스턱스넷 웜, 이스라엘과 미국의 합작품 : NYT

Computerworld

이란의 핵 연료 시설을 교란시킨 스턱스넷(Stuxnet)이 이스라엘과 미국이 공조해 만들어 낸 것이라고 뉴욕타임즈가 보도했다.

 

뉴욕타임즈는 익명의 정보원을 인용해 이스라엘의 비밀 핵시설이 해당 웜이 이란이 도입한 원심분리기 등에 효과가 있는지 확인하기 위해 사용됐다고 주장했다. 이란의 나탄즈 시설의 원심분리기는 스턱스넷에 감염되어 상당한 장애를 일으킨 것으로 알려져 있다.

 

또한 다른 증인의 말을 인용해 이 바이러스가 이란의 핵 프로그램을 방해하기 위한 미국과 이스라엘 프로젝트의 일환으로 개발된 것이라고 밝혔다.

 

지난 2010년 6월 세간에 알려진 스턱스넷은 최소한 2009년 중반부터 이란을 공격 대상으로 했을 것으로 알려져 있다. 스턱스넷은 보안 연구원들의 집중적인 분석을 받았는데, 이중에서도 시만텍과 독일업체인 렝그너(Langner Communications GmbH)의 팀이 가장 잘 알려져 있다.

 

시만텍과 렝그너에 따르면, 스턱스넷은 이란 핵 강화 프로그램에 침투하기 위해 설계된 것으로, 이란의 핵 시설을 운영하는 SCADA 통제 시스템에 숨어 가스 원심분리기의 모터를 위험한 속도로 돌도록 했다. 우라늄 정제에 사용되는 가스 원심분리기는 과속으로 회전할 경우 분리될 수도 있다.

 

시만텍의 이런 분석은 지난 해 11월 국제 원자력 기구가 이란이 거의 1주일 동안 원심분리기에 UF6(uranium hexafluoride) 공급을 중단했다고 보고하면서 신뢰성을 얻었다. 그리고 스턱스넷이 이렇게 이란 시설을 공격하게 된 이유에 관심이 쏠렸다.

 

11월 29일 이란 대통령 마흐무드 아흐마디네자드는 적들에 의해 설치된 소프트웨어로 수기의 원심분리기가 영향을 받았다고 인정했다. 이란 정부가 이런 피해를 공식 인정한 것은 이때가 처음이었다.

 

아흐마디네자드 대통령은 이스라엘과 미국이 자신의 정권을 흔들기 위해 노력하고 있다고 자주 비난해 왔었다.

 

뉴욕타임즈는 이외에도 스턱스넷이 이스라엘과 미국의 합작품이라는 사실을 보여주는 정황 증거를 대거 제시했다.

 

 

뉴욕타임즈에 따르면, 이란이 사용하는 SCADA 시스템의 개발업체인 독일 지멘스가 2008년에 미국 아이다호 국립연구소와 협력해 제어 시스템의 취약점을 찾는 작업을 진행했다. 이 연구소는 미 에너지부의 대표적인 핵 연구 시설이다.

 

지멘스는 또 미 국토안전부의 요청으로 자사의 대중적인 PCS 7 제어 시스템에 대한 보안 평가를 수행하기도 했다. 스턱스넷은 지멘스의 PCS 7 제어 시스템과 스텝 7(Step 7) 소프트웨어를 공격 대상으로 하고 있다.

 

한편, 이스라엘은 자국의 디모나 비밀기지에 수 대의 가스 원심분리기를 설치하고, 이 시스템과 제어 시스템에 대해 스턱스넷을 시험했다. 이스라엘이 설치한 원심분리기는 사실상 이란이 사용하는 것과 동일한 것으로 알려졌다.

 

P-1 원심분리기로 알려진 이 시스템은 파키스탄의 1세대 설계로, 예상 외의 결과를 내놓는 것으로 악명 높으며, 설계보다 높은 속도에서 오류가 나는 비율이 높다. 이란의 원심분리기는 P-1의 복제품으로, 보통 IR-1 모델로 알려져 있다.

 

하지만 뉴욕타임즈에 따르면 이스라엘과 미국은 여러 대의 P-1 원심분리기를 입수해 구동시키는 데 성공했다. 그리고 익명의 미국 핵 관련 정보 전문가의 말을 인용해 이스라엘이 스턱스넷의 효과를 시험하는데 확보한 P-1 원심분리기를 사용했다고 밝혔다.

 

이스라엘이 스턱스넷과 연관되어 있을 것이란 추측은 오래 전부터 제기되어 왔다. 이스라엘은 공개적으로 이란 핵 무장의 위험성을 지적해 왔으며, 웜 코드에 몇몇 모호한 단서가 숨겨져 있기도 했다. 이스라엘이 지난 1981년처럼 군사적인 공격을 감행하는 대신, 사이버 전쟁을 벌이기로 결정했다는 것이다.

 

이외에 보안 연구원들도 이런 주장에 동의하는 편이다. 이름을 밝히지 않은 이들 연구원들은 스턱스넷의 복잡성을 감안하면, 이는 국가 지원 프로젝트라는 것. 여기에는 대규모 개발자팀과 SCADA 전문가, 그리고 정보 분석가들이 참여했을 것으로 추정된다.

 

스턱스넷 분석에 몇 개월을 투자한 렝그너는 스턱스넷이 이란의 핵 프로그램을 중단시키기 위해 태어난 무기라고 평가했다. 렝그너는 지난 1월 10일 자신의 블로그를 통해 “만약 어떤 공격 대상이 역사상 최초의 전면적인 사이버 공격의 구실이 된다면, 바로 이들 원심분리기가 그 주인공일 것”이라며, 스턱스넷 개발자들은 분명히 실제 원심분리기의 모형 시스템으로 웜을 시험해 봤을 것이라고 지적했다.

 

비록 스턱스넷이 이란 핵 프로그램을 완전히 망가뜨리지는 못한 것으로 보이지만, 사람들이 생각하는 것 이상으로 상당한 장애가 된 것으로 보인다. 예를 들어, 지난 주 나서기 좋아하는 이스라엘 정보기간 모사드의 수장은 이란이 2015년 전까지는 핵폭탄을 만들지 못하도록 막을 것이라고 말하기도 했다.

 

렝그너는 이란이 스턱스넷으로 생긴 문제를 해결할 가능성에 대해 회의적이다. 시스템을 깨끗하게 정비했다고 하더라도 마치 새로운 윈도우 제로데이 버그가 악용되는 것 같은 일이 이미 진행 중인 것으로 보인다는 것. 렝그너는 지난 해 10월 스턱스넷에 한 번 감염된 시스템은 다시 감염되기 쉽다고 밝힌 바 있다.

 

렝그너는 “테헤란의 사이버 전쟁에 대한 악몽은 이제 막 시작된 것인지도 모른다”고 덧붙였다.  editor@idg.co.kr