칼럼 | ‘자기 발등 찍기’ 스턱스넷은 실패한 무기다

지난 수십년간 맬웨어(malware)는 개인 컴퓨터에 침입해 돈을 훔치는 수단 뿐만 아니라 기업이나 국가가 사이버 스파이를 하는 수단으로까지 발전했다. 두 달 전에도 페루와 인접 국가에서는 맬웨어를 이용한 사이버 산업 스파이 사고가 발생했다.

‘ACAD/Medre.A’라고 불리는 이 웜은 전자 설계 소프트웨어인 오토캐드를 대상으로 하고 있다. 오토캐드 작동 스크립트에 사용되는 AutoLISP 언어를 이용해 만들어진 웜이다. 

‘ACAD/Medre.A’는 사악한 목적을 갖고 있는데, 사용자가 열어본 설계 도면 사본을 중국의 두 ISP에 호스팅 된 40개 메일 박스에 보내는 것이 핵심이다.

샌디에고의 안티바이러스 기업인 ESET가 페루에서의 사고를 처음 밝혀냈다. 이 회사는 특정 URL에서 이를 감지할 수 있었다고 설명했다. 페루 등지에서 사고를 초래한 원인이 된 감염된 오토캐드 탬플릿을 공급한 웹사이트였다.

즉 이 URL에 해당하는 회사와 사업관계를 맺고 싶었던 회사들이 이 템플릿을 사용해야만 했다고 가정하면, 왜 페루와 인접 국가에서 맬웨어가 발견됐는지가 논리적으로 설명이 된다. 또 이 지역 외의 대기업 가운데서도 감염된 프로젝트를 지원 또는 확인해주는 업무를 진행했다면 역시 감염이 됐을 수 있다.

이 바이러스는 반드시 중국이라고는 할 수 없지만 누군가 또는 특정 기관이 심어놓은 감염된 템플릿 때문인 것으로 분석되고 있다. 특정 프로젝트를 놓고 경쟁관계에 있는 기업들의 설계 도면을 망쳐 경쟁에서 우위에 서고자 하는 목적으로 풀이된다.

ESET는 오토데스크, 중국 컴퓨터 바이러스 대응센터(Chines National Computer Virus Emergency Response Center), 중국의 IPS 들의 도움을 받아 문제를 해결하기까지 10만 여 도면이 도난 당했을 것으로 추정하고 있다. 이와 관련된 자세한 내용은 ACCA/Medre.A 기술 분석이라는 블로그 포스팅을 참조하기 바란다. 참고로 ESET는 현재 ACAD/Medre.A에 감염됐는지 확인한 후 없애주는 전용 무료 클리너를 제공하고 있다.

산업 사이버 스파이는 큰 문제이다. 그러나 더 큰 문제가 있다. 다름아닌 군사 사이버 스파이 활동이다. 결과와 주체가 더 거대하기 때문이다.

하지만 이런 군사 사이버 스파이 활동에는 아주 심각한 문제가 하나 있다. 현실에서는 특정 국가가 크루즈 미사일로 공격을 하고 난 후, 이 미사일을 다시 조립해 보복할 수 없다. 또 정말 스마트하고 치명적인 장비를 개발했을 경우 적이 이 기술을 역이용해 공격할 수 없다.

그러나 소프트웨어 무기는 다르다. 2년 전 처음 등장한 스턱스넷(Stuxnet)을 생각해보면 알 수 있다. 스턱스넷은 지멘스(Siemens)의 산업용 제어 시스템을 타깃으로 한 것으로, 이란 핵 프로그램 공격에 쓰였던 웜이다.

스턱스넷은 다른 맬웨어가 이미 이용한 취약성과 더불어 4가지 새로운 제로데이 공격을 이용한 아주 정교한 소프트웨어 엔지니어링의 산물이다. 일단 아주 정교하다. 베니티 페어(Vanity Fair)의 보도에 따르면, '가장 기능이 많고, 구조적으로 정교한 악성 소프트웨어가 스턱스넷'이다. 참고로 앞서 가장 위협적인 맬웨어로 간주됐던 콘피커(Conficker) 웜은 스턱스넷의 위협에 비교하면 1/20에 불과하다.

지난 2010년 이 웜이 발견되었을 때, 산업 시스템 보안과 관련된 두 개 메일 리스트에 대한 서비스 거부 공격이 있었다. 이는 웜의 타겟에 대한 뉴스 전파를 늦추려는 시도로 분석되고 있다. 최초 공격에 따른 부수적인 피해가 있었다는 의미다. 이는 군사 목적의 사이버 스파이 활동에서는 흔한 사례가 될 것으로 전망되고 있다.

또 스턱스넷이 처음 발견되고 지금까지 2개 변종이 등장했다. 맬웨어 감염률을 높이는 등 공격력을 개선한 변종들이다.

그렇다면 누가 여기에 대한 책임을 져야 할까? 러시아 마피아? 중국의 해커들? 모두 아니다. 불과 몇 주전 밝혀진 사실이 있다. 부시 정부 당시, 미국과 이스라엘의 정보기관들이 이른바 '올릭핌 게임 작전(Oepration Olympic Games)'이라는 이름 아래 스턱스넷을 개발했다는 것이다. 심지어 오바마 정부에서도 이 작전을 확대한 것으로 알려지고 있다.

그리고 스턱스넷은 본연의 역할을 해냈다. 이란 핵 시설의 원심분리기 1,000개에 피해를 입힌 것으로 추정되기 때문이다. 지멘스 시스템을 이용하던 분리기들이다.

스턱스넷의 공격 의도가 원래 무엇이었는지는 알려져 있지 않다. 그러나 ISIS(Institute for Science and International Security)는 "스턱스넷이 나탄즈의 FEP(Fuel Enrichment Plant)'에 위치한 모든 원심분리기를 파괴하는데 목표를 두고 있었다면 실패했다고 할 수 있다.  그러나 제한된 수의 원심분리기를 타깃으로 하고, 맬웨어 감지를 어렵게 하면서 이란의 FEP 운영을 저해하는데 목표를 두고 있다면 최소한 잠시 동안은 성공했다고 평가할 수 있다"라고 분석했다.

흥미롭게도 스턱스넷의 후예라고 할 수 있는 두쿠(Duqu)는 정보 도난을 위해 설계된 것으로 간주된다. 그러나 모듈식 구조를 갖고 있어 향후 다른 버전이 등장해 다른 목적의 공격을 수행할 가능성을 배제할 수 없다.

게다가, 두쿠는 관련 연구원들이 '두쿠 프레임워크'라고 명칭을 붙인 범상치 않은 언어로 코딩이 되어 있다. 카스퍼스키 랩(Kaspersky Labs)은 이 언어를 C 언어의 변종으로 파악하고 있다. 마이크로소프트 비주얼 스튜디오 컴파일러(Microsoft Visual Studio compiler)로 컴파일한 ‘Object Oriented C’이다.

필자는 스턱스넷과 두쿠 모두 군사용 사이버 스파이 무기로는 실패작이라고 생각한다. 제한적인 피해를 주는데 그쳤을 뿐 만 아니라 오히려 자신을 공격받게 한 무기였기 때문이다.

이유가 뭘까? 코드는 코드이기 때문이다. 이는 바이너리(binary) 형태로 상주한다. 그리고 코드를 실행한다고 해서 없어지 않는다. 여전히 남아있기 마련이다. 아무리 코드와 의도를 암호화하고, 숨기고, 파악하기 힘들게 만든다고 해도 누군가는 이를 해독하고, 발견하고, 분석해낸다.

군사 목적의 맬웨어를 개발하면서, 적들이 우리가 개발한 맬웨어를 역이용할 수 없을 것이라고 가정하는 행위는 어리석다. 공격을 하는 순간 얼마든지 복제가 가능하기 때문이다. 또 각 국가에는 똑똑한 사람들이 많다. 한 국가의 이해와는 상충된 이해를 갖고 있을 수 있는 사람들이다. 이들은 개발국 못지 않게 강력한 컴퓨터와 소프트웨어를 보유하고 있고, 더 뛰어난 능력으로 디코딩해 역공할 수 있다.

이제 사이버 공격이 기업과 국가 모두에 피해를 줄 수 있는 세상을 앞에 두고 있다. 산업 또는 군사 목적의 사이버 스파이 공격이 무르익은 시대이다. 미국 또한 정교한 첨단 소프트웨어 무기를 전파시키고 있다. 문제를 이를 누구나가 이용할 수 있다는 점이다. 어떤가? 오늘날의 컴퓨터 보안이 심각해졌다고 느끼지 않는가? 지켜보기 바란다. ciokr@idg.co.kr