이란원전 마비시켰던 악성코드…北 잇단 디도스 공격 속 보안업계 대응책 마련 부심
“디도스 공격은 애교에 불과하다. 스턱스넷은 원전을 파괴시킬 수도 있다.”사이버전쟁으로 원자력이나 전력 등 산업시설을 파괴시키는 건 영화 속에서나 가능할까. 악성코드 스턱스넷이 새롭게 조명받는, 혹은 앞으로 조명받아야 하는 이유는 원전 사고, 북한의 디도스공격 등 지금 한반도를 휩쓸고 있는 이슈와 모두 연결돼 있기 때문이다.
‘적대국이 만들어낸 ‘제2의 스턱스넷’이 국내 원전을 파괴시킨다.’
SF소설 같은 최악의 시나리오지만 이미 각각의 가능성은 증명됐다. 북한이 디도스 공격의 배후세력으로 지목됐고, 원전을 마비시키는 스턱스넥의 위력 또한 드러났다.
원전 사고의 폐해는 이미 우리 모두가 온몸으로 겪고 있다. 이 모든걸 더하면 앞서 언급한 ‘최악의 시나리오’가 그려진다. 보안업계가 앞다퉈 스턱스넷의 위험성을 경고하는 것도 가볍게 넘길 수 없는 대목이다.
8일 글로벌 보안업체 시만텍은 ‘인터넷 보안 위협 보고서’를 통해 2010년 보안업계 최대 화두로 스턱스넷 공격을 꼽았다. 스턱스넷은 ‘슈퍼 산업시설 바이러스 웜’을 의미하는 악성코드로, 인터넷이 차단돼 폐쇄망으로 운용되는 주요 산업 기반시설을 공격하는 기법이다. 원자력, 전기, 철강 등 산업시설의 제어시스템에 침투해 오작동을 유도하는 명령으로 시스템을 마비, 심하게는 파괴시킬 수 있다.
실제로 지난해 이란의 부세르 원전은 스턱스넷 공격으로 원심분리기 1000여대가 고장났다. 윤광택 시만텍코리아 이사는 “분당 10바퀴를 돌아야 하는 원전시설의 명령어를 바꿔 100바퀴를 돌도록 조작해 문제를 일으킨 것”이라고 설명했다. 디도스공격이 트래픽 과부하로 해당 서버를 다운시키는 수준이라면 스턱스넷은 주요 시설을 파괴하고 조작하는, 말그대로 ‘전쟁’과 다름없는 공격이다.
스턱스넷은 해커뿐 아니라 시설 전문가, 제어시스템 전문가 등 소위 ‘드림팀’이 있어야만 가능하다는 점도 눈길을 끈다. 시만텍에 따르면, 이란의 경우 스턱스넷이 침투하려면 원전 내부 시스템 구조, 모든 소프트웨어의 소스코드 등을 확보해야 했다. 일반 해커 수준이라면 사실상 불가능하다. 그만큼 분석도 어렵다. 보안업체 쉬프트웍스 손충호 선임연구원은 “지난해 스턱스넷이 세간에 알려졌지만 현재 40~50%만 분석됐을 정도로 보안전문가들도 애를 먹고 있다”고 밝혔다.
관건은 스턱스넷의 진화다. 현재까지 발견된 스턱스넷은 독일 지멘스사의 산업자동화제어시스템을 타깃으로 제작됐다. 국내에선 산업시설 40여개에서 이 시스템을 사용하고 있는 중이다. 행정안전부 정보보호정책과 관계자는 “중요한 건 지멘스사 시스템을 쓰는가가 아니다. 스턱스넷이 일개 회사의 시스템을 공격하는 게 아니라 산업시설을 타깃으로 하기 때문에 특정회사의 시스템으로 대책을 강구할 수 없다”고 말했다.
윤 이사도 “지멘스사의 시스템을 공략했듯 향후 다른 특정 시스템을 공격하는 제2의 스턱스넷이 나올 가능성이 크다”고 강조했다.
남북한 대치라는 한반도의 특수성은 또 다른 위험요소다. 최근 두차례의 디도스공격 모두 북한이 배후로 추정된다는 경찰청의 조사는 이 같은 현실을 방증한다. 쉬프트웍스 측은 “세계 각국의 해커도 어떻게 스턱스넷이 공격하는 지 완전히 파악하지 못하고 있어 스턱스넷을 분석할 수 있는 전문가 양성이 시급하다”고 했다.
<김상수 기자 @sangskim>
dlcw@heraldcorp.com