• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

스턱스넷, 두쿠, 그리고 드래곤플레이가 더 무서운 이유 2015.12.25

사이버 공격으로 물리적 피해 입히는 것도 가능해진 시대
컴퓨터로 하는 공격, 더 이상 먼 이야기 아니라는 인식 퍼져야

▲ 흠... 흥미로운 시나리오군. 시나리오야.

[보안뉴스 문가용] 새로운 사이버 공격이 매일처럼 현실로 나타나는 때다. 나타날 때마다 더 발전되고 기발하고 집요하다. 2010년, 스턱스넷에 놀란 게 엊그제 같은데 작년에만 플레임(Flame), 샤문(Shamoon), 하벡스(Havex) 등 스턱스넷에 뒤쳐진다고 할 수 없는 공격이 등장해서 업계를 놀라게 했다. 이제 인정할 수밖에 없다. 멀웨어는 대단한 퀄리티를 가진 소프트웨어이며, 해커들은 매우 똑똑한 집단이다.

그러나 해커들의 파괴적인 지능, 특히 스턱스넷으로 대표되는 ‘사회 기반 인프라’에 대한 타격은 시사뉴스에서 크게 다뤄지지 않는다. 그러니 보안업계 내에서만 큰일이다 큰일이다 하지 바깥은 평온하기 그지없다. 심지어 해커들의 위험성을 보고 환상이라고 치부하고 보안업계의 염려를 망상이라고 보기도 한다.

올해 일어났던 여러 사이버 테러 공격을 되짚어보자. 먼저 드래곤플라이(Dragonfly)와 블랙에너지(Black Energy)가 생각난다. 또, 독일의 한 철강 공장에서 있었던 ‘환상’적인 사이버 공격 때문에 물리적인 피해가 발생한 일도 있었다. 이 두 번째 사건은 연초부터 여러 헤드라인을 뒤덮고 세상을 떠들썩하게 했다. 초점은 ‘사이버 공격’으로 인한 ‘어마어마한 실제 피해’였다. 이 공장의 용광로가 파괴되었기 때문이다. 이게 정말 환상이며 망상일까? 철강 공장이 아니라 핵 시설물이었다면 어땠을까?

사이버 위협은 계속해서 고급화되고 있고 꾸준히 진화 중에 있다. 그러다보니 스턱스넷의 왕좌는 다른 멀웨어가 차지했고, 이는 사실 예견된 일이었다. 올 여름 초 카스퍼스키가 발견한 두쿠2.0(Duqu 2.0)이 바로 그것이다. 현재 멀웨어 역사에서 가장 고급화된 것은 두쿠2.0으로 통하고 있다. 재미있는 건 오리지널 두쿠(두쿠1.0)와 스턱스넷 사이에 긴밀한 연관성이 있다는 것. 그러니 스턱스넷이 두쿠2.0에게 최고의 자리를 내주긴 했지만, 이는 내준 게 아니라 물려준 것일 수도 있다.

그래서 그런지 2015년 블랙햇에서는 사이버 공격으로 인한 물리적인 피해에 대해 많은 연구가 이뤄졌다. IO액티브의 제이슨 라슨(Jason Larsen)은 프로세스 통제 시스템을 장악했을 때 어떤 일이 벌어지는지를 직접 보여 주었다. 사이버 공격이라는 입력값을 물리적 결과물로 해석해내는 시스템이 바로 프로세스 통제 시스템이었고, 그렇기 때문에 이는 치명적인 결과를 낳았다. 다만 사이버 공격으로 인한 물리적 피해가 성공적으로 가해지려면 공격자가 통제 시스템을 완벽하게 꿰고 있어야 한다. 통제 시스템이 통제하는 자산이 무엇인지, 변수에는 어떤 것이 있는지 등등이 바로 그것이다.

드래곤플라이는 통제 시스템을 스캔하는 데에 그쳤고 몇 가지 정보를 수집하는 데에서 공격을 그쳤다. 제이슨 라슨의 연구결과 발표가 없었다면 우린 이미 이런 ‘사소해 보이는’ 드래곤플라이의 공격에 대해 잊었을 수도 있다. 별 피해가 없었기 때문이다. 게다가 드래곤플라이가 훔쳐간 것이 분명한 정보는 아직도 암시장에서 거래되고 있지 않다. 암시장은 계속해서 커져간다고 하는데, 드래곤플라이는 그 정보로부터 이익을 보지 못하고 있는 것이다. 드래곤플라이가 공격을 했다는 사실을 망각한다고 해도 이상하지 않을 상황이다.

실제로 드래곤플라이의 공격을 받은 당사자들은 이미 그 사건을 잊다시피 했을 것이다. 그러나 보안업계에 몸담고 있는 사람들은 긴장을 늦출 수가 없다. 오히려 그들이 무슨 꿍꿍이를 가지고 있을까, 불안감만 증폭되고 있다. 통제 시스템에 대한 공부를 하는 중에 있는 것이라면, 어느 날 어떤 공장이나 산업 인프라가 폭파해도 이상하지 않은 상황이기 때문이다.

사이버 공격이 점점 발전하고 있다는 건, 지금은 굉장히 어려운 축에 속하는 ‘물리적 피해 입히기’가 언젠가 쉽게 가능해진다는 뜻이 된다. 아마 표적이 되는 기업에게 실제 피해를 입히려는 시도를 지금 이 순간에도 누군가는 하고 있을 것이다. 그리고 보안업계에겐 아직 이들의 다음 행동을 예측해낼 능력이 없다.

산업에 가해지는 해킹 피해. 컴퓨터 키보드 두들겨 지구 반대편에 있는 공장을 폭발시키는 것. 이런 일이 사람들의 인식 속에 영화 시나리오나 망상, 혹은 환상으로 남아있다면, 우리는 계속 무방비로 당할 수밖에 없을 것이다. 실재하는 건, 그것이 무엇이든 존재감을 세상에 나타내고 싶어 하기 마련이다.
글 : 에릭 냅(Eric Knapp)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>