스파이 기능으로 돌아온 스턱스넷 '버전업'

일반입력 :2011/10/19 10:55

김희연 기자

지난해 이란 핵시설을 공격하며 화려하게 등장한 스턱스넷이 업그레이드 버전으로 돌아왔다. 독일 지멘스사의 산업 자동화 제어시스템을 공격해 이란 부셰르 원자력발전소를 초토화시켰던 스턱스넷이 이번에는 데이터를 탈취하는 악성코드 형태로 등장했다.

18일(현지시간) 씨넷뉴스는 시만텍이 새롭게 발견한 스턱스넷 악성코드는 백도어에 설치되어 주요 정보를 수집하도록 되어 있다고 보도했다. 이는 문서 등을 탈취한 후 향후 공격에 사용하기 위해 악성코드를 만들어 설치한 것으로 알려졌다.

스턱스넷(Stuxnet)이란 슈퍼 산업시설 바이러스 웜으로 현재까지는 독일 지멘스사의 산업자동화제어시스템(PCS7)을 공격목표로 이동식저장장치(USB), 네트워크 공유 취약점 등을 이용해왔다.

해외 보안 업체에 따르면 이미 전세계 PC 수십 만 대가 감염된 바 있고, 이란을 비롯한 중국 주요 산업 시설등 전 세계 국가에 감염이 확산된 것으로 보고됐다.

이번에 발견된 것은 윈도 시스템에서 작동하는 악성코드로 'Duqu'라는 코드명으로 파일명 앞에 모두 ‘~DQ'를 사용하고 있다. 시만텍은 다른 시스템 정보를 훔치거나 녹음할 수 있는 키스트로커와 같은 정보 탈취기능을 하는 악성코드가 설치되어 있지만 스스로 원격접속이 가능하지는 않은 것으로 파악했다고 설명했다.

시만텍은 블로그를 통해 “이 악성코드를 이용해 반드시 향후 스턱스넷을 이용한 새로운 공격에 이용될 것”이라고 경고하기도 했다.

씨넷뉴스는 현재 유럽지역의 7~8개에 달하는 기업 시스템에서 스턱스넷 악성코드 샘플이 발견됐다고 전했다. 그러나 시만텍 측에서는 정확히 어떤 회사에서 발견됐는지에 대해서는 확인해줄 수 없다는 뜻을 밝힌 것으로 알려졌다.

시만텍 보안대응 담당 비크람 타쿠르 매니저는 “처음에 타깃이 됐던 기업에서는 산업통제 시스템상에서 스턱스넷이 발견된 것은 아니다”면서 “그렇지만 이는 산업통제 시스템과도 연관성이 있는 백도어에서 발견됐기 때문에 피해가 발생할 것으로 예상한다고 설명했다.

타쿠르 매니저는 “Duqu가 스턱스넷 코드로 공유되고 있지만 이는 산업통제 시스템을 파괴하는 대신에 일반적인 원격 접속 능력을 대신해 향후 공격을 위한 정보를 빼내오는 기능을 수행하고 있다”고 말했다.

현재 새롭게 등장한 이 악성코드로 인한 피해가 보고되고 있지는 않다. 그러나 사회 공학적(소셜 엔지니어링) 기법을 이용해 누군가 이메일에 첨부된 악성파일이나 웹 링크를 클릭할 경우 악성코드 감염으로 인해 피해를 입을 수 있다.

관련기사

보안 전문가들은 “스턱스넷은 산업 기반 시설을 공격해 사회전반의 혼란을 초래할 수 있어 우려가 된다”면서 “그러나 이전에도 윈도 제로데이 취약점을 이용한 산업통제 시스템 공격이 이뤄진적도 있기 때문에 이외부적 요인으로 인해 시스템이 통제받지 않도록 프로그램을 수정해 대응해 나가고 있다”고 말했다.

한편, 맥아피도 블로그를 통해 Duqu가 주요 사이트와 소프트웨어의 디지털 서명서 등을 공격해 피해를 입을 수 있다고 경고하기도 했다.