• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘스턱스넷’ 그 이후...‘스턱스넷 바이러스’가 주는 의미는? 2010.10.27

최진영 교수, “임베디드 SW 개발시 보안성 확보에도 신경 써야”

[보안뉴스 김정완] 지난 10월 1일, 이란 부세르 원전핵발전소에 대한 스턱스넷(Stuxnet) 바이러스 공격은 최초로 산업자동화제어시스템을 겨냥해 제작된 악성코드라는 점에서 영화 ‘다이하드 4.0’에서 국가 기간망을 공격한 사이버전이 현실화될 수 있다는 점이 부각되면서 사회적 이슈를 만들었다. 이에 정부 역시 국내 주요정보통신기반시설에 대해 스턱스넷 바이러스 감염여부를 일제조사하고 백신프로그램을 설치하도록 긴급 조치한 바 있다.

 

▲한국CSO협회는 26일, 소공동 소재 롯데호텔에서 ‘제9회 CSO포럼’을 개최했다. 사진은 이날 포럼에서 최진영 고려대 교수가 ‘스턱스넷 현황과 대책’이란 주제로 주제강연을 펼치고 있다. @보안뉴스.

 

한달여가 지난 현시점에서는 스턱스넷 악성코드 전용 백신으로 위장한 악성코드가 발견되고 있다. 일반 PC 사용자들에게는 스턱스넷 바이러스로 인해 직접적인 큰 피해가 없겠지만 이러한 사회·공학적 기법을 이용한 가짜백신 등이 창궐하는 이유는 그만큼 스턱스넷에 대한 관심이 집중되는 때문이다.


하지만 정작 스턱스넷에 대해 일반 PC 사용자들은 단순히 이를 기존의 악성코드 정도로 생각하고 있는 것이 사실이다. 하지만 이 스턱스넷 바이러스 발생은 생각하는 것보다 큰 의미를 가지고 있다. 그런 점에서 한국CSO협회(회장 이홍섭)가 26일 개최한 ‘제9회 CSO포럼’에서 발표된 최진영 고려대학교 교수의 ‘스턱스넷 현황과 대책’ 주제발표가 주목된다. 이슈만 만들었을 뿐 왜 스턱스넷 바이러스가 중요하며 이에 대한 대책 마련이 필요한 지에 대해 최 교수는 이날 발표를 통해 잘 설명해 줬다는 평이다.


우선 최진영 교수는 사이버 전쟁의 신호라고 할 수 있는 스턱스넷에 대해 이날 소개하며 특히 어떠한 취약점을 이용했는지를 상세하게 설명했다. 이란 부세르 핵발전소를 공격한 스턱스넷은 마이크로소프트(MS) 윈도우의 오류를 이용했는데 4개의 제로데이 취약점과 또 다른 한 개의 취약점이다. 여기에서는 패스워드가 코드에 포함된 것이 확인됐으며, USB를 통해 감염된 것으로 파악됐다.


또한 최진영 교수는 ‘스턱스넷이 왜 국가적 공격인가!’라는 명제에 대해 △특정 지멘스 PLC의 구조를 완벽히 파악하고 있다는 점 △하드코드된 패스워드도 알고 있었다는 점 △크기가 1.5Mb인데, 버그가 1개인 점 △4개의 제로데이 취약점을 사용한 점 △예상이긴 하지만 6~10명이 6개월 정도 걸려야 할 수 있었다는 점 △처음에는 전염속도가 느렸지만 2차 버전에서 전염속도가 빨라진 점 △이란이 첫 주요 타깃이돼 전염된 점 △부세르 원자력발전소에서 사용하는 특정제어SW라는 점 등의 특이사항을 들며 “국가적 지원을 받은 것으로 추측된다”고 추정했다.


또한 최진영 교수는 맥아피의 말을 인용해 “제로데이 취약점을 이용해 제어시스템을 공격한 첫 번째 사례”라고 하면서 “스턱스넷의 큰 역할 중 하나는 현실 상황에서 영화 다이하드 4와 같은 사이버전이 가능할 수 있다는 실제적인 상황을 보여주는 사례이고, 무엇보다 인터넷에 연결되지 않은 소프트웨어인 임베디드 소프트웨어에서도 보안이 필요하다는 큰 인식의 변화를 낳았다”고 강조했다.


특히 그런 점에서 최진영 교수는 스턱스넷이 주는 의미에 대해 “비행기, 건물 등 들어가지 않는 곳이 없는 컨트롤시스템이 이렇듯 공격의 타깃이 될 수 있다는 점은 스마트그리드, 스카다시스템 등도 안전하지 않다는 것을 의미하며 스마트폰이 도청기가 될 수 있는 것처럼 향후에는 건물도 도청기가 될 수 있다”고 말하고 그에 대한 대책으로 “스턱스넷만을 해결해선 안된다. PLC를 만들 때 보안 구멍이 발생하지 않도록 함은 물론 산업체 제어시스템의 경우, 임베디드 SW 개발시 보안성 확보에도 신경 써야 하는 등 관리적·기술적 체계가 근본적으로 바뀌어야 한다”고 강조했다.


아울러 이날 한국CSO협회 포럼 최진영 교수 주제강연에 앞서서 정진홍 서울과학종합대학원 교수는 ‘산업스파이 범죄유형분석 및 대응방향’이란 주제로 “산업기술유출에 방지를 위해서는 기술적·물리적·관리적 보안이 융합돼야 보안 유형별 관리 체계가 구축될 뿐만 아니라 거기에 보안교육 등 인력관리에 대한 경영마인드도 융합돼야 한다”는 내용으로 주제강연을 펼쳤다.


한편 이날 포럼에 참석한 강성주 행정안전부 국장은 “개인정보보호법이 11월 8일 경 국회 법사위에서 논의될 것 같다”며 개인정보보호법 경과사항을 언급하고 “G20을 앞둔 시점에서 스턱스넷 등 사이버안전 분야에 대해 국민들에게 걱정 끼쳐드리지 않도록 행안부는 최선의 노력을 다할 것”임을 밝혔다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>