사회기반시설 겨냥 악성코드, 사실은...

일반입력 :2011/12/31 23:50

김희연 기자

지난 해 이란 원전시설 등 사회기반시설을 공격해 전 세계를 공포에 몰아넣은 스턱스넷이 지난 2007년부터 개발된 사이버 무기 중 하나이며, 이는 사이버 위기 전초전에 불과한 것이라는 조사 결과가 나왔다. 경로추적 결과, 이는 단일 플랫폼으로 개발된 사이버 무기 중 하나였다는 것이다.

주요 외신들은 29일(현지시간) 카스퍼스키랩의 조사 결과를 인용해 스턱스넷과 듀큐가 단일 플랫폼에 의해 개발된 것으로 나타났으며, 뒷받침할 만한 관련 증거들도 이미 수집한 상태라고 전했다.

스턱스넷 유사 악성코드로 데이터 탈취기능까지 가진 ‘듀큐’가 등장하면서 사회기반시설을 겨냥한 해킹공격에 대한 사회적 공포는 더욱 급물살을 타기 시작했다.

카스퍼스키랩 조사에 따르면, 사이버 무기 프로그램이 이란을 타깃으로 만들어졌다. 알려진 것보다 훨씬 더 정교한 형태로 만들어졌으며, 이로 인해 미국과 이스라엘의 스턱스넷 공격 배후설은 더욱 무게가 실리게 됐다.

그러나 미국 국방부(펜타곤) 대변인은 카스퍼스키랩 조사결과에 대해서 공식적으로 언급을 하지 않은 상태다.

카스퍼스키랩 글로벌 조사분석팀은 현재 스턱스넷과 듀크의 형태로 사용되는 적어도 세 가지 정도 악성코드를 발견했고 관련 증거들을 수집한 상태라고 밝혔다.

현재 사용되고 있는 소프트웨어 모듈은 개발자들이 만든 새로운 사이버 무기는 단순히 모듈을 추가 및 제거하는 형태로 만들어졌다. 이에 대해 카스퍼스키랩의 한 관계자는 “발견된 사이버 무기는 레고 장비같다”면서 “로봇이나 집, 탱크와 같은 구성요소에도 사용할 수 있다”고 말했다.

발견된 사이버 무기 이름은 ‘틸데드(Tilded)’로 명명되고 있으며, 이는 듀큐나 스턱스넷의 많은 파일명이 '~'와 문자 ‘d’로 시작되기 때문인 것으로 보인다. 보안 전문가들은 틸데드 플랫폼에서 새로운 악성코드 타입을 찾지는 못한 상태지만, 이들의 존재사실이 확실한 것은 스턱스넷이나 듀큐를 검색해 나타날 수 있는 구성요소를 공유하고 있기 때문이라고 설명했다.

카스퍼스키랩은 듀큐나 스턱스넷에 감염되면 악성코드와 연결된 PC의 특정 레지스트리 키 두 가지를 검색해 공유한다는 사실도 밝혀냈다. 최근 조사를 통해 새로운 레지스트리 키를 검색해 구성요소를 공유하고 있으며, 스턱스넷과 듀큐 개발자들이 적어도 동일 플랫폼에서 세 가지의 악성코드를 사용하고 있다는 것이다.

관련기사

주요 외신들은 틸데드 플랫폼 모듈로 안티 바이러스 프로그램이 탐지 차단하지 못하는 매우 정교한 바이러스를 만들 수 있다고 전했다.

보안 전문가들은 스턱스넷, 듀큐와 같은 산업기반 시설을 공격해 사회 혼란을 초래할 우려가 있는 만큼 위험성을 인식하고 근본적인 대책방안을 마련해야 할 것이라고 지적했다.