슈퍼 산업 바이러스 '스턱스넷' 경보

IT보안 기업 안철수연구소(안랩)는 최근 최신 악성코드인 '스턱스넷'(Stuxnet)에 대한 상세 분석 정보와 대책을 5일 발표했다.

스턱스넷은 독일 지멘스사의 산업자동화제어시스템을 공격 목표로 제작된 최초의 악성코드로 지난 1일 이란 부셰르 원자력핵발전소에 침투, 오작동을 유도하는 등 전 세계에 확산 중인 것으로 전해졌다.

이에 따라 4일 행정안전부는 국내 피해에 대비해 산업자동화제어시스템을 사용하는 산업 시설 40여 개를 대상으로 예방 및 대응 조치를 발표했다.

이 악성코드는 USB와 네트워크 공유의 취약점 등을 파고들어 원자력과 전기, 철강, 반도체 등 주요 기반 시설의 시스템을 마비시킬 수 있는 것으로 알려졌다. 다만 일반 PC에서는 '감시 제어 데이터 수집 시스템'(SCADA)에 접속할 수 없기 때문에 감염만 될 뿐 피해 발생의 우려는 없다고 안랩 측은 설명했다.

안랩 측에 따르면 스턱스넷은 악성코드가 영화에서처럼 국가 주요 기간 시설과 산업 자동화 시설에 침투하는 실제 사이버 전쟁의 도구로 이용될 수 있는 첫 사례다.

안철수연구소 시큐리티대응센터의 분석에 따르면 스턱스넷은 여러 개의 파일로 구성돼, 제어 시스템을 관리하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)를 실행한다. 이 드롭퍼는 정상 파일(s7otbxdx.dll)의 이름을 변경한 다음, 동일한 이름으로 악성코드 파일을 생성한다. 이후 사용자가 PC에서 관리 소프트웨어인 'STEP7'을 실행하면 정상 파일이 아닌 악성코드가 실행된다는 것이다.

스턱스넷 실행 환경은 SCADA 시스템 안에 'STEP7'이 제어용 PC에 설치돼 있거나 마이크로소프트(MS)의 윈도 운영체제(OS)에서 산업자동화제어시스템 타입이 '6ES7-315-2', '6ES7-417'일 경우 등으로 파악됐다. 알려진 5개의 감염 취약점 가운데 3개(USB, 공유 프린터, 공유 폴더를 통한 감염)는 이미 MS의 보안 패치가 나왔지만 나머지 2개는 아직 제공되지 않은 상태다.

조시행 안철수연구소 총괄 상무는 "이번 스턱스넷은 구체적인 목표를 가진 타깃형 사이버 공격이다"며 "악성코드를 이용한 전략적 공격이 더욱 늘어날 것"으로 예상했다. 이어 "SCADA 시스템 같은 폐쇄적인 환경에서는 일반적인 백신보다 안랩의 '트러스라인' 같은 화이트리스트(Whitelist) 기반의 전용 솔루션이 필요하다"고 말했다.

한경닷컴 이민하 기자 minari@hankyung.com