스턱스넷 확산…"더 이상 안전지대는 없다"

스마트 폰 보안, 개인정보보호 등 수 많은 2010년 보안관련 뉴스 중에서 스턱스넷이 올해의 보안뉴스 중 첫 번째로 선정이 되고 있다. 그렇지만 스턱스넷의 의미와 대응법에 대해서는 국내에서는 아직 많이 알려지지 않고 있다.

이란 대통령 마무드 아마디네자드가 시인을 했듯이(연합뉴스 2010년 11월 30일) 이란 핵 시설인 원심분리기를 성공적으로 공격한 스턱스넷은 사이버 전쟁 시대를 열었다고 많은 전문가들은 인정하고 있다.

사이버 공간의 특징상 누구의 소행인지는 더 조사를 해야겠지만 스턱스넷의 구조가 조금씩 이해됨에 따라 국가차원의 공격 또는 국가적 지원을 받은 단체의 공격이라고 많은 보안 전문가들은 단정을 한다. 많은 이유 중에서 중요한 두 가지 근거를 살펴보면 다음과 같다.

첫째, 스턱스넷에 사용이 된 5개의 취약점 중 4개는 제로데이 취약점(지금까지 알려지지 않은 소프트웨어 취약점)을 사용했다는 점이다. 제로데이 취약점은 소프트웨어 상에 내재된 허점으로 해커만이 알고 있는 취약점이다.

한번 공격에 사용된 취약점은 세상에 노출이 되고 그 취약점을 수정하는 패치가 공개가 되는 특성 때문에 제로데이 취약점은 해커들이 매우 아껴 사용하는 공격 병기이다. 이러한 이유로 대부분의 경우 한 개의 제로데이 취약점이 한 해킹 공격에 사용이 된다.

이렇게 소중한 제로데이 취약점을 4개나 사용했다는 것은 많은 수의 해커가 직간접적으로 스턱스넷의 개발에 참여했다는 것을 의미한다(지난해 12월 14일 MS사에서 마지막 제로데이 취약점을 해결하는 패치를 공개했다). 이러한 이유로 주요 국가들은 사이버 공격을 위해 제로데이 취약점을 모으고 있다고 알려져 있다.

둘째는 스턱스넷의 정밀성이다. 스턱스넷에 사용이 되는 취약점은 두 가지 용도로 사용이 된다. 하나는 스턱스넷 악성코드를 스스로 자가복제해 다른 매체를 감염시켜며 전파하는 데 사용이 되는 것으로 이것은 일반적인 악성코드가 많이 사용하는 수법이다.

두 번째 용도는 실행 권한 상승을 통해 원전제어 시스템을 수정하는 것이다. 원전 제어 시스템은 그 특성상 PLC(Programmable Logic Controller)를 사용하는 데 스턱스넷은 일반적인 PLC를 공격하는 것이 아닌 지멘스사에서 개발, 판매하고 있는 시마틱 스텝7이라는 특정 소프트웨어를 수정한다.

이러한 수정은 이란 핵 시설에 설치된 PLC의 내부 구조 및 내장된 모든 소프트웨어의 소스코드를 확보하고 있어야 하고 정확히 이해해야 가능하며 고급 PLC 전문가 및 해커 5~10여명이 최소 6개월의 시간이 필요했을 것이라고 보안 전문가들은 예상하고 있다. (스턱스넷 백서, 시만텍, 2010년 11월)

그 외 여러 증거로 인해 국가적 지원을 받아 개발됐다고 알려지고 있는 스턱스넷은 이란 핵시설을 공격했다는 것 이 외에 매우 다른 의미가 있다. 지금까지 사이버 공간에서 일어나는 사건은 교통마비로 비유되는 DDoS 공격과 개인·기업·국가 정보를 몰래 탈취하는 유형이었다.

그러나 스턱스넷은 리차드 클라크 부시 전 미국대통령 사이버 보안 특별 자문관의 저서 <사이버 전쟁(Cyber War, 2010)> 에서 경고했듯이 사이버 공간이 아닌 실세계의 시스템을 파괴하는 사이버 무기의 탄생과 사이버 전쟁 시대로의 전환을 의미한다.

임베디드 소프트웨어의 경우 그 특성상 유무선 인터넷과 연결이 필요가 없다. 이러한 이유에서 개발단계에서 보안관련 요구사항이 없다. 이번에 공격당한 지멘스 PLC 경우 시큐어 코딩에서는 절대 금지하고 있는 항목인 ‘패스워드 하드 코딩 방식’을 사용했다.

대기업인 지멘스 조차도 보안에 대한 무지 또는 무시가 드러나는 대목이다. SCADA 시스템, 자동차 전장 시스템, 공장 자동화 시스템, 인텔리전트 빌딩 등 해킹 안전 영역이라 알려진 분야도 이제는 사이버 보안 및 해킹에 대한 준비를 해야 한다고 경고를 한 것이 바로 스턱스넷의 매우 중요한 공헌이라고 본다.

보안 위협에 적극적인 대응책 마련 필요

스턱스넷은 국가기간시설에 대해 사이버 공격이 가능하다는 점 이외에도 일반 기업도 예외가 아니라는 점에서 유사한 미래 사이버 공격에 대해 대비를 해야 한다는 교훈을 남겼다. 이러한 공격의 피해를 막기 위해 물리적, 관리적, 그리고 기술적 측면의 대처방안이 기업 및 기관에 필요하다.

물리적 측면은 보안 자산으로의 비인가 개인의 접근을 통제할 수 있는 출입통제 시스템을 구축하고, 접근 권한을 가진 인원의 행동을 모니터링할 수 있는 폐쇄회로 TV의 설치 등 위험요소의 물리적 접근을 효과적으로 막을 수 있는 방법이다.

관리적 측면은 기관의 민감한 정보에 접근하는 인원에 대한 신원관리와 위험요소 등을 분석하고 관리하는 ISO 27001·ISMS (Information Security Management System, 행정부의 경우 G-ISMS) 등과 같은 정보보호관리지침을 세우고 실천하는 것이다. 이러한 지침이 없다면 USB를 통해 PC에 연결이 되는 메모리 스틱, 전자 액자, 스마트 폰, iPad 및 갤럭시 탭과 같은 전자 기기의 관리 지침은 꼭 있어야 한다.

기술적 측면은 최신 버전의 방화벽 및 백신 등으로 이미 알려진 악성코드나 취약점을 통한 공격에 대비하는 소극적 방법과 처음부터 예방하는 적극적 방법이 있다. 리차드 클라크 전 특별자문관이 밝혔듯이 하루에 신규 발생하는 6만여 개의 악성코드중 10% 만이 즉시 탐지되는 기술의 한계를 생각하면 방화벽과 백신만으로 악성코드의 침입을 막을 수가 없다.

가트너사의 보고에 의하면 시스템의 해킹사고 중 80%는 취약점을 내포하는 응용프로그램을 통해 발생하고 있다. 이러한 해킹을 막기 위해서는 해킹의 원인이 되는 취약점을 응용 소프트웨어 초기 개발단계에서부터 철저히 예방하는 것이 매우 중요하다.

즉, MS사가 실시하고 있으며 미 국토안보부에서 권장하는 시큐어 소프트웨어 개발 방법론 및 시큐어 코딩을 적극적으로 활용하는 것이다. 현재 전자정부시스템에 적용하기 위해 준비되고 있는 행정안전부의 ‘전자정부시스템 보안성강화체계구축’ 사업은 매우 좋은 예다.

향후 스턱스넷과 비슷한 악성코드들이 사회 전반에 퍼질 것으로 예상된다. 이러한 세가지 측면을 각 기업과 기관이 실천함으로 지금까지의 사후약방문식 소극적 대응에서 사이버 사건·사고의 사전 예방으로 대응 방식이 전환돼야 한다.

현대 사회는 정보화 기술의 급속한 발전으로 사회의 많은 요소가 사이버 공간과 연결이 된 스마트 사회로 진화를 하고 있다. 스마트 사회가 안전하고 건강한 사이버 공간 위에 정착되기 위해 사이버 보안 특히 소프트웨어 보안은 선택 사항이 아닌 필수 사항이라고 스턱스넷은 우리에게 충고하고 있다.

[글_ 최진영 고려대학교 융합SW전문대학원 교수(choi@formal.korea.ac.kr)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>