역사상 최초로 사용된 적대 국가의 특정 장치를 목적으로 한 악성 코드 무기. 이란의 핵 농축 시설인 나탄즈 핵 시설의 원심분리기 1000여 기를 파괴해서 이란의 핵 프로그램을 연기시켰다.[1]
웜이고 트로이목마이고 바이러스인 혼종. 웜임에도 불구하고 웜 특유의 네트워크상 구현은 공격 대상인 특정 기기들이 속한 설비 전체를 타격하기 위해 해당 설비가 내장하고 있는 네트워크를 감염시키는 것이 주 목적이었고[2] 실상 전파는 이란의 핵 시설들만을 겨냥해 공격할 목적으로 관계자에 의해 물리적으로 타 기기로 이동되는 전통적 바이러스의 기기간 전파 방식을 채택하고 있었으며, 동시에 최초 침투는 정상 프로그램으로 위장해 망 혼용을 통해 침입한 트로이목마로써 이루어진 것으로 추정되는 에일리언 뺨치게 복잡한 감염경로를 가진 기이한 악성코드로서, 랜섬웨어와는 정 반대 방향으로 기존 악성코드 패러다임을 깨부쉈다.
웜이지만 공격 목표인 이란의 핵 시설의 망 외부로는 나가지 않게 설계된 바이러스이기도 하기 때문에 본래 이란의 핵 시설 외부로 노출될 일이 없었어야 했으나, 스턱스넷에 감염된 핵 시설에서 일하던 엔지니어가 핵시설에서 쓰던 USB 메모리를 자기 집 컴퓨터에 꽂는 순간[3] 바이러스가 인터넷으로 탈출해 버렸다고 한다. 그나마도 원래는 철저히 이란의 핵 시설 소속 망에서만 돌게 설계된 웜-바이러스 복합체이기 때문에, 미국의 소극적인 이란 핵 개발 견제에 불만을 가진 이스라엘의 모사드가 스턱스넷에 손을 대서 외부망으로 유출시켜 버린 것으로 여겨지고 있다.
웜이고 트로이목마이고 바이러스인 혼종. 웜임에도 불구하고 웜 특유의 네트워크상 구현은 공격 대상인 특정 기기들이 속한 설비 전체를 타격하기 위해 해당 설비가 내장하고 있는 네트워크를 감염시키는 것이 주 목적이었고[2] 실상 전파는 이란의 핵 시설들만을 겨냥해 공격할 목적으로 관계자에 의해 물리적으로 타 기기로 이동되는 전통적 바이러스의 기기간 전파 방식을 채택하고 있었으며, 동시에 최초 침투는 정상 프로그램으로 위장해 망 혼용을 통해 침입한 트로이목마로써 이루어진 것으로 추정되는 에일리언 뺨치게 복잡한 감염경로를 가진 기이한 악성코드로서, 랜섬웨어와는 정 반대 방향으로 기존 악성코드 패러다임을 깨부쉈다.
웜이지만 공격 목표인 이란의 핵 시설의 망 외부로는 나가지 않게 설계된 바이러스이기도 하기 때문에 본래 이란의 핵 시설 외부로 노출될 일이 없었어야 했으나, 스턱스넷에 감염된 핵 시설에서 일하던 엔지니어가 핵시설에서 쓰던 USB 메모리를 자기 집 컴퓨터에 꽂는 순간[3] 바이러스가 인터넷으로 탈출해 버렸다고 한다. 그나마도 원래는 철저히 이란의 핵 시설 소속 망에서만 돌게 설계된 웜-바이러스 복합체이기 때문에, 미국의 소극적인 이란 핵 개발 견제에 불만을 가진 이스라엘의 모사드가 스턱스넷에 손을 대서 외부망으로 유출시켜 버린 것으로 여겨지고 있다.
역공학으로 공개된 소스 코드
일반적인 웜과 바이러스는 10KB 정도의 용량을 차지하지만 이 녀석은 용량만 500KB로, 그 구조가 아주 복잡하다. 그리고 공격 대상 시스템이 한 개인 다른 악성코드와는 달리 이놈의 경우 윈도우로 침입한 뒤 지멘스사가 제작한 윈도우용 SCADA 소프트웨어를 거쳐 지멘스에서 제작한 PLC 시스템[4]까지 공격한다. PLC 시스템은 윈도우 기반 PC와는 완전히 다른 하드웨어와 소프트웨어를 기반으로 하며, 명령어 집합을 비롯한 로우 레벨부터 아예 다르게 설계되어 있다.[5]
윈도우를 공격하는 방법도 매우 골때리는데, 한 번도 공개된 적이 없어서 방어책이 없을 수밖에 없는 제로 데이 공격용 취약점이 무려 5개[6]나 들어 있다고 한다. 이 취약점들은 어떤 시스템이든지 한 번은 뚫을 수 있기에 암시장에서 개당 1억 원 정도에 팔리는 매우 값진 놈들이라서 한 개의 바이러스가 여러 개를 가지고 있는 경우는 극히 드물다. 심지어 처음에는 취약점이 4개인 줄 알았는데, 이후 하나가 더 발견됐다. 서로 다른 버전의 스턱스넷끼리 만나면 P2P로 이런 공격용 취약점을 공유할 수도 있다고 한다. 거기다 감지를 피하기 위해 스턱스넷에 내장된 장치 드라이버에는 대만 회사인 Realtek[7]과 Jmicron[8]의 디지털 서명까지 되어 있었다[9]고 한다. 유출되어 가짜 서명에 사용된 이들 디지털 서명 인증서는 이후 인증서 폐기 목록에 올라갔다.
일단 이렇게 잘 숨어들어가서 윈도우 시스템을 감염시킨 다음 루트킷으로 자신을 숨기고 감염된 컴퓨터가 SCADA(산업 제어 자동화 시스템)에 연결되었는지 확인한다. 연결되어 있는 경우 SCADA를 통해 PLC를 조작해서 악의적인 행동을 할 수 있으며, 이론적으로는 모터나 컨베이어 벨트같은 장치를 멈추는 것부터 시작해서 크게는 공장 시설 등을 정지 또는 폭파시킬 수도 있다. 게다가 SCADA 소프트웨어 자체도 변조해서 공격이 이루어지는 동안에도 시스템이 정상 작동하는 것처럼 가짜 신호를 전달하는 은폐 기능까지 탑재되었으며, 물론 SCADA를 감염시키기 위해서도 또다른 제로데이 공격이 들어갔다. 제로 데이 공격을 포함한 APT 공격의 무서움을 보여주는 예라고 할 수 있다.
일반적인 웜과 바이러스는 10KB 정도의 용량을 차지하지만 이 녀석은 용량만 500KB로, 그 구조가 아주 복잡하다. 그리고 공격 대상 시스템이 한 개인 다른 악성코드와는 달리 이놈의 경우 윈도우로 침입한 뒤 지멘스사가 제작한 윈도우용 SCADA 소프트웨어를 거쳐 지멘스에서 제작한 PLC 시스템[4]까지 공격한다. PLC 시스템은 윈도우 기반 PC와는 완전히 다른 하드웨어와 소프트웨어를 기반으로 하며, 명령어 집합을 비롯한 로우 레벨부터 아예 다르게 설계되어 있다.[5]
윈도우를 공격하는 방법도 매우 골때리는데, 한 번도 공개된 적이 없어서 방어책이 없을 수밖에 없는 제로 데이 공격용 취약점이 무려 5개[6]나 들어 있다고 한다. 이 취약점들은 어떤 시스템이든지 한 번은 뚫을 수 있기에 암시장에서 개당 1억 원 정도에 팔리는 매우 값진 놈들이라서 한 개의 바이러스가 여러 개를 가지고 있는 경우는 극히 드물다. 심지어 처음에는 취약점이 4개인 줄 알았는데, 이후 하나가 더 발견됐다. 서로 다른 버전의 스턱스넷끼리 만나면 P2P로 이런 공격용 취약점을 공유할 수도 있다고 한다. 거기다 감지를 피하기 위해 스턱스넷에 내장된 장치 드라이버에는 대만 회사인 Realtek[7]과 Jmicron[8]의 디지털 서명까지 되어 있었다[9]고 한다. 유출되어 가짜 서명에 사용된 이들 디지털 서명 인증서는 이후 인증서 폐기 목록에 올라갔다.
일단 이렇게 잘 숨어들어가서 윈도우 시스템을 감염시킨 다음 루트킷으로 자신을 숨기고 감염된 컴퓨터가 SCADA(산업 제어 자동화 시스템)에 연결되었는지 확인한다. 연결되어 있는 경우 SCADA를 통해 PLC를 조작해서 악의적인 행동을 할 수 있으며, 이론적으로는 모터나 컨베이어 벨트같은 장치를 멈추는 것부터 시작해서 크게는 공장 시설 등을 정지 또는 폭파시킬 수도 있다. 게다가 SCADA 소프트웨어 자체도 변조해서 공격이 이루어지는 동안에도 시스템이 정상 작동하는 것처럼 가짜 신호를 전달하는 은폐 기능까지 탑재되었으며, 물론 SCADA를 감염시키기 위해서도 또다른 제로데이 공격이 들어갔다. 제로 데이 공격을 포함한 APT 공격의 무서움을 보여주는 예라고 할 수 있다.
처음 발견되었을 때는 이란 등 중동 국가에서 집중적으로 발견된 점과 원심분리기를 파괴하려는 패턴으로 인해 이란의 우라늄 농축 시설을 노린 컴퓨터 바이러스로 정황상 추정됐다. 마침 이란에서도 우라늄 농축 시설의 1000개 가량의 원심분리기가 파괴됐다는 뉴스가 흘러나와 그게 거의 확실시됐다. 이 바이러스를 만든 기관이나 국가에 대해서는 미국의 CIA에서 부터 이스라엘의 모사드까지 온갖 추측이 난무했으나, 뉴욕 타임즈의 조사 결과, 결국 미국 정부가 "올림픽 게임"이라는 이름[10] 하에 작전을 추진했다고 드러났으며, 2013년에 NSA 기밀자료 폭로사건의 주역인 에드워드 스노든이 스턱스넷을 NSA와 이스라엘이 공동제작했다고 못을 박았다.
웃기는 건 이 작전을 추진한 이유가 이란이 아니라 이스라엘을 막기 위해서였다는 것이다. 이대로 빠르게 이란의 핵 프로그램이 진행되면 위기감을 느낀 이스라엘이 이란의 우라늄 농축 시설을 폭격할 가능성이 높으니, 스턱스넷으로 시간을 번 것이라는 이야기. 실제로 이스라엘의 이란 공습으로 이란의 핵 시설이 타격당했다.
다음 다큐멘터리에서 자세한 정보를 얻을 수 있다.
웃기는 건 이 작전을 추진한 이유가 이란이 아니라 이스라엘을 막기 위해서였다는 것이다. 이대로 빠르게 이란의 핵 프로그램이 진행되면 위기감을 느낀 이스라엘이 이란의 우라늄 농축 시설을 폭격할 가능성이 높으니, 스턱스넷으로 시간을 번 것이라는 이야기. 실제로 이스라엘의 이란 공습으로 이란의 핵 시설이 타격당했다.
다음 다큐멘터리에서 자세한 정보를 얻을 수 있다.
자세한 설명은 다음 문서들을 참조하자.
이란은 이 일을 빌미로 자국의 핵시설에서 작은 사고만 터져도 이스라엘의 공격이라고 주장하고 있다.
2020년 7월에는 폭발 사고, 2021년 4월에 정전 사고가 있었는데 이때마다 모두 이스라엘의 사이버 공격으로 인해 사고가 일어났다며 '복수하겠다'는 발표를 하고 있다. 최근에는 고농축 우라늄의 생산과 보유의 정당성을 주장하는 구실로도 쓰고 있다.
널리 이름난 사이버전용 악성코드라는 점 때문인지, 공각기동대 ARISE에는 “스턱스넷형” 바이러스라는 용어가 등장한다.
널리 이름난 사이버전용 악성코드라는 점 때문인지, 공각기동대 ARISE에는 “스턱스넷형” 바이러스라는 용어가 등장한다.
이 사건이 알려지고 나서 사이버-물리 시스템[11] 보안이 급격한 관심을 받기 시작했다. 그 전에는 공장 자동화 분야에서는 컴퓨터 네트워크 보안이나 망분리, 모호함을 통한 보안 등이 주류였으며, 표준조차 제대로 마련되어 있지 않았다. 특히 모호함을 통한 보안의 경우 이스라엘이 이란의 공개정보와 제로데이 공격, 정보요원을 통해 내부 정보를 털어가면서 모두 무력화되었다.
- 2014년 대한민국 국군에서는 공격이 발생했을 시 대응하기 위해 비슷한 것을 개발할 수도 있다고 밝힌 적이 있다.
- 2014년 Darkhotel이라는 악성코드가 발견되면서, 해외 보안관련 매체들은 이것이 NSA에 비견할 수준의 정보수집 능력을 갖춘 악성코드라고 연이어 밝혔다. 또한 이것이 한국에서 제작되었을 가능성이 있다고 한다. DarkHotel을 제작한 이들은 이탈리아 해킹팀에서 유출된 내용을 금세 자기네들 DarkHotel에 적용시키는 부지런함을 보였다.
- 2014년 대한민국의 원자력 발전소를 겨냥한 해킹 사건이 발생하였다.
[1] 원심분리기의 모터 회전속도를 안전수치보다 빠르게 회전하도록 유도해서 폭발시켰다.[2] 물론 핵 시설들이 서로 같은 네트워크로 이어져 있다면 당연히 해당 네트워크를 타고 이동한다.[3] 즉, 망 혼용이다.[4] Programmable Logic Controller. 자동화 시스템의 두뇌와 같은 것으로 SCADA와 같이 쓰이기도 하며, 산업시설, 원자력 발전소 등 플랜트 제어에 주로 쓰인다.[5] 보통은 ARM Cortex가 주력이나 경우에 따라서 PowerPC나 AMD64 기반도 있다.[6] 최초 발견된 버전 기준.[7] 흔히 메인보드 내장 랜카드나 사운드 카드 하면 떠오르는 그 꽃게 로고 회사 맞다.[8] SATA 컨트롤러 등 저장장치 관련 칩셋을 주력으로 생산하는 회사. 이 두 회사는 당시 이란과 업무상 교류가 있었다. 바로 이 회사들을 통해 이란에 스턱스넷을 침투시킨 것이다.[9] 디지털 서명이 무엇인지는 http://d2.naver.com/helloworld/744920을 참조. 간단히 말하자면, 신뢰할 만한 기관이 발행한(Root CA) 인증서를 써서 “이 프로그램은 믿을 수 있다”고 인증하는 것이다. 이것이 뚫리는 경우는 흔치 않지만 가끔 일어나며(이런 일이 잦은 Root CA는 평판이 하락한다.), 한 번 일어나면 그 파급효과가 상당히 크다.[10] 2016년에 공개된 다큐멘터리에 따르면, 이 작전은 좀 더 큰 對이란 전자전 계획인 니트로제우스(Nitro Zeus)의 일부였다고 한다.[11] 물리적 요소(공장 기계)와 사이버 요소(컴퓨터 네트워크)를 연동하는 기술.[12] 작중 대형팀이라는 해킹팀이 대한전력(한국전력)을 공격하는데 쓰였다. 결국 천재 해커인 박기영이 막았지만.[13] 21부작으로 구성된 웹드라마이다. 원자력 발전소에서 전자장치가 부착된 폭발물이 터지면서 이야기가 마무리된다.
이 저작물은 CC BY-NC-SA 2.0 KR에 따라 이용할 수 있습니다. (단, 라이선스가 명시된 일부 문서 및 삽화 제외)
기여하신 문서의 저작권은 각 기여자에게 있으며, 각 기여자는 기여하신 부분의 저작권을 갖습니다.
나무위키는 백과사전이 아니며 검증되지 않았거나, 편향적이거나, 잘못된 서술이 있을 수 있습니다.
나무위키는 위키위키입니다. 여러분이 직접 문서를 고칠 수 있으며, 다른 사람의 의견을 원할 경우 직접 토론을 발제할 수 있습니다.