| 스턱스넷 웜, 원래 타깃은 이란의 5개 주요 시설! | 2011.02.15 | ||
3회에 걸쳐 타깃 집중 공격...12시간만에 침투 성공
시만텍이 최근 발표한 ‘W32.Stuxnet Dossier‘ 보고서에 따르면 스턱스넷 웜은 3회에 걸쳐 이란의 특정 조직 다섯군데를 타깃으로 공격했다. 시만텍의 보안 연구팀은 여러 컴퓨터에서 수집한 스턱스넷의 표본을 확보해 감염 확산 모형을 만들고 1만 2,000개의 감염 사례를 역추적한 결과 감염원이 다섯개 지점으로 좁혀지는 것을 확인할 수 있었다. 이 과정서 이들은 이란 내 산업 기관과 연계된 인터넷 도메인 다섯 개를 수집했다. 나탄즈처럼 기밀을 유지해야 하는 시설은 인터넷에 직접 연결돼 있지 않을 가능성이 높기 때문에 공격자는 우선적으로 정보를 공유할 개연성이 있는 산업 기관의 사이트를 먼저 감염시키려 한 것이다. 그러나 시만텍은 자사의 프라이버시 정책 때문에 해당 도메인명을 공개하지 않을 방침이다.
스턱스넷 웜, 세가지 버전으로 작성돼 시만텍 팀은 스턱스넷 웜이 적어도 세 가지 버전으로 작성됐으며 첫 번째 버전은 2009년 6월 첫 감염이 성공하기 불과 열 두 시간 전에 작성됐다는 것을 밝혀냈다. 즉 12시간만에 패쇄망 침투에 성공했다는 것이다. 이들은 첫 단계로 스턱스넷 웜에 감염된 이메일을 보냈거나 이를 담고 있는 휴대용 USB 장치를 이용했을 것으로 보고 있다. 2009년 후반기에는 나탄즈를 찾은 국제 조사단은 석유 원심분리기 약 1,000개가 미작동 상태임을 알아냈다. 이 때 이미 스턱스넷 웜의 공격으로 산업단지 일부의 기능이 마비된 것이다. 2010년 4월 공격자들은 스턱스넷 웜을 다시 배포하기 시작했다. 이번에는 윈도우 기반 컴퓨터에서 USB 장치로 감염되는 취약점을 발견해내고 스턱스넷 웜을 삽입하는데 성공했다. 시만텍은 스턱스넷 웜이 풍부한 자금력을 바탕으로 5명내지 10명의 개발자들이 6개월 이상 준비 과정을 거쳐 탄생시킨 것으로 보고 있으며 이와 관련 뉴욕타임즈는 정보·군사전문가들을 인용, 미국과 이스라엘이 공동으로 개발하고 이를 실험했다고 보도한 바 있다. 스턱스넷의 위험성 인지, 대비책 마련해야 스턱스넷은 이란 부셰르 원자력핵발전소와 중국 1천여 개 주요 산업 시설을 비롯, 전세계 여러 국가에 감염이 확산되고 있으며 각 국가들은 이에 대한 위험성을 인지하고 대비책을 마련하고 있다. 우리나라의 경우 최근 서울특별시가 IT기반시설에 대한 보안체계를 강화할 것이라고 발표해 기대를 모으고 있다. 다중 이용시설인 지하철을 비롯해 교통이나 수도 등 IT기반시설의 보안현황을 파악하고 대책 수립을 통해 기반시설을 공격하는 스턱스넷 등의 새로운 사이버 보안 위협에 적극 대처하기 위한 방안인 것이다. 최진영 고려대학교 융합SW전문대학원 교수는 “스턱스넷은 2010년도 제 1위의 보안분야 사건으로 2011년에 이와 유사한 모방 공격이 급증하리라 전문가들은 예상을 하고 있다”며 “이란 공격에서 보듯이 사이버 공격은 그 피해가 매우 심각하므로 소 잃고 외양간 고치는 대응보다는 예방이 중요하다”고 말했다. 그는 또 “스카다 시스템, 스마트 그리드 등 기간 산업이 네트워크 및 전산화가 급속히 진행되고 있기에 스턱스넷과 비슷한 공격은 항상 예상할 수 있으며 이러한 공격에 대처하기 위해서는 기존의 보안대책으로는 충분하지 않다”고 지적하고 “임베디드 시스템 개발시 시큐어 코딩, 시큐어 개발방법론을 사용해야 하며 운영 조직에 ISMS 를 실행하는 등 건강한 시스템, 건강한 운영환경을 구현해야 한다”고 덧붙였다. [호애진 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
