스턱스넷은 어떻게 나탄즈에 침투했나 섞일雜 끓일湯 (Others)

원자력 발전소와 수력 발전소를 관리 운영하는 한국수력원자력(한수원)에 사이버 공격이 감행되어 걱정거리가 되고 있다. 정체가 밝혀지지 않은 '원전반대그룹'은 지난 12월9일 이후 몇 차례에 걸쳐 한수원 직원들에게 파일을 삭제하는 바이러스가 담긴 이메일을 보내 일부 컴퓨터를 감염시켰다.

한수원 내부 문서도 유출되었으며, 그중 일부가 인터넷에 공개되었다. 수사당국은 문서 유출이 한수원 내부망 해킹이 아니라 퇴직한 직원들의 컴퓨터 해킹으로 이루어진 것으로 보고 있지만, 확실한 것은 아직 밝혀지지 않았다.

지금까지 상황으로 보아 피해는 그리 크지 않은 듯하지만, 한수원과 같이 국가 기간 시설을 관리하는 기관의 컴퓨터가 해킹에 뚫린다는 것은 심각한 위험이 아닐 수 없다.

이 사건을 보도한 한 기사는 다음과 같이 썼다.


합수단은 이메일 공격으로 침투한 악성코드가 원전 운전을 통제하는 한수원 내부망에 접근했을 가능성에 대해서도 조사하고 있다.

원칙적으로 내부망은 철저히 분리돼 있지만 내부망과 직원용 업무망 사이에서 자료를 이동시킬 때는 바이러스 감염 여부 등을 검사해서 옮기는데, 이런 검사에서 걸러지지 않는 신종 악성코드가 침투했을 가능성이 있기 때문이다.


'내부망', 즉 원전 운용와 관련되는 전산망은 인터넷 등 외부망과 완벽히 분리하여야 한다. 물론 한수원의 전산 시스템은 그런 방식으로 운영되고 있을 것이다. 그래도 완전히 안심하기는 어렵다. 관리와 통제는 결국 사람이 하는 것이기 때문이다.


--- ** --- ** ---


어떤 나라가 다른 나라의 기간 시설을 파괴할 목적으로 악성 바이러스를 개발하여 대량 침투시킨 최초의 사례는 스턱스넷이다. 미국이 이스라엘과 협조하여 수행한 스턱스넷 작전은 이란의 핵 시설 무력화를 목적으로 하여 수행되었다. 국가 간에 벌어지는 전쟁의 한 형태로서의 사이버 공격이 어떤 양상인지를 잘 보여주는 사례라고 할 수 있다.

조지 W. 부시 행정부 기간인 2006년에 시작된 스턱스넷 프로젝트는 '올림픽 경기(Olympic Games)'라는 작전명으로 불렸다. 이 프로젝트는 버락 오바마 행정부에서 더욱 속도를 냈으며, 실제로 몇 차례에 걸쳐 공격이 수행되었다. 이 프로젝트를 주도한 부처가 국방부라는 점, 그리고 4성 장군들인 키이스 알렉산더 국가안보국(NSA) 국장과 제임스 카트롸잇 전략사령관이 작전을 이끌고 지휘했다는 점은 이 프로젝트의 군사적 성격을 잘 보여준다.

올림픽 경기 작전은 몇 단계의 과정을 거치며 치밀하게 준비되고 수행됐다. 군사 기관과 정보 기관의 협조 아래 미국 최고의 해커와 보안 전문가들이 소집되어 작전을 수행했으며, 민간 업체의 역량도 활용했다. 그 과정을 간략히 살펴보면 다음과 같다.

1. 매핑(Mapping)

목표물의 전산망에 침투하여 사이버 전쟁을 수행하기 위해 가장 먼저 해야 할 일은, 상대의 전산망을 분석하고 헛점을 찾아내는 일이었다. NSA 비밀 조직에 속한 해커들이 이 작업을 수행했다. 이들은 이란 통신망과 네트워크에 원격 침투하는 방식을 통해, 각종 암호와 데이터를 테라바이트 수준으로 긁어 모았다. '취약점 분석관'들은 보안상의 헛점을 찾기 위해 수백 대의 컴퓨터와 서버를 분석했다.

다음은 '네트워크 착취 전문가'들의 순서다. 이들은 앞에서 수집한 자료를 바탕으로 하여 '비컨(beacon, 유도등)'이라고 불리는 프로그램들을 개발하여 침투시켰다. 이 프로그램은 네트워크 상에서 무선 정찰기 같은 역할을 수행한다. 비컨은 이란 네트워크를 헤집고 다니며 망 구조를 수집하여 매핑하고, 데이터 통신을 낚아채서 NSA로 전송했다.

이 작업의 성과는 눈부셨다. NSA는 이란의 네트워크 구조를 파악하게 되었을 뿐만 아니라, 망을 오고가는 각종 데이터는 물론이고 컴퓨터 마이크를 통해 이루어지는 대화까지 도청하고 녹음했다. 감염된 컴퓨터에서 블루투스망 범위 안에 있는 모든 모바일 전화기까지 파악할 수 있을 정도였다. 이 모든 일이 아득히 떨어진 미국의 비밀 정보부서에서 키보드를 두들김으로써 이루어졌다.

2. 스턱스넷

이제 실제 공격 무기를 개발할 차례다. 이 작업은 중앙정보국(CIA)의 비밀행동처(Clandestine Service) 소속 핵확산 대응팀이 담당했다. CIA 관리의 증언에 따르면, 이 작업의 상당 부분은 민간 연구소에 발주를 주어 진행되었다. 그야말로 군관민 컴퓨터 전문가들이 총동원되어 작업한 셈이다.

스턱스넷은 미국 정보 부서에서는 그냥 '버그(the bug)'로 불렸다. 스턱스넷이라는 이름은 이 바이러스가 민간 보안 전문가들에 의해 발견된 뒤 붙은 이름이다. 그 코드에 나타나는 '.stub'와 'mrxnet.sys'를 결합한 것.

이렇게 하여 미국은 이란의 핵 시설을 사이버 공격할 모든 준비를 끝냈다. 목표물의 위치를 확인했고 사이버 탄두도 준비됐다.

그러나 한 가지 문제가 아직 남아 있었다. 이란 핵 시설을 통제하는 전산망이 외부망과 연결되어 있지 않다는 것이었다. 어떤 식으로든 내부망에 침투해야 했지만, 네트워크가 연결되어 있지 않았으므로 물리적 방법을 모색하는 수밖에 없었다. 이것은 거꾸로 말하면, 내부망이 외부 네트워크와 분리되어 있다고 해서 과연 100% 안전한가를 따져 볼 수 있는 사례로 봐도 될 것이다.

3. 나탄즈

이란 중부 지역에 위치한 나탄즈는 인구 1만2천 명 정도의 작은 마을이다. 황량한 카르카스 산맥 가운데 위치한 이 마을 인근에 이란의 대규모 우라늄 재처리 시설이 건설되었다. 주요 시설 대부분은 8미터 깊이의 지하로 들어갔으며, 시설이 완공된 뒤 22미터 높이의 흙을 덮었다. 축구장 크기인 지하 공간은 폭격에 견딜 수 있게 설계되었다. 시설 주변에는 2.5미터 두께의 콘크리트 담이 이중으로 둘러쳐졌다. 이 지하 시설에 원심분리기 수천 개가 들어갔다.


↑ 핵 시설 건설 공사중인 2002년 9월의 위성 사진.

↑ 지금 구글 지도에서 볼 수 있는 사진. 주요 시설이 지하에 건설되었음을 알 수 있다.

나탄즈 핵 시설의 원심분리기(사진).



핵 재처리용 원심분리기에는 강하고 가벼우며 고속에 견딜 수 있는 회전 장치가 들어가야 한다. 원심분리기가 저속으로 돌면 핵 물질이 분리되지 않으며, 너무 고속으로 돌면 원심분리기가 파손되고 폭발로 이어질 수도 있다. 그 회전 속도는 컴퓨터를 통해 정밀하게 통제되어야 한다. 매우 민감하고 중요한 통제망이므로 인터넷 등 외부 전산망과 철저히 분리되는데, 이러한 단절은 흔히 '에어 갭(air gap, 공극)'이라고 불린다.

따라서 나탄즈의 우라늄 재처리 시설은 일단 외부의 사이버 공격으로부터 안전한 셈이다. 나탄즈에는 원심분리기가 한때 9천 개 가까이 설치되어 작동되었다. 위키에 따르면 현재는 7천 개가 설치되어 그 중 5천 개가 가동중인 것으로 평가된다.

4. 침투

나탄즈의 핵 시설 통제망은 에어 갭을 격벽으로 하여 외부 네트워크와 단절되어 있으므로, 바이러스를 침투시키려면 물리적 접근을 시도하는 수밖에 없다. 이스라엘의 정보기관 모사드가 활약할 차례였다. 모사드는 이란에서 정부 주요 시설의 전산망에 접근할 수 있는 사람들을 포섭하는 일에 나섰다. 가장 대표적인 사람이 알리 아쉬타리였다.

아쉬타리는 이란 정부에 컴퓨터 관련 장비를 공급하는 사업자였다. 정부와 조달 계약을 맺고 컴퓨터와 네트워크 관련 장비와 부품을 공급했다. 그가 제공하는 컴퓨터는 이란 정부에서 가장 민감한 곳, 즉 정보 부서나 국방 부서, 핵 관련 시설로도 들어갔다. 그 자신이 이런 기관에 쉽게 출입할 수 있었음은 물론이다.

미국과 이스라엘이 보기에 아쉬타리는 반드시 포섭해야 할 대상이었다. 그만 포섭한다면 이란 핵 시설에 대규모로 바이러스를 이식하는 것은 식은 죽 먹기였다. 모사드의 공작으로 이스라엘 스파이가 된 아쉬타리는 핵 시설 운용에 지장을 초래할 수 있는 장비를 공급하기 시작했다.

CIA나 모사드는 공작을 단 한 사람에게만 의지하지 않는다. 아쉬타리와 같은 일을 했던 스파이가 여럿 있었다. 전자 장비를 수입하는 업체를 운영하던 알리-아크바르 시아다트도 그 중 하나였다. 나중에 그를 체포한 이란 정부는, 시아다트가 이란의 다양한 정부 기관에 근무하는 공직자들을 포섭하여 전국적인 간첩 조직을 구성한 것으로 발표했다.

스턱스넷의 침투 경로와 관련하여, 킴 제터는 <카운트다운 투 제로 데이: 스턱스넷, 세계 최초의 디지털 무기(Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon)>에서 다음과 같이 썼다:


스턱스넷이 어떻게 나탄즈의 컴퓨터에 이식되었는지는 여전히 미스터리다. 나탄즈의 산업시설 통제 시스템은 인터넷에 직접 연결되어 있지 않았고 초기 버전의 스턱스넷은 다양한 복제 구조를 갖추고 있지 않았기 때문에, 공격자는 직접 시설물 안으로 걸어들어가거나 이메일을 보내는 방식을 통해 에어 갭을 뛰어넘어야 했다.

이 버전 스턱스넷을 확산하는 방법은 단 하나밖에 없었다. 다른 파일을 감염시켜 이를 통해 전파되게 하는 것이다. 다시 말해, USB 메모리에 저장하여 시설 관리 시스템의 프로그래머나 관리자 컴퓨터에 직접 이식하거나, 아니면 감염된 파일을 나탄즈의 누군가에게 이메일로 보내는 방법밖에 없다. USB 저장장치를 사용한 이식은, 감염 사실을 모르는 정부 계약자가 쓰는 저장장치를 활용했을 수도 있다. 이 경우 계약자는 자신도 모르게 공급책 노릇을 한 셈이 된다. 일단 프로그래머나 관리자의 컴퓨터에 도달하기만 하면, 목표물에 이르기는 아주 쉽다.

(중략)

2008년에 이란은 전자 제품 공급자 알리 아쉬타리를 교수형에 처했다. 이란 매체들은 그가 바이러스와 GPS 추적 장치가 포함된 장비를 혁명수비군 간부들에게 공급한 사실을 자백했다고 보도했다. 스턱스넷이 발견된 뒤에는 그가 이 바이러스를 나탄즈에 이식하는 데 협조했다는 보도도 나왔다. 그러나 이란의 뉴스는 정부에서 일정한 의도를 담아 발표한 자료에 의존하기 때문에, 완벽히 신뢰하기는 어렵다. 어쨌든 이란은 몇 년에 걸쳐 많은 사람을 모사드에 협력한 간첩 혐의로 체포하였는데, 그 중에는 증거가 불충분한 경우도 있었다.


5. 적발

이란 정부에 컴퓨터 관련 기기 조달을 맡았던 아쉬타리가 정보부의 안테나에 걸린 것은, 그가 지나치게 자주 민감한 시설들에 들락거렸기 때문이다. 물리적 공격까지 포함한 서방의 개입 가능성에 촉각을 곤두세우던 이란 정부가 볼 때, 이러한 행동은 충분히 수상한 것이었다. 그의 직원 중 누군가가 수상하다고 신고한 것일 수도 있다.

아쉬타리는 2006년에 해외 출장에서 돌아오는 길에 체포되었다. 사이버 공작 같은 것은 꿈도 꾸지 못했던 이란 정부는, 그가 모사드에 포섭되어 정부에 불량한 장비를 공급한 혐의로 기소했다. 2008년 6월에 열린 재판에서 그는 혐의 사실을 모두 인정하고 용서를 빌었다. 그에게는 사형이 선고되었으며, 11월에 테헤란의 한 교도소에서 교수형으로 형이 집행되었다.

이후 핵 시설에 접근할 수 있었던 사람들을 중심으로 하여 수사와 검거 열풍이 불었다. 전자 장비 수입업자인 시아다트가 모사드 간첩 혐의로 체포된 것은 2008년이다. 그 역시 2010년 12월에 교수형으로 공개 처형되었다.

그러나 당시 이란 정부는 자신들의 핵 시설 통제망에 어떤 일이 일어났는지 아직 몰랐다. 이것은 전세계 사람들도 마찬가지였다.

6. 발견

스턱스넷이 민간 보안업자들에게 처음 발견된 것은 2010년 6월이다. 이들은 지금까지 본 것 중에서 가장 정교하게 제작된 바이러스 프로그램을 보고 놀라지 않을 수 없었다. 더욱 놀라운 것은, 이 바이러스가 감염된 일반 컴퓨터들에 영향을 미치지 않고 오로지 이란의 핵 시설만을 목표로 하고 있다는 점이었다.

사실 이것은 스턱스넷을 제작하여 침투시키는 올림픽 경기 작전에서 발생한 실수였다. 원래 계획은 목표물 이외의 어떤 컴퓨터에도 감염되지 않도록 해 정체를 완벽히 숨기는 것이었다. 그러나 미국 정부의 의도와는 달리, 스턱스넷은 목표물인 이란 나탄즈 핵 시설을 넘어서 인터넷으로 유출되며 수많은 컴퓨터들을 감염시켰고, 결국 보안 업체들의 촉각에 걸린 것이다.


참고

사이버 공격을 활용한 전쟁 수행에서 가장 우려되는 점은 1) 스턱스넷 경우처럼 예상치 못한 감염이 벌어져서 피해가 파상적으로 광범위하게 확산될 수 있다는 것과 2) 상대방 역시 사이버 반격을 수행함으로써 아군의 기간 시설이 타격을 입을 수 있다는 것이다.

스턱스넷 발견 초기에 이 바이러스가 국가 수준의 지원 아래 제작된 것이 틀림없다고 진단했던 보안 전문가 카스퍼스키는, 이러한 잠재적 통제 불가능성과 피해의 광범위성 때문에 오히려 국가간 사이버 전쟁에 억지력이 발생할 수 있다고 말한다. 냉전 시대의 핵무기와 똑같은 양상인 셈이다. 아닌 게 아니라, 스턱스넷 개발 당시 CIA 국장이었던 마이클 헤이든을 비롯한 많은 사람이 사이버 무기를 핵무기와 같은 수준으로 생각한다. 피해가 크면서도 그 범위를 계산할 수 없다는 점 때문이다.


프로그래밍 실수로 발생한 것으로 확인된 이 노출 사태는 스턱스넷 작전에서 가장 큰 위기였다. 스턱스넷이 노출된 뒤 백악관 상황실에서 열린 긴급 회의에는 오바마, 부통령 조 바이든, CIA 국장 리언 파네타 등이 참석했다. 회의에서 오바마는 작전을 중지해야 하는지를 심각하게 검토했다. 참모진은 이란이 스턱스넷에 대해 여전히 잘 모르는 상태며 그 파괴력도 유지되고 있다고 보고했다. 오바마는 신속한 공격을 지시하였고, 그 이후 서너 차례의 파상적인 공격이 가해졌다.

7. 피해

스턱스넷이 나탄즈 핵 시설에 얼만큼의 피해를 입혔는지에 대해서는 평가가 엇갈린다. 피해를 본 원심분리기 숫자는 전문가에 따라 1천 개에서 5천 개까지 다양하게 추산한다. 그러나 분명한 것은, 이 바이러스로 인해 이란의 핵 개발이 상당 기간 늦춰졌다는 점이다.

2010년에 이란의 핵 프로그램을 감시하는 국제원자력기구(IAEA) 감시관들은 나탄즈 핵 시설에서 교체되는 원심분리기가 평상시보다 크게 늘어났다는 데 주목했다. 노후, 고장, 오작동 등으로 인해 교체되는 원심분리기는 1년에 약 10% 정도다. 나탄즈 경우는 800개 가량 된다. 그런데 2010년 초에 나탄즈에서는 불과 몇 달 사이에 1천~2천 개의 원심분리기가 교체되고 있었던 것이다.

이것은 물론 스턱스넷의 공격 때문이다. 몇 달 뒤에 스턱스넷이 발견되면서, 이러한 피해의 원인이 조금씩 밝혀지기 시작했다. 기간 시설의 물리적 파괴를 목표로 하여 감시와 공격을 동시에 수행하는 정교한 컴퓨터 바이러스의 정체가 드러나면서, 총포 대신 이를 활용해 전쟁을 벌이는 시대가 도래한 것으로 인식되었다.

그러나 이 디지털 전쟁도 결국 인간이 수행하는 것이며, 그 과정에서 물리적 침투와 파괴 같은 전통적이고 아날로그적인 공작 요소가 여전히 중요한 역할을 한다는 점도 간과되어서는 안 된다.


--- ** --- ** ---


스턱스넷의 정체가 알려지고 공격 사실이 확인된 뒤에도 이란 정부는 이로 인한 피해를 부정했다. 한 핵 시설 책임자는 이 바이러스가 오직 직원들의 개인용 컴퓨터에서만 발견되었을 뿐이라고 말했다. 정보통신부 장관은 바이러스가 침투하였거나 그로 인해 심각한 장애가 벌어진 사실이 없다고 말했다.

한수원의 피해 조사 과정에서 나오는 이야기와 흡사한 것은 우연의 일치일 것이다. 어쨌든 사이버 공격은 더 이상 <다이하드 4> 같은 영화 스토리가 아니며, 국가 간 전쟁을 수행하는 방식으로서 현실화하고 있다는 점을 잊어서는 안 될 듯하다. 기간 시설의 인적, 네트워크적 보안 시스템 역시 그러한 수준에서 구축되어야 할 것이다.



Advertisement




[덧붙임] (12월29일 17:15)

한수원의 블로그에는 이 기관의 전산망 시스템이 어떻게 설정되어 있는지 보여주는 그림이 있다. 이런 구조도에서도 몇 가지 궁금증이 들지만, 여하튼 이렇다고 한다.



 

덧글

댓글 입력 영역



Adsense

Adsense2

구글 애널리틱스