“스턱스넷 감염, 화이트리스트로 대응”

사이버 신종 바이러스 무기인 스턱스넷 감염에 대비하기 위해선 화이트리스트(허용 가능한 입력값 리스트) 기반의 전용 솔루션으로 대응해야 한다는 지적이 제기됐다. `스턱스넷`은 원자력 · , 전기 · 철강 · 반도체 · 화학 등 주요 산업 기반 시설의 제어시스템에 침투해 오작동을 일으키는 세계 최초의 악성코드로 USB와 네트워크 공유 취약점 등을 이용해 전파된다.

안철수연구소(대표 김홍선)는 지멘스의 원격자동제어시스템(SCADA)과 같이 폐쇄적인 환경에서 악성코드에 감염될 경우 일반적인 백신프로그램으로는 대응이 어려울 수밖에 없다며 이같이 설명했다.

즉, SCADA와 연결한 제어 PC에서 보안 관리자가 이미 허용한 프로그램 이외 모든 프로그램을 악성코드로 진단하는 방식이다.

안철수연구소에 따르면 여러 개의 파일로 구성한 `스턱스넷`은 알려지지 않은 여러 취약점을 이용해서 산업자동화제어시스템을 제어하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)를 실행한다.

이후 드롭퍼는 PC에서 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 만든다. 이후 산업자동화제어시스템을 통합 관리하는 도구(소프트웨어)인 `스텝(Step)7`을 실행하면 원래의 정상 파일이 아닌 악성파일인 스턱스넷이 곧바로 실행된다.

`스텝7`의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화제어시스템 간에 블록 파일을 교환하는 것이다. 이 파일을 스턱스넷의 동적링크라이브러리(DLL) 파일로 바꾸면 산업자동화제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있다. 이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있다. 즉, 산업 시설이 관리자가 아닌 악의적 공격자에게 장악될 수 있는 것이다.

스턱스넷이 이용하는 취약점은 총 5개이다. 이 취약점 중 3개(USB, 공유 프린터, 공유 폴더를 통해 감염)는 이미 MS에서 보안 패치를 제공했지만 2개는 아직 발표하지 않았다. 스턱스넷의 피해를 막으려면 산업자동화시스템이 있는 곳에선 안철수연구소가 최근 산업자동화 시스템에 최적화해 별도 개발한 전용 솔루션인 `안랩 트러스라인(AhnLab TrusLine)`을 설치해 방어할 수 있다.

또한 개인 및 기업의 일반 PC에는 V3 제품군과 같은 최신 백신을 설치해 예방 · 치료하는 것이 안전하다.

안철수연구소 조시행 연구소장은 “이번 스턱스넷은 최근 꾸준하게 보안전문가들이 제기한, 구체적인 목표를 가진 타깃형 사이버 공격”이라며 “악성코드가 전략적으로 이용될 가능성을 보여주는 구체적인 사례이며 이 같은 공격은 더욱 늘어날 것으로 예상한다”고 전망했다.

그는 “우리나라는 상대적으로 원자력 발전 시설과 첨단 자동화 산업 생산 시설이 많으므로 더욱 주의와 예방이 필요하다”고 덧붙였다.

한편 해외보안 업체에 따르면 전세계 PC 수십 만 대가 감염됐다. 다만 제어 PC가 아닌 일반 PC에서는 SCADA시스템에 접속할 수 없기 때문에 감염만 될 뿐 산업자동화제어시스템을 직접 동작시켜 피해를 주는 일은 없다.

장윤정기자 linda@etnews.co.kr