각으로 간주하고 있으며, 그 영향을 가볍게 여긴다면 매우 위험할 것입니다.

공격자는 핵 프로그램에 연루된 것으로 추정되는 외부 회사 5곳의 컴퓨터를 악성코드로 감염시켰습니다. 이 악성코드는 확산되어 USB 스틱에 무기를 담아 보호 시설과 지멘스 컴퓨터로 운반했습니다.

당시에는 어떤 보안 시스템도 스턱스넷의 존재를 "검색"할 수 없었습니다. 전문가들에 따르면, 스턱스넷의 주요 확산 수단은 USB입니다.

스턱스넷은 ​​이란의 핵 시설을 공격한 후 실수로 외부 세계에 유출되었습니다. 스턱스넷은 ​​이후 독일, 프랑스, ​​인도, 인도네시아에서도 발견되었습니다.

스턱스넷의 공격 방식은 이후의 다른 위험한 공격의 길을 열어주었습니다. 2015년, 독일 연구원들은 PLC 블래스터라는 또 다른 컴퓨터 웜을 만들었습니다. 이들은 Stuxnet의 공격 방법의 일부를 사용하며, 잠재적으로 Siemens S7 시리즈 PLC를 표적으로 삼습니다.

사이버 보안 기관인 스톰쉴드(Stormshield)는 사이버 범죄자에게 공격적 이점을 제공하는 제로데이 취약점이 항상 존재할 것이기 때문에 스턱스넷과 같은 시나리오는 2024년에도 여전히 발생할 수 있다고 말했습니다.