스턱스넷

역사상 발견된 최초의 악성코드 무기.
이란의 원심분리기 1000여기를 파괴해서 이란의 핵 프로그램을 연기시켰다.

모든 면에서 기존의 발견된 웜과 바이러스를 초월하는 완전체에 가까운 충공깽 스러운 모습을 보여주는 괴물이다. 발견된 계기가 좀 웃긴데, 원래는 이란 핵시설을 겨냥한 바이러스다 보니 인터넷에 돌아다니면 안되지만, 감염된 핵시설에서 일하던 엔지니어가 핵시설에서 쓰던 USB 메모리를 자기 집 컴퓨터에 꽂는 순간 바이러스가 인터넷으로 탈출했다^[1]고 한다.

일반적인 웜과 바이러스가 10KB 정도에서 많이 놀지만 이녀석은 용량만 500KB로 그 구조 자체가 ㅎㄷㄷ하게 복잡하다고 한다. 윈도우면 윈도우, 맥이면 맥을 공격하는 흔한 악성코드와는 달리 이놈의 경우 윈도우로 침입해서 지멘스사가 제작한 윈도우용 프로그램을 거쳐서 지멘스에서 제작한 PLC 시스템^[2]까지 공격 한다. 지멘스의 PLC 시스템은 윈도우랑 완전히 다른 하드웨어와 소프트웨어 기반이고 기계어 수준부터 다르다고 한다.

윈도우를 공격하는 방법도 매우 골때리는데, 한번도 공개된 적이 없어서 방어책이 없을 수밖에 없는 제로 데이 공격용 취약점이 5개^[3]나 들어있다고 한다. 이 제로데이 공격용 취약점의 경우 어떤 시스템이든지 한번은 뚫을 수 있기에 암시장에서 하나에 한화 1억원 정도에 팔리는 매우 값진 놈들이라서 한 바이러스가 여러 개를 가지고 있는 경우는 극히 드물다. 심지어 처음에는 제로데이 공격용 취약점이 4개인 줄 알았는데, 이후 하나가 더 발견됐다. 서로 다른 버전의 스턱스넷끼리 만나면 P2P로 이런 공격용 취약점을 공유할 수도 있다고 한다. 거기다 감지를 피하기 위해, 스턱스넷에 내장된 장치 드라이버에는 대만 회사인 리얼텍과 Jmicron^[4]의 디지털 서명까지 되어 있었다^[5]고 한다. 당연히 이 가짜 서명에 사용된, 유출된 디지털 서명 인증서는 이후 인증서 폐기 목록에 올라갔다.

일단 이렇게 잘 숨어들어가서 윈도우 시스템을 감염시키면 루트킷으로 자신을 숨기고 감염된 컴퓨터가 SCADA(산업 제어 자동화 시스템)에 연결되어있는지 확인한다. 만약 연결되어 있다고 판단되면 PLC(Programmable logic controller)를 조작해서 악의적인 행동을 할 수 있으며, 이론적으로는 모터나 컨베이어 벨트같은 장치를 멈추는 것부터 시작해서 크게는 공장 시설등을 가동정지 또는 폭파시킬 수도 있다. 물론 지멘스사의 시스템을 감염시키는데도 또다른 제로데이 공격이 들어갔다. 본격 제로데이 공격 암시장 몸값만 10억원을 상회하는 비싼 웜 제로 데이 공격을 포함한 APT 공격의 무서움을 보여주는 예라고 할 수 있다.

처음 발견되었을 때는 이란 등 중동 국가에서 집중적으로 발견된것과 원심분리기를 파괴하려는 패턴으로 이란의 우라늄 농축 시설을 노린 바이러스로 정황상 추정됐다. 마침 이란에서도 우라늄 농축 시설의 1000개 가량의 원심분리기가 파괴됐다는 뉴스가 흘러나와 그게 거의 확실시됐다. 이 바이러스를 만든 기관이나 국가에 대해서는 미국의 CIA에서 부터 이스라엘의 모사드까지 온갖 추측이 난무했으나, 뉴욕 타임즈의 조사결과 결국 미국 정부가 "올림픽 게임"이라는 이름^[6]하에 작전을 추진했다고 드러났으며, 2013년 프리즘 폭로 사건의 주역인 에드워드 스노든이 스턱스넷을 NSA과 이스라엘이 공동제작했다고 못을 박았다.

웃기는 건 이 작전을 추진한 이유가 이스라엘이 이란의 우라늄 농축 시설에 폭격을 할려는 걸 막으려는 이유가 컸다는 것이다. 이대로 빠르게 이란의 핵 프로그램이 진행되면 위기감을 느낀 이스라엘이 이란의 우라늄 농축 시설을 폭격할 가능성이 높으니, 스턱스넷으로 시간을 벌은 것이라는 이야기. 천조국께서는 오늘도 동생 이스라엘 달래려고 고생하십니다.

자세한 설명은 다음 문서들을 참조하자.

• 한국어 위키백과 - 스턱스넷
• IBM의 스턱스넷 상세 분석 보고서 (한국어)

널리 이름난 전자전용 악성코드라는 점 때문인지, 공각기동대 ARISE에는 “스턱스넷형” 바이러스라는 용어가 등장한다.

국군에서도 비슷한 걸 개발한다고 한다.^[7] 그런데 이런거 공개해도 되나? 읍읍

참고 항목 : 레긴

1. ↑ 나중에 알려진 바에 따르면, 이는 이스라엘의 첩보기관 모사드에서 스턱스넷에 손을 대었기 때문이라고 한다. 이것이 아니었으면, 아직까지도 스턱스넷은 이란 내에서만 돌아다니고 그 실체가 제대로 드러나지 않았을지도 모른다.
2. ↑ Programmable Logic Controller. 자동화 시스템의 두뇌와 같은 것으로 SCADA와 같이 쓰이기도 하며, 산업시설, 원자력 발전소 등 플랜트 제어에 주로 쓰인다.
3. ↑ 최초 발견된 버전 기준.
4. ↑ 이 두 회사는 각종 칩셋을 만드는 회사로, 당시 이란과 업무상 교류가 있었다. 바로 이 회사들을 통해 이란에 스턱스넷을 침투시킨 것이다.
5. ↑ 디지털 서명이 무엇인지는 [1]을 참조. 쉽게 말하자면, 공인인증서를 써서 “이 프로그램은 믿을 수 있다”고 인증하는 것이다. 이것이 뚫리는 경우는 흔치 않지만 가끔 일어나며, 한번 일어나면 그 파급효과가 상당히 크다.
6. ↑ 2016년 공개된 다큐멘터리에 따르면, 이 작전은 좀 더 큰 對이란 전자전 계획인 니트로제우스(Nitro Zeus)의 일부였다고 한다.
7. ↑ 사실 DarkHotel이라는, 정교하기로는 NSA 수준으로 평가받는 정보수집용 악성코드가 있는데 이것이 한국에서 제작되었을 가능성이 있다고 한다. 그러니까 국정원 같은 데서도 알게 모르게 사이버전에 사용되는 악성코드를 이미 비밀리에 만들어 쓰고 있을지도 모르는 것이다. 이탈리아 해킹팀에서 프로그램을 돈 주고 사오는 수준인 국정원이? 자기들 프로그램 강화용으로 사봤을수도 있잖아 참고로, DarkHotel을 제작한 이들은 이탈리아 해킹팀에서 유출된 내용을 금세 자기네들 DarkHotel에 적용시키는 부지런함을 보였다.