과장된 위협일까. 사이버전쟁으로 원자력이나 전력 등 산업시설을 파괴시키는 건 영화 속에서나 가능할까. 국내에 널리 알려지지 않았지만 이미 ‘사이버전쟁’은 현실로 다가왔다. 국가 산업 시설을 공격하는 악성코드 스턱스넷은 지난해 이란의 원자력발전소를 무력화시키며 전 세계에 악명을 떨쳤다.
스턱스넷이 새롭게 조명받는, 혹은 조명받아야 하는 이유는 원전 사고, 북한의 디도스공격 등 지금 한반도를 휩쓸고 있는 이슈와 모두 연결돼 있기 때문이다. 적대국이 만들어낸 ‘제2의 스턱스넷’이 국내 원전을 파괴시킨다, SF소설 같은 ‘최악의 시나리오’지만 이미 각각의 가능성은 증명됐다.
북한이 디도스 공격의 배후세력으로 지목됐고, 원전을 마비시키는 스턱스넥의 위력 또한 드러났다. 원전 사고의 폐해는 이미 우리 모두가 온몸으로 겪고 있다. 이 모든걸 더하면 앞서 언급한 ‘최악의 시나리오’가 그려진다. ‘역사엔 가정(假定)이 없지만 대비엔 가정이 필수다.’ 보안업계가 앞다투어 스턱스넷의 위험성을 경고하는 것도 가볍게 넘길 수 없는 대목이다.
8일 글로벌 보안업체 시만텍은 ‘인터넷 보안 위협 보고서’를 통해 2010년 보안업계 최대 화두로 스턱스넷 공격을 꼽았다. 스턱스넷은 ‘슈퍼 산업시설 바이러스 웜’을 의미하는 악성코드로, 인터넷이 차단돼 폐쇄망으로 운용되는 주요 산업 기반시설을 공격하는 기법이다. 원자력, 전기, 철강 등 산업 시설의 제어시스템에 침투해 오작동을 유도하는 명령으로 시스템을 마비, 심하게는 파괴시킬 수 있다.
실제로 지난해 이란의 부세르 원전은 스턱스넷 공격으로 원심분리기 1000여대가 고장났다. 윤광택 시만텍코리아 이사는 “분당 10바퀴를 돌아야 하는 원전 시설의 명령어를 바꿔 100바퀴를 돌도록 조작해 문제를 일으킨 것”이라고 설명했다. 디도스공격이 트래픽 과부하로 해당 서버를 다운시키는 수준이라면 스턱스넷은 주요 시설을 파괴하고 조작하는, 말그대로 ‘전쟁’과 다름없는 공격이다.
일반 해커가 디도스공격을 주도하는 것과 달리 스턱스넷은 해커뿐 아니라 시설 전문가, 제어시스템 전문가 등 소위 ‘드림팀’이 있어야만 가능하다는 점도 눈길을 끈다.
시만텍에 따르면, 원전 제어시스템은 PLC(Programmable Logic Controller)를 사용하는데 이란의 경우 스턱스넷이 침투하려면 원전 내부 PLC의 구조, 모든 소프트웨어의 소스코드 등을 확보해야 했다. 즉, 원전의 모든 구조 및 시스템을 파악한 뒤 어떤 경로로 모터가 작동되는지 등까지 알아야 명령어를 수정할 수 있다는 의미다. 일반 해커 수준이라면 사실상 불가능하다. 그만큼 분석도 어렵다. 보안업체 쉬프트웍스 의 손충호 선임연구원은 “지난해 스턱스넷에 세간에 알려졌지만 현재 40~50%만 분석됐을 정도로 보안전문가들도 애를 먹고 있다”고 밝혔다.
관건은 스턱스넷의 진화다. 현재까지 발견된 스턱스넷은 독일 지멘스사의 산업자동화제어시스템이 탑재된 시설을 목표로 제작됐다. 국내에선 산업 시설 40여개에서 이 시스템을 사용하고 있는 중이다. 행정안전부 정보보호정책과 관계자는 “한국 원전에선 지멘스사의 시스템을 사용하지 않는 것으로 파악됐다”며 “지난해까지 원전이 주요정보 시설로 관리대상에 포함되지 않았다가 올해 초부터 지정해 관리하고 있는 중”이라고 밝혔다. 이 관계자는 “중요한 건 지멘스사 시스템을 쓰는가가 아니다. 스턱스넷이 일개 회사의 시스템을 공격하는 게 아니라 산업시설을 타깃으로 하기 때문에 특정 회사의 시스템으로 대책을 강구할 수 없다”고 덧붙였다.
윤 이사는 “지멘스사의 시스템을 공략했듯 향후 다른 특정 시스템을 공격하는 제2의 스턱스넷이 나올 가능성이 크다”고 밝혔다. 선 연구원은 “한국에서도 지멘스사의 시스템을 쓰고 있기 때문에 국내도 위험하다. 발전소 등에 스턱스넷이 감염된다면 피해가 상당할 것”이라고 경고했다.
남북한 대치라는 한반도의 특수성은 또 다른 위험요소다. 최근 2차례의 디도스공격 모두 북한이 배후로 추정된다는 경찰청의 조사는 이 같은 현실을 방증한다. 안철수연구소 측은 “스턱스넷이 구체적인 목표를 가진 타깃형 사이버공격이며 이런 전략적인 공격이 앞으로 더욱 늘어날 것”이라고 예상했다.
윤 이사도 “남한과 북한이 대치하고 있다는 상황 때문에 스턱스넷과 같은 사이버 표적공격에 더 큰 관심을 기울여야 한다”며 “USB 사용 금지, 백신프로그램 강화 등 산업 주요 시설에 악성코드가 들어올 수 없도록 보안 강도를 높여야 한다”고 말했다. 쉬프트웍스 측은 “세계 각국의 해커도 어떻게 스턱스넷이 공격하는 지 완전히 파악하지 못하고 있다. 스턱스넷을 분석할 수 있는 전문가 양성이 가장 시급하다”고 강조했다.
<김상수 기자 @sangskim> dlcw@heraldcorp.com
