최근 들어 ‘사이버 전쟁’이라는 말이 많이 들려온다. 사실 사이버 전쟁은 외부로 드러나지 않고 시각적인 요소가 없다는 특징을 가지고 있어 크게 와 닿지 않을 것이다. 하지만 이미 사이버 전쟁은 시작되었고 한참 진행 중이다. 2015년 국제해커조직 어나니머스는 프랑스 테러 이후 IS에 전면적인 선포를 한다. IS 회원은 물론 지지자들의 트위터 계정을 해킹하기도 하고 이슬람 근본주의를 신봉하는 IS 지지자들의 계정으로 음란물을 올리기도 하였다. 국가 간의 사이버 전쟁도 빼놓을 수가 없다. 미국과 중국, 북한은 물론 국내에서도 ‘3.1절 사이버 전쟁’과 같은 사이버 전쟁이 전 세계 곳곳에서 일어나고 있다. 오늘은 이런 사이버 전쟁에서 쓰였던 첫 ‘사이버 무기’에 대해 이야기해보려 한다.

오늘의 주인공, 스턱스넷(Stuxnet)이다. 스턱스넷은 2010년 6월에 발견한 최초의 악성코드로 된 사이버 무기이다. 보통의 악성코드는 컴퓨터의 시스템을 파괴하거나 작업을 지연하는 등의 컴퓨터 수행을 방해하는 정도지만 스턱스넷은 다르다. 스턱스넷은 윈도우(Windows)환경으로 되어있는 발전소, 철도와 같이 국가 기관 시설을 공격한다. 특히 지멘스사에서 만든 국가 기관 시설에서 사용하는 프로그램을 대상으로 공격한다. 스턱스넷의 공격은 PLC 즉, 쉽게 말해 윈도우의 프로그램을 제어하는 두뇌와 같은 곳을 공격한다. PLC 부분을 공격한다는 것은 PLC가 윈도우와 비교하여 기계어에 더 가까운 언어로 되어있어 복잡도를 비교할 수조차 없다. 일반 웜이나 바이러스가 잔챙이들이었다면 이 녀석은 엔딩 크리딧 보기 전에 나오는 보스급 정도로 생각하면 될 것 같다.

스턱스넷은 당시 누가 만들었는지에 대해서도 말이 많았다. 이란의 핵무기 시설이 달갑지 않던 이스라엘에서 만들어졌다는 얘기와 함께 더 큰 강대국이 뒤에 있어야 가능한 이야기라며 미국과 이스라엘의 합작이라고 추측했다. 이 추측은 뉴욕 타임즈의 조사결과 미국 정부의 ‘니트 제우스’ 작전 일부분인 ‘올림픽 게임’이라는 이름으로 작전이 추진된 것으로 밝혀졌고 2013년 에드워드 스노든이 스턱스넷은 미국과 이스라엘의 공동제작한 것이라고 밝히며 말뚝을 박았다.

발견된 계기로는 이란의 핵무기 시설에서 일하던 관계자 한 명이 시설 내에서 사용했던 USB를 가져와 자신의 집 컴퓨터에 연결하면서 이 바이러스가 알려지게 되었다. 스턱스넷은 USB뿐만 아니라 네트워크를 통해 전파가 가능하고 감염 횟수를 저장하고 있어 중복하여 감염되지 않도록 제한을 두고 제작되었다. 또한, 자신이 목표하는 대상의 시스템이 아니라면 어떤 특별한 활동도 하지 않을뿐더러 자신이 들어온 경로나 흔적을 지우고 자기 자신을 삭제할 수 있는 기능도 담고 있다. 스턱스넷은 이런 구조로 되어있어 국가기관 시설 같은 폐쇄적인 곳에서는 탐지하기가 어려웠을 것이다. 그 직원이 아니었으면 스턱스넷은 여전히 세상에 알려지지 않고 이란의 핵 발전 연구소를 배회하며 핵 발전연구소의 핵심인 원심분리기를 하나씩 깨부수고 있었을 것이다.

일반적으로 바이러스나 웜의 크기가 10KB 내외라면 이 스턱스넷은 무려 1024KB가 넘는 크기로 안의 구조는 엄청나게 복잡하고 매우 정교하게 구성되어 있다. 스턱스넷 내부에는 한 번도 공개되지 않은 취약점 공격 기술이 5개나 들어가 있는데 이 녀석들의 하나하나의 몸값이 1억 내외를 웃돈다면 5개나 때려 박은 스턱스넷 같은 경우는 몸값이 매우 비싼 극히 드문 경우다. 또한, 스턱스넷은 자신을 숨기고 감지를 피하고자 컴퓨터에서 꼭 사용되는 드라이버 회사의 전자서명이 포함되어 있어 컴퓨터가 신뢰할 수 있는 프로그램이라 인식하도록 제작되었다.

스턱스넷은 목표물의 시스템에 들어가 모니터링을 하고 제어권을 얻는다. 이론적으로는 연결에 성공하면 공장 내에 작은 기기를 제어할 뿐만 아니라 공장을 정지 및 폭파하는 것도 가능하다고 한다. 실제로 스턱스넷은 이란의 핵 발전 연구소에서 원심분리기 제어에 사용됐다는 추측이 있었고 때마침 이란에서 1000개의 원심 분리기가 파괴되었다는 소식이 들려오면서 거의 확실시 되었다. 스턱스넷은 연구자들이 눈치채지 못하도록 원심 분리기의 회전수를 올리거나 낮추는 등의 제어를 하여 모터에 압박을 가해 원심 분리기의 수명을 짧게 하는 방법으로 공격하였다.

핵 발전 연구소를 공격하는 스턱스넷은 북한도 공격대상이 되었다. 실제로 2015년 5월에 미국에서는 자신들이 5년 전, 아마도 2010년쯤에 북한 핵 시설 공격을 시도하였지만 실패하였다고 발표했다. 북한도 이란과 마찬가지로 P-2라는 같은 원심분리기 버전을 사용하고 있어 공격이 가능할 수 있었을 것으로 추측하고 시도하였을 것으로 생각한다. 또한 북한을 공격하기 위해 한글로 된 시스템환경에서 동작할 수 있도록 살짝 변형하여 제작하였지만 결국에는 실패로 돌아갔다.

이유로는 북한의 통신체계가 매우 폐쇄적인 탓에 핵을 개발하는 프로그램에 접근이 힘들었다고 전했다. 이란의 네트워크 환경과 달리 북한은 매우 고립된 통신 네트워크를 사용하고 있으며 외부로 연결된 네트워크는 중국을 통해 들어오는 단 하나의 기본 인터넷이므로 매우 고립되고 비밀 적이어서 접근이 어려웠다고 전했다. 이러한 미국의 발표가 있고 난 후 이에 대해 북한에서의 반응은 극도로 흥분하여 강하게 반발하였지만 미국에서의 반응은 그저 ‘어쩌라고’하는 반응이다.

혹자는 앞으로의 전쟁이 핵 전쟁이 아니라 사이버 전쟁이라고도 말한다. 눈에는 보이지 않지만 사이버 전쟁은 활발하게 일어나고 스턱스넷과 같은 전쟁의 무기도 존재한다. 우리에게 핵 발전 연구소는 없지만 물을 관리하거나 원자력같이 국가에서 관장하는 중요 시설은 있다. 이런 중요 시설을 공격할 수 있는 무기가 있다는 것은 한 번쯤은 생각해볼 문제이다. 해킹을 하는 분들이라면 한 번쯤은 나라를 초토화하거나 세계 종말 시나리오를 생각해보기도 한다.