스턱스넷

위키백과, 우리 모두의 백과사전.

스턱스넷 맬웨어
보통 명칭스턱스넷
기술 명칭
  • "'Stuxnet'이라는 이름으로"
    • 마이크로소프트
      • Worm:Win32/Stuxnet.[Letter]
      • TrojanDropper:Win32/Stuxnet
    • 시만텍
      • W32.Stuxnet
      • W32.Stuxnet!lnk
    • 소포스
      • Troj/Stuxnet-[Letter]
      • Trojan-Dropper.Win32.Stuxnet.[letter]
      • Worm.Win32.Stuxnet.(letter)
      • TR/Drop.Stuxnet.(letter).(number)
    • 카스퍼스키
      • Worm.Win32.Stuxnet
    • F-Secure
      • Trojan-Dropper:W32/Stuxnet
      • Rootkit:W32/Stuxnet
    • 트렌드 마이크로
      • RTKT_STUXNET.[Letter]
      • LNK_STUXNET.[Letter]
      • WORM_STUXNET.[Letter]
분류컴퓨터 웜
유형드롭퍼
개발자Equation Group
영향을 받는 운영 체제윈도우 2000, 윈도우 XP, 윈도우 2003, 윈도우 비스타, 윈도우 서버 2008, 윈도우 7, 윈도우 서버 2008 R2[1]

스턱스넷(Stuxnet)은 2010년 6월에 발견된 바이러스이다. 마이크로소프트 윈도우를 통해 감염되어, 지멘스 산업의 소프트웨어 및 장비를 공격한다. 이 웜이 산업시설을 공격하는 최초의 악성 소프트웨어는 아니지만,[2] 산업시설을 감시하고 파괴하는 악성 소프트웨어로는 최초이다.

이 웜은 마이크로소프트 윈도가 설치된 임의의 컴퓨터에 감염되지만, 지멘스의 SCADA 시스템만을 감염시켜 장비를 제어하고 감시하는 특수한 코드를 내부에 담고 있다.[3][4] 스턱스넷은 장비를 프로그램하는 데 사용되는 PLC를 감염시켜 장비의 동작을 변경한다.[5][6]

스턱스넷의 여러 변종이 이란에 있는 5개 시설에서 발견되었으며,[7] 웜의 공격목표는 이란의 우라늄 농축 시설인 것으로 추정된다.[6][8][9] 2010년 8월 시만텍은, 스턱스넷에 감염된 전 세계의 컴퓨터 중 60%가 이란에 소재한 컴퓨터라고 발표했다.[10] 11월 29일 지멘스는 이 웜이 자사의 고객에게 어떤 피해도 끼치지 않았으나,[11] UN 안보리 결의안 1737호에 의해 사용 금지된 지멘스 제품을 비밀리에 입수하여 사용중인 이란 핵시설만이 피해를 입었다고 발표했다.[12][13] 러시아 컴퓨터 보안 회사인 카스퍼스키 랩은 이 정도로 정교한 공격은 "국가적 규모의 지원" 없이 이루어질 수 없다고 결론지었다.[14] 핀란드 컴퓨터 보안 회사인 F-Secure의 수석연구원 미코 휘푀넨(Mikko Hyppönen) 또한 여기에 동의했다.[15] 이 공격에는 이스라엘[16]미국[17][18] 이 참여한 것으로 추정된다.

역사[편집]

스턱스넷은 2010년 6월 중순 컴퓨터 보안 회사 VirusBlokAda에 의해 처음 발견되었고, 코드 내에서 Stuxnet이라는 키워드가 여러번 등장함에 따라 스턱스넷이라는 이름이 붙었다.[6][19] 브라이언 크렙스 기자가 2010년 7월 15일 자신의 블로그에 이 내용을 포스팅하면서 전 세계에 알려졌다.[20][21] 2010년 7월 15일 이 바이러스의 존재가 알려지자마자, 산업 소프트웨어 보안과 관련된 두 개의 대형 메일링 리스트에 DDOS 공격이 이뤄졌다. 스턱스넷과 연관된 것으로 추정되는 이 공격으로 한개의 메일링 리스트가 다운되어 발전소와 공장에 관한 중요한 정보 교환을 방해했다.[21]

카스퍼스키 랩의 전문가들은 2010년 3월이나 4월부터 이 바이러스가 퍼지기 시작했다고 추정했으나,[22] 이 바이러스의 첫 번째 변종은 2009년 6월부터 등장한 것으로 밝혀졌다.[5] 바이러스의 전파 속도가 느리다고 여긴 개발자들이 2010년 3월 크게 발전된 두 번째 변종을 제작한 것으로 추정된다. 2010년 4월에는 약간의 수정을 거친 세 번째 변종이 퍼지기 시작했다.[21]

감염된 나라[편집]

시만텍에서 연구한 스턱스넷의 감염경로에 의하면, 초기에 감염된 주요 국가는 이란, 인도네시아인도인 것으로 보인다.[23]

국가 감염된 컴퓨터
이란 58.85%
인도네시아 18.22%
인도 8.31%
아제르바이잔 2.57%
미국 1.56%
파키스탄 1.28%
기타 9.2%

동작[편집]

대부분의 악성 소프트웨어와 달리, 스턱스넷은 특정 조건을 만족하지 않는 컴퓨터와 네트워크에는 거의 해를 끼치지 않는다. William J. Broad는 "개발자들은 자신들의 공격목표에만 타격을 입히기 위해 대단히 신중을 기했다. 이건 저격수의 솜씨다."라고 평했다.[24] 이 웜은 무작위로 전염되지만, 감염된 컴퓨터에서 지멘스 소프트웨어를 발견하지 못하면 휴면 상태에 들어가며, 3개 이하의 다른 컴퓨터에만 전염되도록 제어하고, 2012년 6월 24일에는 자기 자신을 삭제하는 안전장치를 포함하고 있다.[21]

만약 공격목표를 발견하면, 스턱스넷은 공정 제어 신호를 중간에서 가로채 가짜 신호를 보내는 중간자 공격(man-in-the-middle attack)을 행해, 소프트웨어가 오작동을 감지하고 시스템을 정지시키지 않도록 한다.[21][24][18] 이렇게 복잡한 공격을 수행하는 악성 소프트웨어는 사실상 처음 발견된 것이다. 스턱스넷은 마이크로소프트 윈도, 지멘스 PCS 7, 그리고 지멘스 S7 PCL로 이루어진 3단계 시스템에 각각 공격을 행한다.

윈도 운영체제 감염[편집]

스턱스넷은 마이크로소프트 윈도우 운영체제에 4개의 제로 데이 공격(소프트웨어 제조사가 해당 취약점에 대해 모르거나, 알고 있지만 보안 패치를 배포하지 않은 상태에서 하는 공격)과, 더불어 LNK/PIF 파일 취약점[25], 그리고 Conficker 웜이 사용한 취약점[26]을 공격했다. 취약점에 대한 최신 정보는 악성 코드 개발자들에게는 귀한 것이므로, 하나의 웜에 4개나 되는 제로 데이 공격이 사용된 것은 전례없는 일이다.[8] 또한 악성 소프트웨어로는 드물게 약 500KB의 큰 용량을 갖고,[27] CC++를 포함한 여러 언어로 작성되었다.[5][18][28] 최초 감염은 USB 플래시 드라이브를 통해 이루어졌고,[6] 이후에는 윈도 컴퓨터간의 원격 프로시저 호출 등의 프로토콜을 통해 인터넷에 노출되지 않은 폐쇄망으로 연결된 컴퓨터에 감염되었다.[27][29][30]

스턱스넷은 윈도의 유저모드와 커널모드 루트킷으로 동작할 수 있으며,[30] 중화민국 회사인 마이크론 테크놀로지리얼텍에서 각각 유출된 공인인증서비밀 키로 서명된 장치 드라이버를 탑재하고 있다.[27][31] 공인 인증된 장치 드라이버로 인해 바이러스가 커널모드 루트킷으로 동작할 수 있었고, 덕분에 오랫동안 발견되지 않았다.[32]

덴마크말레이시아에 위치한 두 개의 웹 서버가 악성 소프트웨어의 제어와 명령 전달, 그리고 산업 스파이 정보 수집을 위해 사용되었다. 이 웹서버들은 발견 직후 악성 소프트웨어의 활동 정지를 위해 폐쇄되었다.[30][21]

Step 7 소프트웨어 감염[편집]

Step 7과 지멘스 PLC의 정상 통신경로
스턱스넷이 Step 7 소프트웨어와 지멘스 PLC 사이의 통신을 가로채는 모습

독일의 학자 랄프 랑너에 의하면,[33][34] 윈도 시스템에 설치된 스턱스넷은 지멘스사의 WinCC/PCS 7 SCADA 제어 소프트웨어인 Step 7을 감염시켜,[35] WinCC의 핵심 라이브러리인 s7otbxdx.dll의 내용을 변경한다. 이후 스턱스넷은 감염된 라이브러리를 통해 WinCC와 지멘스 PLC 사이의 데이터 통신을 몰래 가로채, PLC를 제어하면서 동시에 WinCC가 감염된 PLC의 메모리를 감지하여 스턱스넷을 찾아내는 것을 방해한다.[30]

PLC 감염[편집]

세 개의 입출력 모듈이 부착된 지멘스 Simatic S7-300 PLC CPU

스턱스넷의 전체 코드는 아직 공개되지 않았지만, 해당 악성 코드는 특정 조건으로 설정된 SCADA 소프트웨어만을 공격하는 것으로 알려져 있다.[21] 스턱스넷은 특정한 가변 주파수 드라이브가 설치된 지멘스 S7-300 시스템 및 보조 모듈이 설치된 시스템에서만 동작하며, 두 회사(핀란드의 Vacon사 제품과 이란의 Fararo Paya사 제품)에서 생산하는 가변 주파수 드라이브가 설치된 PLC 시스템을 공격한다.[36] 또한, 모터의 주파수를 탐지하여 주파수가 807Hz에서 1210 Hz 사이에 해당하는 시스템만을 공격한다. 이 조건에 해당하는 시스템은 펌프와 기체 원심분리기를 포함, 다양한 산업계에서 사용된다.

스턱스넷은 PLC 시스템의 Profibus 메시지 버스 시스템을 감시하는 D8890 블록에 악성 코드를 설치한다.[30] 특정 조건이 만족되면, 스턱스넷은 주기적으로 모터의 회전수를 1410 Hz, 2 Hz, 1064Hz로 변경하여 모터에 과부하를 일으킨다.[36] 또한 PLC 시스템에 루트킷을 설치하여 자기 자신을 숨기고, 모터의 회전수가 변경되고 있다는 것을 시스템으로부터 숨긴다. 스턱스넷은 PLC 시스템에서는 최초로 발견된 루트킷이다.

제거[편집]

지멘스는 스턱스넷을 감지하고 제거하는 소프트웨어를 배포했다. 또한 제삼자에게서 받은 USB 플래시 드라이브를 사용하지 말고, 마이크로소프트에서 제공한 취약점 패치를 설치하며, 스턱스넷이 발견될 경우 고객센터에 연락할 것을 권한다.[37] 또한 지멘스는 즉시 시스템 패스워드를 변경할 것을 권장한다.[38]

스턱스넷은 외부 PLC를 재프로그램할 수 있는 능력이 있어, 제거를 더 어렵게 만들 수 있다. 시만텍의 Liam O'Murchu는 마이크로소프트 윈도 시스템을 고치는 것만으로는 문제가 완전히 해결되지 않을 것이라고 경고했다. 스턱스넷의 제거 과정에서 실수를 일으키면 시스템에 해를 끼칠 것으로 예상되었으나,[39] 지멘스는 발견 후 4개월 동안 22명의 고객의 시스템에서 스턱스넷이 성공적으로 제거되었다고 보고했다.[37][40]

목표 및 제작자에 대한 추측[편집]

전문가들은 스턱스넷이 악성 소프트웨어 역사상 가장 많은 비용과 개발 인력을 소모한 프로젝트일 것으로 추정한다.[21] 스턱스넷의 다양한 능력은 산업 공정에 대한 전문적인 지식과 산업 기반 시설의 취약점에 대해 잘 알고 있는 개발팀이 아니면 만들어낼 수 없는 것이다.[5][28] 시만텍은 스턱스넷의 개발팀이 5명에서 30명 사이의 규모로, 6개월의 준비기간이 걸렸을 것으로 추정한다.[41][21] 또한 전문가들은 스턱스넷과 같은 복잡한 코드를 개발하는 것은 국가만이 할 수 있는 일이라고 말한다.[8][41][42] 또한 자기 삭제나 웜이 끼칠 수 있는 불필요한 피해를 막는 기타 안전장치들은 법적인 문제를 회피하려는 것이며, 이것은 서방 정부가 관여하고 있다는 것을 의미한다.[21] 그러나 소프트웨어 보안 전문가 브루스 슈나이어(Bruce Schneier)는 스턱스넷에 대한 모든 뉴스는 과장된 것이며, 대부분 추측에 지나지 않는다고 말했다.[43] 최근 뉴욕타임즈 기사에 따르면 스턱스넷은 오바마 대통령이 집무를 시작한 초기에 이란을 대상으로 한 사이버 공격을 명령하였다고 한다.[44]

이란[편집]

스턱스넷에 감염된 PLC 시스템을 분석한 랄프 랭너는,[6] 2010년 9월, 이 악성 소프트웨어가 이스라엘에서 개발된 것으로 추측했다.[45] 그러나 2011년 2월에 녹화된 TED 컨퍼런스에서는, "제 생각에는 모사드가 연루되어 있습니다. 하지만 주도세력은 이스라엘이 아닙니다. 그 배후의 주도 세력은 사이버 초강대국입니다. 그 유일한 나라가 바로 미국입니다." 라고 말했다.[46] 시만텍의 보안 대응팀 책임자인 Kevin Hogan은 감염된 시스템 중 약 60%가 이란에 있으며,[47] 따라서 이란의 중요 목표인 부셰르 원자력 발전소 또는 나탄즈에 있는 우라늄 농축 시설[27][48][49] 중 하나를 공격하는 것이라고 추측한다.[8] 랭너는 스턱스넷이 "일회용 무기"이며, 목표 시설이 아마 실제로 피해를 입었을 것이나,[50] 이것은 추측에 지나지 않는다고 말했다.[27] 나탄즈의 우라늄 농축 시설이 대상이라고 처음 추측한 것은 독일의 연구원 Frank Rieger이다.[21]

나탄즈 우라늄 농축 시설[편집]

외부 그림
나탄즈 (GlobalSecurity.org)

이스라엘 일간지 하레츠(히브리어: הארץ)가 보도한 바에 의하면, 이란의 소프트웨어 보안 전문가들과 핵 전문가들은 "작년 한해동안 원심분리기 성능이 30퍼센트 감소한 나탄즈 우라늄 농축 시설이 스턱스넷에 의해 사보타지되었다"는 것을 알게 되었다.[51] 2010년 11월 23일 나탄즈 우라늄 농축 시설은 기술적 문제로 시설이 여러 차례 정지되었다고 발표했다.[52][53] 위키리크스는 2009년 상반기에 일어난 "심각한 원자력 사고"(원심분리기 정지로 추정됨[54])로 인해 이란 원자력 에너지 기구의 수장인 골람 레자 아가자데(페르시아어: غلامرضا آقازاده)가 사임하였다고 보고했다.[55] 미국 과학자 연맹이 발표한 통계는 해당 사고가 일어났을 무렵 이란에서 가동중인 핵 농축 원심분리기의 숫자가 4,700에서 3,900으로 이유없이 줄어든 것을 보여준다.[56] 과학국제안보연구소(ISIS)는 2010년 12월 출판한 보고서에서 스턱스넷이 나탄즈에서 일어난 사건에 대한 "합리적인 설명"이며, 최대 1,000개(약 10%)의 원심분리기가 2009년 11월부터 2010년 1월 사이에 파괴된 것으로 보인다고 언급했다.[57] 이 보고서는 이렇게 결론짓는다.

스턱스넷의 공격은 원심분리기의 회전수를 올렸다가 내리는 것을 반복하여 모터에 심한 진동과 왜곡을 일으켜 파괴하는 것으로 보인다. 핵 시설의 원심분리기를 모두 파괴하는 것이 목표라면 스턱스넷은 실패한 것이다. 그러나 연구자들이 눈치채지 못하는 사이 보다 제한된 숫자의 원심분리기를 파괴하여 진행을 지연시키는 것이 목표라면, 일시적이나마 성공을 거둔 것으로 보인다[58]

또한 이 보고서는 이란 당국이 새 원심분리기를 대규모로 설치하여 이 사고를 숨기려고 한 것으로 보인다고 썼다.[57][59]

스턱스넷은 이란의 IR-1 원심분리기를 감염시켜, 회전속도를 정상속도인 1,064Hz에서 1,410Hz로 15분간 증가시켰다. 27일 후 웜 바이러스가 다시 작동하여 이번에는 50분간 수백헤르츠의 낮은 속도로 동작시켰다. 지나치게 빠른 속도에서 다시 낮은 속도를 오간 원심분리기의 알루미늄 튜브는 이웃한 튜브와 접촉하여 기계를 파괴시켰다.[60] 국제 원자력 기구에서 나탄즈 시설에 설치한 카메라에는, 스턱스넷이 활동한 것으로 알려진 무렵에 900-1000개의 원심분리기를 해체하여 제거하는 모습이 잡혔다.[61]

2011년 2월 15일 과학국제안보연구소는 또다른 보고서에서 다음과 같이 결론지었다.

"이란이 충분히 주의를 기울인다면, 스턱스넷은 나탄즈 시설에서 더이상 원심분리기를 파괴하지 못할 것이다. 이란은 제어 시스템에서 악성코드를 제거한 것으로 보인다. 이란의 많은 컴퓨터들이 스턱스넷에 감염되어 있으므로 재감염을 막으려면 이란은 특히 주의를 기울여야 할 것이다.

스턱스넷은 나탄즈 시설의 원심분리기를 파괴하기 위해 설계된 것으로 보이지만, 완전히 파괴한 것은 아니다. 또한 스턱스넷은 LEU의 2010년 생산량을 줄이지 못했다. 그러나 LEU의 생산량이 크게 늘어나지 않은 것은 스턱스넷의 역할이 큰 것으로 보인다. 어쨌든 스턱스넷이 왜 1,000개 정도의 원심분리기만을 파괴했는지에 대한 의문이 여전히 남아있다. 사이버 공격으로 원심분리기를 파괴하는 것이 생각보다 어려운 것일지도 모른다.[62]

이란측 반응[편집]

이란의 준 공식 채널인 이란 학생 뉴스 통신은 2010년 9월 24일 이란 원자력 기구 전문가들이 시스템에서 스턱스넷을 제거할 방법을 논의하기 위해 모였다고 보도했다.[4] 데이비드 올브라이트(David Albright) 등의 분석가들은, 서방 정보기관들이 오랫동안 이란의 핵 프로그램을 사보타지하기 위해 노력하고 있었다고 한다.[63][64]

부셰르 원자력 발전소 소장은 로이터와의 인터뷰에서 발전소 직원들의 PC만이 감염되었다고 말했고, 국영 신문인 《일간 이란》은 이란 통신부 장관 레자 타기푸르(Reza Taghipour)를 인용하여 "정부 시스템에 큰 피해를 끼치지 않았다"고 보도했다.[42] 이란 산업채굴부 산하 정보통신 위원회 위원장인 마흐무드 리아이(Mahmud Liaii)는 "이란에 대한 전자전이 시작되었으며... 이 컴퓨터 웜은 이란의 산업시설에 대한 정보를 이란 밖으로 유출할 목적으로 만들어졌다"고 말했다.[65]

이란은 스턱스넷 감염에 대응하기 위한 팀을 조직했다. 한 공직자는 3만개 이상의 IP가 감염되었으며, 자기 자신을 변형시킬 수 있는 스턱스넷의 능력으로 인해 감염이 퍼지는 것을 막기가 어렵다고 말했다. 이란은 바이러스 제거 도구를 직접 제작했으며, 지멘스 SCADA 안티바이러스 시스템은 스턱스넷을 제거하는 대신 업데이트하는 것으로 의심되므로 사용하지 말 것을 권했다.[66][67][68][69]

이란 국영 정보통신 회사의 부사장 하미드 알리푸르(Hamid Alipour)에 의하면, "새로운 버전의 바이러스가 퍼짐에 따라 공격이 계속되고 있다"고 한다. 이 회사는 이란의 "중요 센터와 기구"에서 바이러스 제거가 계속되고 있으며,[67] "우리는 한두달 내에 이 바이러스를 뿌리뽑을 거라고 예상했지만, 제거 프로그램을 진행한 이후에도 세 가지 변종을 새로 발견했다"고 말했다.[69]

2010년 11월 29일 마무드 아마디네자드 이란 대통령은 이란에서는 처음으로 나탄즈 시설의 원심분리기 제어 시설이 컴퓨터 바이러스로 인해 문제를 일으켰다고 언급했다. 아마디네자드 대통령은 테헤란에서 가진 기자회견에서 "전자부품에 설치된 소프트웨어로 인해 우리의 원심분리기 중 일부가 문제를 일으켰다"고 말했다.[70][71]

같은 날 두 명의 이란 핵물리학자가 테헤란에 있는 샤히드 베헤슈티 대학교 근처에서 거의 동시에 차량 폭탄 테러를 당했다. 이 공격으로 양자역학자 마지드 샤리아리(Majid Shahriari)가 사망하고, 이란 국방부 고위 공직자인 페레이둔 아바시(페르시아어: فریدون عباسی)가 크게 다쳤다. 《와이어드》는 스턱스넷의 배후에 있는 이들이 이란 핵 프로그램의 진행을 충분히 늦추지 못했다고 느끼고 이 암살사건을 일으켰을 것으로 추측했다.[72] 2010년 1월 테헤란 대학 교수인 핵물리학자가 유사한 폭발사건으로 사망했다.[72] 2012년 1월 11일, 나탄즈 농축 시설 책임자 무스타파 아마디 로샨(페르시아어: مصطفی احمدی روشن) 또한 샤리아리와 유사한 수법으로 살해당했다.[73]

미국 과학자 연맹은 이란 농축 시설의 생산량이 2010년 동안 오히려 증가했다고 분석했다. 이 분석에 따르면 이란의 원심분리기는 작년에 비해 60% 이상 향상된 성능을 내고 있어, 이란이 무기용 우라늄을 생산하는 시간을 크게 단축시켜 줄 것으로 보인다.[74][75][76] 2010년 이란의 핵 농축 능력이 증가한 것으로 보아, 스턱스넷이 실제보다 큰 피해를 입혔다고 믿게 하기 위해 이란이 잘못된 정보를 흘렸을 가능성도 있다.[21]

제조국에 대한 추측[편집]

이스라엘미국, 그 외에 다른 서방 국가들이 스턱스넷의 배후에 있는 것으로 지목되었다.

이스라엘[편집]

많은 언론들[41][49][54] 과 전직 미국 국토안보부 고위 공무원인 Richard A. Falkenrath 등의 전문가들[77][42]이스라엘의 정보부대인 8200부대[78] 가 스턱스넷에 관여했을 것으로 추측하고 있다. 이스라엘 일간지 《하레츠》의 정보 담당 기자 Yossi Melman 또한, 전직 (2011년) 모사드 기관장인 메이어 데이건(히브리어: מאיר דגן)이 중요한 프로젝트를 맡고 있어 연임되었다고 지적하면서, 이 주장을 뒷받침하였다. 또한, 이스라엘 당국은 당초 이란이 2012년경 핵무기를 보유할 것으로 예측했으나, 이제는 2014년이나 2015년경 핵무기를 보유할 것으로 예측하고 있다고 지적하며, "그들이 애초에 생각했던 것보다 시간이 더 있다고 말하는 것을 보면, 그들은 뭔가 알고 있다"고 말했다.[13][24] 이스라엘은 스턱스넷에 대해 공식적으로 언급한 바가 없으나, 사이버 전쟁을 국방 전략의 중요한 축으로 삼고 있다.[79][80] 영국데일리 텔레그래프지와 이스라엘 일간지 《하레츠》 보도에 따르면, 이스라엘 방위군 (IDF) 참모총장 가비 아슈케나지가 자신의 은퇴 기념식에서 자신이 참모총장으로서 수행한 성공적인 작전 중 하나로 스턱스넷을 언급하여, 이스라엘이 이 공격의 배후에 있다는 추측을 강화하였다.[16][81]

스턱스넷이 발견되기 전인 2009년, 미국 사이버 보안 전문기관인 Cyber-Consequences Unit의 책임자 Scott Borg는, 이스라엘이 이란의 핵시설에 대한 군사적 공격보다는 사이버 공격을 선호할 것이라고 보았다.[64] 2010년 말에는 다음과 같이 언급했다. "이스라엘은 분명히 스턱스넷을 개발할 능력이 있으며, 이런 공격을 누가 수행했는지 알아낼 방법은 사실상 없으므로 부작용도 거의 없다. 따라서 스턱스넷은 이스라엘이 선호할만한 무기이다."[82] 이란의 나탄즈에서 사용되는 원심분리기는 P-1으로, 1978년 압둘 카디르 칸이 파키스탄으로 유출한 설계도 가운데 하나이다. 이란은 압둘 카디르 칸의 암시장 네트워크를 통해 이 설계도를 입수했다. 전문가들은 이스라엘이 P-1의 설계도를 입수하여 자국의 네게브 원자력 연구 센터에 설치한 후 스턱스넷을 시험한 것으로 추정한다.[24] 미국은 리비아의 핵 프로그램에서 이 장비를 입수했으며, 이를 이스라엘에 넘겼을 가능성이 있다.[83][24]

미국[편집]

미국이 이 공격에 개입되었다는 추측도 존재한다.[84] 부시 행정부는 이란의 컴퓨터 시스템을 공격하여 핵 프로그램을 파괴하는 계획이 비밀리에 진행되고 있었다는 보고가 있다. 위키리크스에서 케이블 게이트를 통해 유출시킨 외교문서 가운데는 미국 외교부가 비밀 사보타지를 통해 이란의 핵시설을 파괴할 것을 조언받는 내용이 포함되어 있다.[85] 《와이어드》는 한 기사에서 "스턱스넷은 미국이 개발한 것으로 보인다"고 주장했다.[86] 전직 미국 정보국 공무원인 존 범가너(John Bumgarner)는 스턱스넷이 발견되고 해독되기 전에 이미 원심분리기에 대한 사이버 공격 가능성에 대해 언급했으며,[87] 국제협약을 어기고 우라늄 농축 프로그램을 진행하는 국가에 대해 이런 공격을 감행할 수 있다고 암시하여 이 주장에 신빙성을 더한다. 범가너는 또한 "사이버타지"(사이버 사보타지) 작전의 주요 타겟이 핵무기의 연료를 생산하는 원심분리기이며, 그 회전속도를 변경시켜 원심분리기를 파괴할 수 있음을 지적한다.[88] 1982년 시베리아의 가스 파이프에 큰 폭발을 일으킨 것도 미국 중앙 정보국소련에서 입수한 SCADA 소프트웨어를 해킹하여 일어났을 가능성도 제기되고 있다.[21]

백악관의 대량살상무기 제어 담당 보좌관인 개리 사모어(Gary Samore)는 2011년 "(이란) 핵시설의 원심분리기에 문제가 생겼다는 소식에 기쁩니다. 우리 미국과 그 우방국들은 그들의 문제를 더 복잡하게 만들기 위해 최선의 노력을 기울이고 있습니다."라고 말해, 미국이 이 공격에 개입되어 있을 가능성을 시사했다.[89]

다른 국가들[편집]

2011년 4월 이란 정부의 조사결과는 미국과 이스라엘이 공격의 배후에 있는 것으로 결론지었다.[90] 독일의 연구원 Frank Rieger는 미국과 이스라엘이 스턱스넷을 공동 개발했다는데 유럽의 세 개 정보기관이 동의했다고 밝혔다. 코드의 윈도 공격 부분과 PLC 공격 부분은 다른 스타일로 작성되어, 스턱스넷이 공동개발로 제작되었음을 짐작할 수 있다. 그러나 다른 전문가들은 미국과 이스라엘의 정보 및 군사 당국이 서로를 크게 신뢰하지 않아 공동개발의 가능성은 낮다고 생각한다.[21]

중국 또한 이 공격에 참여했을 가능성이 있다고 지목되었으며,[91] 지멘스가 참여했을 가능성도 제기되었다.[21][84] 랭너는 이란의 시설이 인터넷으로 접근 불가능하므로, USB 드라이브를 통해 전염됐을 것으로 추측하고 있다.[6][92]

베를린 자유 대학교의 Sandro Gaycken은 이란이 단지 스턱스넷의 진짜 목표를 가리기 위한 허수아비에 지나지 않으며, 전 세계 100,000개 이상의 산업 시설을 목표로 할 수 있는 스턱스넷의 능력을 볼 때 이것은 적국이 사이버 무기에 어떻게 대항하는지 알아보기 위한 실전 테스트라고 주장한다.[93]

각주[편집]

  1. “W32.Stuxnet Dossier” (PDF). Symantec. November 2010. 
  2. “Building a Cyber Secure Plant” (영어). 지멘스. 2010년 9월 30일. 2021년 4월 21일에 원본 문서에서 보존된 문서. 2010년 12월 5일에 확인함. 
  3. Nicolas Falliere (2010년 8월 6일). “Stuxnet Introduces the First Known Rootkit for Industrial Control Systems” (영어). 시만텍. 
  4. “Iran's Nuclear Agency Trying to Stop Computer Worm” (영어). 테헤란: AP 통신사. 2010년 9월 25일. 2010년 9월 25일에 원본 문서에서 보존된 문서. 2010년 9월 25일에 확인함. 
  5. Gregg Keizer (2010년 9월 16일). “Is Stuxnet the 'best' malware ever?” (영어). Infoworld. 2012년 12월 5일에 원본 문서에서 보존된 문서. 2010년 9월 16일에 확인함. 
  6. Steven Cherry, with Ralph Langner (2010년 10월 13일). “How Stuxnet Is Rewriting the Cyberterrorism Playbook” (영어). IEEE Spectrum. 
  7. “Stuxnet Virus Targets and Spread Revealed” (영어). BBC News. 2011년 2월 15일. 2011년 2월 17일에 확인함. 
  8. Fildes, Jonathan (2010년 9월 23일). “Stuxnet worm 'targeted high-value Iranian assets' (영어). BBC News. 2010년 9월 23일에 확인함. 
  9. Beaumont, Claudine (2010년 9월 23일). “Stuxnet virus: worm 'could be aimed at high-profile Iranian targets' (영어). 런던: 데일리 텔레그래프. 2010년 9월 28일에 확인함. 
  10. MacLean, William (2010년 9월 24일). “UPDATE 2-Cyber attack appears to target Iran-tech firms”. 《로이터》 (영어). 
  11. ComputerWorld (2010년 9월 14일). “Siemens: Stuxnet worm hit industrial systems” (영어). Computerworld. 2010년 10월 3일에 확인함. 
  12. “Iran Confirms Stuxnet Worm Halted Centrifuges”. 《CBS News》 (영어). 2010년 11월 29일. 2013년 11월 15일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  13. Ethan Bronner & William J. Broad (2010년 9월 29일). “In a Computer Worm, a Possible Biblical Clue”. 《뉴욕 타임스》 (영어). 2010년 10월 2일에 확인함. “Software smart bomb fired at Iranian nuclear plant: Experts” (영어). Economictimes.indiatimes.com. 2010년 9월 24일. 2010년 9월 28일에 확인함. 
  14. “Kaspersky Lab provides its insights on Stuxnet worm”. 《카스퍼스키 랩》 (영어) (러시아). 2010년 9월 24일. 
  15. “Stuxnet Questions and Answers - F-Secure Weblog”. 《F-Secure》 (영어) (핀란드). 2010년 10월 1일. 
  16. Israel video shows Stuxnet as one of its successes
  17. Markoff, John (2011년 2월 11일). “Malware Aimed at Iran Hit Five Sites, Report Says” (영어). 뉴욕 타임스. 15면. 
  18. Steven Cherry, with Larry Constantine (2011년 12월 14일). “Sons of Stuxnet” (영어). IEEE Spectrum. 
  19. “A worm in the centrifuge: An unusually sophisticated cyber-weapon is mysterious but important” (영어). 이코노미스트. 2010년 9월 30일. 
  20. Krebs, Brian (2010년 7월 17일). “Experts Warn of New Windows Shortcut Flaw”. 《Krebs on Security》 (영어). 2011년 3월 3일에 확인함. 
  21. Gross, Michael Joseph (2011년 4월). “A Declaration of Cyber-War”. 《배니티 페어(Vanity Fair)》 (영어). Condé Nast. 2014년 7월 13일에 원본 문서에서 보존된 문서. 2011년 3월 3일에 확인함. 
  22. Alexander Gostev (2010년 9월 26일). “Myrtus and Guava: the epidemic, the trends, the numbers” (영어). 2011년 1월 1일에 원본 문서에서 보존된 문서. 2011년 1월 22일에 확인함. 
  23. “W32.Stuxnet” (영어). 시만텍. 2010년 9월 17일. 2011년 3월 2일에 확인함. 
  24. Broad, William J.; Markoff, John; Sanger, David E. (2011년 1월 15일). “Israel Tests on Worm Called Crucial in Iran Nuclear Delay” (영어). 뉴욕 타임스. 2011년 1월 16일에 확인함. 
  25. “Windows 셸의 취약점으로 인한 원격 코드 실행 문제점(2286198)”. 마이크로소프트. 2010년 8월 3일. 2012년 2월 14일에 확인함. 
  26. “Conficker 웜: Conficker로부터 Windows 보호”. 마이크로소프트. 2009년 4월 10일. 2010년 12월 6일에 확인함. 
  27. Kim Zetter (2010년 9월 23일). “Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target” (영어). Wired. 2012년 12월 17일에 원본 문서에서 보존된 문서. 2010년 9월 24일에 확인함. 
  28. Robert McMillan (2010년 9월 16일). “Siemens: Stuxnet worm hit industrial systems” (영어). Computerworld. 2012년 5월 25일에 원본 문서에서 보존된 문서. 2010년 9월 16일에 확인함. 
  29. Liam O Murchu (2010년 9월 17일). “Stuxnet P2P component” (영어). Symantec. 2010년 9월 24일에 확인함. 
  30. “W32.Stuxnet Dossier” (PDF) (영어). Symantec Corporation. 
  31. Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. “Stuxnet Under the Microscope” (PDF) (영어). 2011년 7월 10일에 원본 문서 (PDF)에서 보존된 문서. 2010년 9월 24일에 확인함. 
  32. “Kaspersky Lab provides its insights on Stuxnet worm” (영어). Kaspersky Lab. 2010년 9월 24일. 2010년 9월 27일에 확인함. 
  33. Michael Joseph Gross (2011년 4월). “A Declaration of Cyber-War”. 《배니티 페어(Vanity Fair)》 (영어). 2014년 7월 13일에 원본 문서에서 보존된 문서. 2011년 3월 4일에 확인함. 
  34. Ralph Langner (2010년 9월 14일). “Ralph's Step-By-Step Guide to Get a Crack at Stuxnet Traffic and Behaviour” (영어). 2011년 3월 4일에 확인함. 
  35. Nicolas Falliere (2010년 9월 26일). “Stuxnet Infection of Step 7 Projects” (영어). Symantec. 
  36. Chien, Eric (2010년 11월 12일). “Stuxnet: A Breakthrough” (영어). Symantec. 2010년 11월 14일에 확인함. 
  37. “SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan” (영어). 지멘스. 2010년 9월 24일에 확인함. 
  38. Espiner, Tom (2010년 7월 20일). “Siemens warns Stuxnet targets of password risk” (영어). CNET. 2011년 1월 9일에 원본 문서에서 보존된 문서. 2010년 7월 17일에 확인함. 
  39. “Siemens: Stuxnet Worm Hit Industrial Systems” (영어). IDG. 2012년 7월 28일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  40. crve (2010년 9월 17일). “Stuxnet also found at industrial plants in Germany” (영어). The H. 2010년 9월 18일에 확인함. 
  41. Halliday, Josh (2010년 9월 24일). “Stuxnet worm is the 'work of a national government agency' (영어). 런던: 가디언. 2010년 9월 27일에 확인함. 
  42. Markoff, John (2010년 9월 26일). “A Silent Attack, but Not a Subtle One” (영어). 뉴욕 타임스. 2010년 9월 27일에 확인함. 
  43. Schneier, Bruce (2010년 10월 6일). “The Story Behind The Stuxnet Virus”. 《포브스》 (영어). 
  44. SANGER, DAVID E. (2012년 6월 1일). “Obama Order Sped Up Wave of Cyberattacks Against Iran”. 《뉴욕타임스》 (영어). 
  45. Bright, Arthur (2010년 10월 1일). “Clues Emerge About Genesis of Stuxnet Worm” (영어). 크리스천 사이언스 모니터. 2011년 3월 4일에 확인함. 
  46. Langner, Ralph (2011년 2월). “랄프 랭그너: 21세기 사이버 무기, 스턱스넷을 파헤치다”. 2014년 2월 1일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  47. Robert McMillan (2010년 7월 23일). “Iran was prime target of SCADA worm” (영어). Computerworld. 2010년 7월 27일에 원본 문서에서 보존된 문서. 2010년 9월 17일에 확인함. 
  48. Paul Woodward (2010년 9월 22일). “Iran confirms Stuxnet found at Bushehr nuclear power plant” (영어). Warincontext.org. 2010년 9월 28일에 확인함. 
  49. Blake Hounshell (2010년 9월 27일). “6 mysteries about Stuxnet” (영어). Blog.foreignpolicy.com. 2014년 2월 9일에 원본 문서에서 보존된 문서. 2010년 9월 28일에 확인함. 
  50. Clayton, Mark (2010년 9월 21일). “Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?” (영어). 크리스천 사이언스 모니터. 2010년 9월 23일에 확인함. 
  51. Yossi Melman (2010년 9월 28일). 'Computer virus in Iran actually targeted larger nuclear facility' (영어). 2011년 1월 1일에 확인함. 
  52. “Iranian Nuclear Program Plagued by Technical Difficulties” (영어). Globalsecuritynewswire.org. 2010년 11월 23일. 2010년 11월 28일에 원본 문서에서 보존된 문서. 2010년 11월 24일에 확인함. 
  53. “Iran pauses uranium enrichment at Natanz nuclear plant” (영어). Haaretz.com. 2010년 11월 24일. 2010년 11월 24일에 확인함. 
  54. “The Stuxnet worm: A cyber-missile aimed at Iran?” (영어). 이코노미스트. 2010년 9월 24일. 2010년 9월 28일에 확인함. 
  55. “Serious nuclear accident may lay behind Iranian nuke chief%27s mystery resignation” (영어). 위키리크스. 2009년 7월 16일. 2010년 12월 30일에 원본 문서에서 보존된 문서. 2011년 1월 1일에 확인함. 
  56. “IAEA Report on Iran” (PDF) (영어). 과학국제안보연구소. 2010년 11월 16일. 2011년 1월 1일에 확인함. 
  57. “Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?” (PDF) (영어). Institute for Science and International Security. 2010년 12월 22일. 2010년 12월 27일에 확인함. 
  58. The attacks seem designed to force a change in the centrifuge’s rotor speed, first raising the speed and then lowering it, likely with the intention of inducing excessive vibrations or distortions that would destroy the centrifuge. If its goal was to quickly destroy all the centrifuges in the FEP, Stuxnet failed. But if the goal was to destroy a more limited number of centrifuges and set back Iran’s progress in operating the FEP, while making detection difficult, it may have succeeded, at least temporarily. Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?
  59. “Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben” (독일어). 슈피겔. 2010년 12월 26일. 2010년 12월 27일에 확인함. 
  60. Stark, Holger (2011년 8월 8일). “Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War” (영어). 슈피겔. 
  61. Warrick, Joby (2011년 2월 16일). “Iran's Natanz nuclear facility recovered quickly from Stuxnet cyberattack” (영어). 워싱턴 포스트. 2011년 2월 17일에 확인함. 
  62. Assuming Iran exercises caution, Stuxnet is unlikely to destroy more centrifuges at the Natanz plant. Iran likely cleaned the malware from its control systems. To prevent re-infection, Iran will have to exercise special caution since so many computers in Iran contain Stuxnet. Although Stuxnet appears to be designed to destroy centrifuges at the Natanz facility, destruction was by no means total. Moreover, Stuxnet did not lower the production of LEU during 2010. LEU quantities could have certainly been greater, and Stuxnet could be an important part of the reason why they did not increase significantly. Nonetheless, there remain important questions about why Stuxnet destroyed only 1,000 centrifuges. One observation is that it may be harder to destroy centrifuges by use of cyber attacks than often believed.“Stuxnet Malware and Natanz: Update of ISIS December 22, 2010 Report” (영어). 과학국제안보연구소. 2011년 2월 15일. 
  63. “Signs of sabotage in Tehran's nuclear programme” (영어). Gulf News. 2010년 7월 14일. 2010년 11월 20일에 원본 문서에서 보존된 문서. 2010년 9월 26일에 확인함. 
  64. Dan Williams (2009년 7월 7일). “Wary of naked force, Israel eyes cyberwar on Iran” (영어). 로이터. 
  65. Aneja, Atul (2010년 9월 26일). “Under cyber-attack, says Iran” (영어). Chennai, India: The Hindu. 
  66. “شبکه خبر :: راه های مقابله با ویروس"استاکس نت" (페르시아어). Irinn.ir. 2013년 6월 21일에 원본 문서에서 보존된 문서. 2010년 9월 28일에 확인함. 
  67. “Stuxnet worm rampaging through Iran: IT official” (영어). 프랑스 통신사. 2013년 12월 16일에 원본 문서에서 보존된 문서. 2016년 11월 12일에 확인함. 
  68. “IRAN: Speculation on Israeli involvement in malware computer attack” (영어). 로스앤젤레스 타임스. 2010년 9월 27일. 2010년 9월 28일에 확인함. 
  69. Thomas Erdbrink, Ellem Nakashima (2010년 9월 27일). “Iran struggling to contain 'foreign-made' 'Stuxnet' computer virus” (영어). 워싱턴 포스트. 2010년 9월 28일에 확인함. 
  70. “Ahmadinedschad räumt Virus-Attacke ein” (독일어). 슈피겔. 2010년 11월 29일. 2010년 12월 29일에 확인함. 
  71. “Stuxnet: Ahmadinejad admits cyberweapon hit Iran nuclear program” (영어). 크리스천 사이언스 모니터. 2010년 11월 30일. 2010년 12월 29일에 확인함. 
  72. “Iran: Computer Malware Sabotaged Uranium Centrifuges” (영어). 와이어드. 2010년 11월 29일. 
  73. http://www.foxnews.com/world/2012/01/11/report-bomb-kills-iran-university-professor/?test=latestnews
  74. Monica Amarelo (2011년 1월 21일). “New FAS Report Demonstrates Iran Improved Enrichment in 2010” (영어). 미국 과학자 연맹. 2012년 1월 20일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  75. “Report: Iran's nuclear capacity unharmed, contrary to U.S. assessment” (영어). 하레츠. 2011년 1월 22일. 
  76. Jeffrey Goldberg (2011년 1월 22일). “Report: Iran's Nuclear Program Going Full Speed Ahead” (영어). 아틀란틱. 
  77. “Falkenrath Says Stuxnet Virus May Have Origin in Israel: Video. Bloomberg Television” (영어). 2010년 9월 24일. 2012년 3월 3일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  78. Beaumont, Peter (2010년 9월 30일). “Stuxnet worm heralds new era of global cyberwar” (영어). 런던: 가디언. 
  79. Dan Williams (2010년 9월 28일). “Cyber takes centre stage in Israel's war strategy” (영어). 로이터. 2010년 10월 1일에 원본 문서에서 보존된 문서. 2012년 2월 14일에 확인함. 
  80. Antonin Gregoire (2010년 11월 25일). “Stuxnet, the real face of cyber warfare” (영어). Iloubnan.info. 
  81. Williams, Christoper (2011년 2월 16일). “Israeli security chief celebrates Stuxnet cyber attack” (영어). 런던: 텔레그래프. 2011년 2월 23일에 확인함. 
  82. Israel certainly has the ability to create Stuxnet and there is little downside to such an attack, because it would be virtually impossible to prove who did it. So a tool like Stuxnet is Israel's obvious weapon of choice.“A worm in the centrifuge: An unusually sophisticated cyber-weapon is mysterious but important” (영어). 이코노미스트. 2010년 9월 30일. 
  83. David Sanger (2010년 9월 25일). “Iran Fights Malware Attacking Computers” (영어). 뉴욕 타임스. 2010년 9월 28일에 확인함. 
  84. Reals, Tucker (2010년 9월 24일). “Stuxnet Worm a U.S. Cyber-Attack on Iran Nukes?” (영어). CBS News. 
  85. Halliday, Josh (2011년 1월 18일). “WikiLeaks: US advised to sabotage Iran nuclear sites by German thinktank” (영어). 런던: 가디언. 2011년 1월 18일에 확인함. 
  86. Kim Zetter (2011년 2월 17일). “Cyberwar Issues Likely to Be Addressed Only After a Catastrophe” (영어). 와이어드. 2011년 2월 18일에 확인함. 
  87. Chris Carroll (2011년 10월 18일). “Cone of silence surrounds U.S. cyberwarfare” (영어). Stars and Stripes. 2011년 10월 30일에 확인함. 
  88. John Bumgarner (2010년 4월 27일). “Computers as Weapons of War” (PDF) (영어). IO Journal. 2011년 12월 19일에 원본 문서 (PDF)에서 보존된 문서. 2011년 10월 30일에 확인함. 
  89. Gary Samore 가 "민주주의 수호 재단" 주최로 2010년 12월 10일 워싱톤에서 열린 포럼에서 한 발언. PBS 프로그램인 Need to Know가 보도함.("Cracking the code: Defending against the superweapons of the 21st century cyberwar", 4분짜리 인터뷰중 일부 발췌)
  90. “Iran blames U.S., Israel for Stuxnet malware” (영어). CBS News. 2011년 4월 16일. 2012년 1월 15일에 확인함. 
  91. Carr, Jeffrey (2010년 12월 14일). “Stuxnet's Finnish-Chinese Connection” (영어). 포브스.  다음 글자 무시됨: ‘ 2011년 4월 19일’ (도움말)
  92. Clayton, Mark (2010년 9월 24일). “Stuxnet worm mystery: What's the cyber weapon after?” (영어). 크리스천 사이언스 모니터. 2011년 1월 21일에 확인함. 
  93. Gaycken, Sandro (2010년 11월 26일). “Stuxnet: Wer war's? Und wozu?” (독일어). 디 차이트. 2011년 4월 29일에 확인함.