중국 전역, PC와 주요 산업시설 컴퓨터 공격해 정보 빼내!

[보안뉴스 온기홍=중국 베이징] 세계적으로 위력을 떨치고 있는 신종 컴퓨터 웜 바이러스 ‘스턱스넷┖(Stuxnet)이 중국에서 컴퓨터와 주요 산업시설을 공격하고 있다.

스턱스넷은 최근 중국 전역에서 600만대의 개인용 컴퓨터와 약 1000개 기업의 컴퓨터를 공격하는 등 폭발기에 진입했다고 중국 관영 신화통신 등 언론매체들이 30일 일제히 전했다.

베이징 소재 유명 정보보안업체인 루이싱(瑞星)사는 이날 “지난 이틀 동안 수천 명의 개인과 기업 이용자들로부터 도움 요청을 받았으며, 검사를 통해 이 가운데 상당 비율의 이용자 컴퓨터가 스턱스넷 바이러스에 감염됐고 나아가 자료가 외부로 빠져 나간 것을 발견했다”고 밝혔다. 스턱스넷 바이러스가 빼낸 자료는 컴퓨터명, IP주소, 윈도 체계 판본, 산업 제어 소프트웨어 설치 여부 등이라고 이 회사는 덧붙였다.

지난 7월 처음으로 감염사례가 확인된 스턱스넷 바이러스(Worm.Win32.Stuxnet)은 독일 전자정보통신회사인 지멘스의 산업용 소프트웨어 ‘감시제어 데이터 수집(SCADA) 시스템’에 침입해 오작동을 일으키는 코드를 입력하거나 외부에서 통제될 수 있도록 하는 것으로 알려졌다. SCADA 시스템은 발전소, 수도 공급, 유전 굴착시설을 비롯한 산업 설비를 운용하는데 널리 사용되고 있다.

중국에서는 최대의 수력발전소인 싼샤댐을 비롯해 베이징 교통시스템, 베이징 국제공항 제3터미널의 화물·운영 시스템, 베이징-톈진간 고속철도, 베이징·광저우·선전시 지하철 통제시스템, 상하이시 자기부상철도 등 사회간접자본 시설들이 지멘스의 시스템을 채택하고 있는 것으로 알려졌다. 지멘스는 중국 산업용 컴퓨터 분야에서 최대 해외 공급업체 가운데 하나다.

중국 정부나 지멘스 측은 모두 아직까지 중국내 어떤 산업시설이 스턱스넷에 감염됐는지 밝히지 않고 있다.

중국의 사이버 보안 전문가들은 스턱스넷이 중요한 데이터들을 훔쳐 전송하고 있고, 원거리에서 이를 통제하고 조정할 가능성까지 있기 때문에 국가안보에 사상 유례없는 위협을 가할 수 있다고 지적하면서 대책마련을 촉구하고 나섰다. 아울러 중국의 많은 기업들이 컴퓨터 보안문제에 대한 허점과 오류 때문에 스턱스넷을 다른 기업에 대량으로 퍼트릴 수 위험을 안고 있다고 보안 전문가들은 지적하고 있다. 또 스턱스넷이 수법 상에서 매우 큰 개량의 여지가 있어서 앞으로 유사한 원리의 복잡한 바이러스가 나타날 가능성도 제기되고 있다.

이에 대해 중국 공업정보화부 측은 현 상황을 주시하고 있으며 상황이 심각해질 경우 전국적으로 지멘스 시스템을 점검하는 등 조치를 취할 방침인 것으로 전해지고 있다.

루이싱사는 “스턱스넷 바이러스가 지멘스의 SIMATIC WinCC 계통 SCADA 시스템을 겨냥해 공격을 진행하고 있다”며 “이 시스템이 중국내 철강, 전력, 에너지, 교통, 화공 등 주요 분야에서 널리 응용되고 있기 때문에 일단 스턱스넷 공격이 성공하게 되면 시스템 운행에 이상을 일으키고 나아가 사업 자료 도난과 조업·생산 중지 등의 심각한 사고를 일으킬 수 있다”고 경고했다.

특히 루이싱사는 스턱스넷이 마이크로소프트의 MS10-046, MS10-061, MS08-067 등 7개의 최신 보안취약점을 통해 악성 웜 바이러스를 퍼뜨리고 있으며, 이들 가운데 5개가 윈도 계통이고 다른 2개는 지멘스의 SIMATIC WinCC 계통이라고 밝혔다. 

루이싱사 쪽은 스턱스넷 바이러스가 독일 지멘스사 자동 제어 시스템의 허점을 이용해 데이터베이스에 저장된 데이터를 읽어낸 뒤 이를 미국에 등록된 서버로 정보를 전송하고 지시를 받는다고 주장했다. 해커는 이 서버를 이용할 수 있고, 감염된 컴퓨터에 ‘문건 읽고 쓰기’, ‘문건 삭제’, ‘프로그램 새로 만들기’ 등의 명령을 전송할 수 있다고 이 회사는 설명했다.

하지만 스턱스넷 바이러스가 데이터를 빼낸 뒤 일부 흔적을 없애기 때문에 인터넷 관리자들은 일정 시간이 지난 뒤에서야 공격 당한 것을 발견하게 된다는 것이다. 스턱스넷은 또 RealTek과 JMicron 등 두 회사의 디지털 서명을 위장해 보안제품의 검사 테스트를 우회하고 있다.

이와 동시에 스턱스넷은 주로 USB 메모리와 랜(LAN, 근거리 통신망)을 통해 전파되며, SIMATIC WinCC 시스템을 설치한 컴퓨터는 일반적으로 인터넷과 물리적으로 단절되기 때문에 해커는 특별히 바이러스의 USB 메모리내 전파 능력을 강화했다고 루이싱사는 설명했다. USB 메모리는 주요 기업과 정부 기관의 내부 망에서 이용되는 과정에서 해커가 내린 지시에 따라 많은 자료를 절치·훼손할 수 있게 된다는 설명이다.

이 때문에 기업이 USB 메모리 등 이동 장치에 대해 엄격한 관리를 하지 않을 경우, 특정인이 근거리 통신망내 감염된 USB 메모리를 사용하면서 전체 네트워크가 감염될 수 있을 것이라고 이 회사는 경고했다. 따라서 기업과 정부 기관들은 USB 메모리가 비밀 급 네트워크 내에서 이용되는 것을 엄격히 규제하는 게 요구되고 있다.

루이싱사는 “해커는 감염 컴퓨터에 산업제어 소프트웨어가 설치된 것을 발견할 경우 집중적으로 살피면서 기업 내부 망의 툴에 더 한층 침입해 공격하게 된다”며 “동시에 해커의 지시도 USB 메모리를 통해 제어 시스템 내부에 전송될 수 있으며 각종 위험한 조작을 진행할 수 있다”고 설명했다. 

루이싱은 지난 7월 스턱스넷의 출현을 발견한 이후 백신 프로그램을 내놓았으며, 루이싱 웹사이트(http://www.rising.com.cn/)에서 백신 프로그램을 무료로 내려 받아 이용할 수 있게 하고 있다.

한편, 스턱스넷은 지난 7월 처음으로 감염사례가 확인된 이후 전세계에서 4만5000대 이상의 컴퓨터 시스템을 감염시킨 것으로 전해졌다. 스턱스넷은 이란, 인도네시아, 인도, 파키스탄 등지의 산업시설에 설치된 SCADA 시스템 속에 숨어 있는 게 적발됐다고 중국 언론들이 외신을 인용해 전했다.

이란은 이 가운데 60% 이상을 차지하면서 스턱스넷 공격으로 인한 가장 심각한 피해를 봤다. 이란 산업부 정보기술위원회 위원장은 지금까지 스턱스넷이 약 3만대의 IP 어드레스를 감염시켰다고 전했다. 특히 이란의 첫 원자력발전소인 부세르 원전의 컴퓨터들이 스턱스넷에 감염됐다고 외신들이 전한 바 있다. 하지만 부세르 원전의 프로젝트 매니저는 스턱스넷 바이러스가 부셰르 발전소의 주요 시스템에 어떤 피해를 주지는 않았다며 외신 보도를 부인했다. 지멘스 측은 SCADA 시스템의 소프트웨어가 부세르 원전에는 설치되지 않았다고 주장했다.

사이버 보안 전문가들은 ‘슈퍼 네트워크 무기’로 불리는 스턱스넷이 구조 면에서 매우 복잡한 프로그램이어서 국가 단위에서 이런 바이러스를 만들어 퍼뜨릴 것으로 판단하고 있다고 중국 언론들이 전했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>