이란 원전의 운명은?···스턱스넷 웜 공격시작

일반입력 :2010/09/27 08:29    수정: 2010/09/27 11:46

이재구 기자

이란 원자력발전소의 제어를 못하게 만드는 복합컴퓨터웜이 이란최초의 원자력발전소를 온라인으로 가동하기 수주일 전 발전소 직원들의 PC를 감염시킨데 이어 공격을 시작했다.

26일(현지시간) 씨넷은 이란 정부소식통을 인용, 이란 부세르에 있는 원자력발전소가 이란의 수많은 산업분야로 확산된 스턱스넷(Stuxnet)으로 불리는 맬웨어의 공격을 받았다고 전했다. 그러나 자파리 부세르원전 프로젝트 매니저는 그러나 아직 원전 가동에 영향을 미치지 않고 있다고 밝혔다.

그는 이미 지난 25일 이란 관영 IRNA통신과의 인터뷰에서 스턱스넷이 이란의 원자핵발전소 직원들의 PC를 감염시켰다고 밝힌 바 있다.

특히 스턱스넷의 이란원전 감염사태와 관련, 미국의 주요 보안회사 연구원들이 이미 이 맬웨어의 모가 개인수준에서 만들어지기에는 너무 복합적이어서 국가수준에서 만들어지지 않았는가라는 음모론 수준의 의혹을 제기한 바 있어 전세계는 이 사태를 주시하고 있다.

이미 이 맬웨어는 이란은 물론, 인도네시아,인도,미국에서도 감염 사례가 발생한 것으로 알려져 전세계적인 온라인 방식의 원격제어 시설물에 대한 경각심을 높여주고 있다. 실제로 미국의 주요 보안회사들은 이 맬웨어가 이번에 감염된 원전 등의 시설 뿐 아니라 다른 부분까지 감염될 위험성이 크다며 주의를 환기하고 있다.

이번에 특히 맬웨어 스턱스넷의 감염을 공식 발표한 이란은 원자력핵발전소를 이용한 핵폭탄용 고준위 연료재처리 과정을 확보한 것으로 알려져 미국 등 서방강대국과 알력을 겪고 있다.

지난 7월 독일의 전문가들에의해 발견된 스턱스넷이란 웜은 발견된 이래 이란,인도네시아,인도, 그리고 미국에서 수많은 공격사례를 보여주었다. 특히 이 맬웨어는 산업플랜트의 내부 작동에 대한 제어를 장악할 수 있다는 점에서 이란은 물론 다른 나라의 시설물에 대한 감염 우려감을 높이고 있다.

■문제의 이란원전은? 러시아가 건설한 이 원자력발전소는 국제적인 사찰을 받게 돼 있다. 하지만 국제 열강들은 이란이 민간원자력 프로그램을 핵무기제조를 숨기기 위한 목적으로 사용하길 원하고 있다는데 주목하고 있다. 가장 주목받고 있는 원자력 발전소는 나탄즈(Natanz)시에 있는 우라늄재처리 시설이다.

원자력 무기에 대한 어떤 야심에 대해서도 부정한 이란 정부는 원자력발전소의 발전을 위해 필요한 저준위레벨의 우라늄순도를 높이기만을 원한다고 말했다. 하지만 고준위처리과정을 거친 연료는 원자탄을 만들 수 있게 된다.

이 파괴적인 스턱스넷이라는 이름의 웜은 단순히 데이터를 훔치거나 조작하기 위한 것보다는 산업용 제어시스템을 장악할수 있도록 하기 위해 특별히 만들어진 최초의 사례라는 점에서 전문가들을 놀라게 하고 있다.

미국또한 웜을 추적하는 한편 미국토안보부 주도로 미 전역의 산업설비에 대한 사이버비상조치에 대응해 나가기 위한 특별팀을 만들고 있다.

지난 25일 이란 반 관영 ISNA뉴스통신은 맬웨어가 이란을 통해 확산됐다고 밝혔지만 구체적인 감염사이트를 밝히지는 않았다.

■전문가들, 국가적 차원에서 만들어진 웜

이와 관련, 씨넷은 이란 원전시설을 공격하기 위해 설계됐을지도 모르는 스턱스넷 컴퓨터웜이 국가적차원에서 지원돼 만들어졌을 것이라는 보안전문가들의 의견을 소개한 바 있다.

시만텍의 에릭 치엔 연구원은 “우리는 이 맬웨어 코드의 형태가 예를 들어 국가에 의해 이뤄졌을 정도로 복잡하다고 말할 수 있으며 그의 부모가 사는 집 지하에 앉아있는 해커는 아니라고 말할 수 있습니다”라고 말했다.

치엔연구원은 그러나 “이 맬웨어 코드에는 특별한 저자를 지목할 수 있는 것, 또는 동기가 무엇인지를 말해주는 아무 것도 없다”고 밝혔다.

트렌드마이크로의 보안연구원 폴 퍼거슨도 스턱스넷이 국가의 지원아래 이뤄진 것 같다는데 동의했다. 그는 “이 맬웨어에 들어간 기술적 전문성의 규모는 무작위의 개인에 의해 저질러진 것 같지는 않다”면서 그 이유로 “이 맬웨어를 개발하기 위해 이들 시스템에 접근할 수 있어야 했을 것이기 때문”이라고 말했다.

원전은 물론, 석유나 가스시설도 위협

퍼거슨 연구원은 타깃이 이란 핵발전소라고 확인은 할 수 없었다고 말했다.

그는 “그러한 생각은 현재 상황에서는 순전히 억측일 뿐이다. 타깃이 어떤 것이었는지에 대해서는 많은 이론이 있어왔다”고 말했다.

퍼거슨은 또 “맬웨어의 목표는 석유나 가스시설 또는 맬웨어 특별히 공격하고 있는 다른 지멘스제어시스템을 사용하는 설비였을 수도 있다”고 말했다.

두 보안전문가는 이러한 형태의 코드는 중요한 보안의 관심거리라고 말했다.

“더 많은 사람들에게 이것은 새로운 세대의 공격입니다. 우리는 더 이상 누군가가 다른 사람의 보안카드번호를 훔치는 것에 대해 이야기 하지 않습니다. 우리가 말하고 있는 것은 예를들어 누군가가 파이프라인이 날아가거나, 또는 원자로 노심이 제어되지 못하거나 또는 전력망이 먼추는 것입니다. 그래서 우리는 여기서 가상 또는 사이버상의 연관성을 말하지 않으며 실제로 사람이 개입한 가능성에 대해서만 얘기합니다. ”라고 말했다.

퍼거슨은 지난 수년간 제조업체, 석유,가스 시설들이 폐쇄적인 시스템으로 그들의 시설을 이용하면서 윈도같은 기존 SW시스템으로 사업결정을 해 왔기 때문에 이건 작은 문제가 아니다라고 말했다.

그는 이런 형태의 위협은 다른 인터넷과 연계된 네트워크에서도 똑같이 발생할 가능성이 있다.이런 형태의 위협은 아주새로우며 이것이 왜 정보커뮤니터의 많은 사람들,국토안보부,그리고 전세계의 다른 많은 정부가 이런 맬웨어의 위협에 떨고 있는지에 대한 설명이라고 말했다.

퍼거슨은 이 맬웨어가 목표지향적 속성을 가지고 있으며 범죄와 스파이웨어의 측면을 동시에 보여준다고 분석했다.

■지멘스 지난 7월 “스턱스넷의 타깃은 원전”

스턱스넷이 처음 발견된 지난 7월 독일 원격감시제어시스템(SCADA) 원전공급사인 지멘스는 자사 고객들에게 디폴트패스워드를 바꾸지 말라고 권고했다.

관련기사

지멘스는 패스워드를 바꾸는 것은 시설물회사와 전기공급사 등의 핵심인프라에 영향을 미칠수 있기 때문이라고 이유를 설명했다.

지멘스 대변인 미하엘 크람페는 당시 “조만간 고객가이드라인을 제시할 것이지만 디폴트 설정을 바꾸라는 충고같은 것은 포함되지 않을 것”이라고 말한 바 있다.