스턱스넷은 사이버 공격 및 사이버 전쟁의 동의어가 되었습니다. 오늘날까지 누가 스턱스넷을 만들었으며, 스턱스넷은 어떻게 작동했으며, 스턱스넷이 사이버 보안에서 중요한 이유에 대한 질문이 계속되고 있습니다. 다음 질문에 대한 답변 등을 읽어보세요.
스턱스넷이 무엇인가요?
스턱스넷은 2010년에 널리 알려진 매우 정교한 컴퓨터 웜입니다. 이 형태의 악성 툴은 이전에는 알려지지 않은 Windows 제로 데이 취약점을 악용하여 대상 시스템을 감염시키고 다른 시스템으로 확산했습니다. 스턱스넷은 당시 이란의 핵 프로그램을 은밀하게 탈선할 목적으로 이란의 우라늄 농축 시설 원심 분리기를 주로 표적으로 삼았습니다. 그러나 Stuxnet은 가스관, 발전소, 수처리 공장과 같은 다른 인프라를 표적으로 삼을 수 있도록 시간이 지나면서 수정되었습니다.
스턱스넷은 2010년에 전 세계적으로 헤드라인을 장식했지만, 2005년에 Stuxnet의 개발이 시작되었다고 합니다. 이는 세계 최초의 사이버 무기로 간주되며 그러한 이유로 인해 미디어의 상당한 주목을 받았습니다. 보고에 따르면, 이 웜은 이란의 핵 원심 분리기 중 거의 5분의 1을 파괴하고 200,000대가 넘는 컴퓨터를 감염 시켰으며 1,000 대의 기계를 물리적으로 저하 시켰습니다.
스턱스넷은 어떻게 작동했나?
스턱스넷은 특정 표적에만 영향을 주고 다른 장치에는 최소한의 손상을 가하도록 세심하게 설계된 매우 복합적인 악성 코드 입니다.
2000년대 초, 이란은 나탄즈에 있는 우라늄 농축 시설에서 핵무기를 개발할 것이라고 널리 생각했습니다. 이란의 핵 시설은 에어 갭으로되어 있으며, 이는 다른 네트워크나 인터넷에 고의적으로 연결되지 않도록 했다는 것을 의미합니다. ('에어 갭'은 조직의 물리적 자산과 외부와의 물리적 공간을 의미합니다.) 스턱스넷은 요원들이 이 핵 시설 내부에 들어 있는 USB 스틱을 통해 전송되었다고 생각됩니다.
스턱스넷은 감염된 각 PC에서 지멘스 단계 7 소프트웨어의 징후를 검색했습니다. 이 소프트웨어를 발견한 스턱스넷은 PC가 제어하는 전자기 장비에 제거 명령을 전송하도록 코드를 업데이트하기 시작했습니다. 동시에 스턱스넷은 메인 컨트롤러에 잘못된 피드백을 전송했습니다. 즉, 장비를 모니터링하는 사람은 누구나 장비가 자체적으로 파괴될 때까지 아무 것도 잘못되었음을 알 수 없습니다.
요컨대: Stuxnet은 Natanz에 있는 원자로에 있는 원심 분리기로 우라늄 가스를 펌핑하는 밸브를 조작했습니다. 이 바이러스는 가스량을 증가시키고 회전하는 원심 분리기에 과부하를 주어 원심 분리기가 과열되어 자폭하도록 했습니다. 그러나 컴퓨터 화면을 보고 있는 이란의 과학자들에게는 모든 것이 정상으로 보였습니다.
스턱스넷은 매우 정교했습니다. 네 가지 별도의 제로 데이 공격을 사용하여 시스템에 침투했으며 지멘스 산업 제어 시스템에만 손상을 가하도록 설계되었습니다. 스턱스넷은 다음 세 부분으로 구성되었습니다:
- 대부분의 작업을 수행한 웜
- 전파된 웜 복사본의 실행을 자동화한 링크 파일
- 파일을 탐지하지 못하도록 숨기는 루트킷
스턱스넷은 2010년 이란 핵시설의 사찰단이 원심 분리기의 고장률에 대해 놀라움을 표명한 후 밝혀졌습니다. 보안 전문가의 추가 조사 결과, 강력한 악성 소프트웨어가 원인인 것으로 나타났습니다. (보안 전문가 중 한 명인 Sergey Ulasen은 이후 Kaspersky 에서 근무했습니다.) Stuxnet은 여러 제로 데이 취약점을 악용하는 알려진 시그니처가 없는 완전히 새로운 악성 코드였기 때문에 탐지하기가 어려웠습니다.
스턱스넷은 이란의 핵 시설 외부로 유포되도록 설계된 것이 아닙니다. 그러나, 이 악성 코드는 인터넷에 연결된 컴퓨터에 도달하고 매우 정교하고 공격적인 특성으로 인해 확산되기 시작했습니다. 그러나 Stuxnet은 특정 표적에만 손상을 가하도록 특별히 설계되었기 때문에 감염된 외부 컴퓨터에는 거의 영향을 미치지 않습니다. 스턱스넷의 영향은 대부분 이란에서 느껴졌습니다.
스턱스넷은 누가 만들었을까?
아무도 스턱스넷에 대한 책임을 공식적으로 주장하지 않지만, 이 스턱스넷이 미국과 이스라엘 정보 기관의 공동 작업이었다는 것은 널리 받아들여지고 있습니다. 이 웜을 개발하기 위한 기밀 프로그램은 코드명 'Olympic Games'였으며, 이 프로그램은 조지 W. 부시 대통령 때부터 오바마 대통령 때까지 이어졌습니다. 이 프로그램의 목적은 이란의 새로운 핵 프로그램을 탈선하거나 적어도 지연시키는 것이였습니다.
처음에 에이전트는 USB 썸 드라이브를 부주의하게 시설 내 공격을 전송하는 방법을 통해 이란의 핵 프로그램의 핵심 위치인 Natanz와 관련된 엔지니어링 회사 4개에 Stuxnet 악성 코드를 심었습니다.
스턱스넷이 그렇게 유명한 이유는 무엇입니까?
스턱스넷은 미디어의 광범위한 관심을 불러 일으켰으며 다큐멘터리와 책의 주제가 되었습니다. 오늘날까지 이는 역사상 가장 지능형이며, 악성 코드 공격 중 하나로 남아 있습니다. Stuxnet이 중요한 이유는 다음과 같습니다:
- 그것은 세계 최초의 디지털 무기입니다. 스턱스넷은 대상 컴퓨터를 가로채거나 정보를 훔치는 것이 아니라 디지털 영역을 탈출하여 컴퓨터가 제어하는 장비를 물리적으로 파괴합니다. 악성 코드를 통해 다른 국가의 인프라를 공격하는 것이 가능하다는 것이 선례를 남겼습니다.
- 이 형태의 트로이목마는 국가 수준에서 생성되었으며, 스턱스넷이 역사상 첫 사이버전 공격은 아니지만 , 당시에는 가장 지능형으로 간주되었습니다.
- 이 방법은 매우 효과적이었습니다. 스턱스넷은 이란 핵 원심 분리기의 거의 5분의 1을 손상시킨 것으로 알려졌습니다. 산업 제어 시스템을 대상으로 하는 이 웜은 200,000대가 넘는 컴퓨터를 감염시키고 1,000대의 컴퓨터의 성능을 저하시킵니다.
- 이 형태의 트로이목마는 4개의 제로 데이 취약점을 사용하여 확산되었으며, 이는 2010년에는 매우 이례적이었고 오늘날에도 여전히 이례적입니다. 이러한 익스플로잇 중에는 화면에 아이콘이 표시되기만 하면 되는 매우 위험하여 상호 작용이 필요하지 않은 익스플로잇이 있었습니다.
- 스턱스넷은 에어 갭 네트워크가(이 경우 감염된 USB 드라이브를 통해) 침해될 수 있음을 강조했습니다. Stuxnet은 한 번 시스템에 설치되면 빠르게 확산되어 Siemens 소프트웨어 및 PLC를 제어하는 컴퓨터를 수색합니다.
스턱스넷이 바이러스입니까?
Stuxnet은 바이러스라고도 하지만 실제로는 컴퓨터 웜입니다. 바이러스와 웜은 모두 악성 코드의 유형이지만 웜은 사람의 상호 작용이 필요하지 않으며 시스템에 침투하면 자체적으로 전파할 수 있기 때문에 더 지능형입니다.
컴퓨터 웜은 데이터 삭제 외에도 네트워크에 과부하를 주고, 대역폭을 소비하며, 백도어를 열거나, 하드 드라이브 공간을 줄일 수 있으며, 루트킷, 스파이웨어 , 랜섬웨어 와 같은 기타 위험한 악성 코드를 유포할 수 있습니다.
바이러스와 웜의 차이에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
스턱스넷의 유산
스턱스넷은 그 악명으로 인해 대중의 의식에 오를 수 있습니다. 오스카상 후보에 오른 다큐멘터리 감독인 알렉스 기브니가 감독한 2016년 다큐멘터리 '제로 데이' 는 스턱스넷에 대해 이야기하고 이란과 서방의 관계에 스턱스넷이 미치는 영향을 조사한 다큐멘터리입니다. 수상 경력에 빛나는 저널리스트인 Kim Zetter는 0시까지의 카운트다운 이라는 책을 저술했으며, 여기에는 Stuxnet의 발견과 그 여파에 대해 자세히 설명했습니다. 다른 책과 영화도 출시되었습니다.
스턱스넷의 제작자는 이 프로그램이 2012년 6월에 만료되도록 프로그래밍한 것으로 알려졌으며, 어쨌거나 지멘스는 자사 PLC 소프트웨어에 대한 수정 프로그램을 배포했습니다. 그러나 원래 코드를 기반으로 한 다른 악성 코드 공격의 형태로 Stuxnet의 유산은 계속되었습니다. Stuxnet의 후계자는 다음을 포함합니다:
두쿠 (2011)
Duqu는 산업 시설의 키 입력을 기록 하고 데이터를 마이닝하도록 설계되었으며, 이후의 공격을 위해 설계되었습니다.
플레임 (2012)
Flame은 Skype 대화를 녹음하고, 키 입력을 기록하고, 스크린샷을 수집하는 등의 지능형 스파이웨어입니다. 스턱스넷과 마찬가지로 플레임도 USB 스틱을 통해 이동합니다. 이 형태의 트로이목마는 대부분 이란과 기타 중동 국가의 정부, 교육 기관과 일부 개인을 표적으로 했습니다.
하벡스 (2013)
Havex의 목표는 에너지, 항공, 국방, 제약 회사 등으로부터 정보를 수집하는 것입니다. Havex 악성 코드는 주로 미국, 유럽 및 캐나다 조직을 표적으로했습니다.
인더스트리(2016)
이 목표는 전력 시설을 대상으로 한 것입니다. 2016년 12월에는 이 트로이목마로 우크라이나에서 정전이 발생했습니다.
트리톤 (2017)
이는 중동에 있는 석유화학 공장의 안전 시스템을 표적으로 한 것으로, 작업자에게 신체적 상해를 입히려는 악성 코드 제작자의 의도에 대한 우려를 불러 일으켰습니다.
가장 최근(2018)
2018년 10월에 스턱스넷의 특징을 가진 이름 없는 바이러스가 이란의 네트워크 인프라를 강타한 것으로 알려졌습니다.
오늘날 사이버 수단은 정보 수집, 사보타주, 정보 활동을 위해 많은 국가와 국가가 아닌 행위자가 범죄 활동, 전략적 목적 또는 이 모두를 위해 널리 사용됩니다 . 그러나 발전소나 방산 등 주요 산업이나 인프라를 노리는 스턱스넷(Stuxnet) 기반의 악성 코드 공격에 대해 일반 컴퓨터 사용자들은 걱정할 필요가 없습니다.
산업 네트워크를 위한 사이버 보안
현실 세계에서 Stuxnet과 같은 선진 국가 공격은 랜섬웨어 등으로 인해 발생하는 일반적이고 기회 주의적 업무 중단에 비해 드뭅니다. 그러나 Stuxnet은 모든 조직에서 사이버 보안의 중요성을 강조합니다. 랜섬웨어, 컴퓨터 웜, 피싱 , 업무용 이메일 침해 행위(BEC), 기타 사이버 위협 등, 조직을 보호하기 위해 취할 수 있는 조치는 다음과 같습니다:
- 직원 및 계약업체가 네트워크에 잠재적인 위협을 도입하지 못하도록 하는 엄격한 BYOD(기타 기기) 정책을 적용합니다.
- 무작위 대입 공격을 방해하고 도난된 암호가 위협 벡터가 되는 것을 방지하는 2단계 인증과 함께 기술적으로 강화된 강력한 암호 정책을 구현합니다.
- 최신 패치로 컴퓨터와 네트워크를 보호하십시오. 최신 상태를 유지하면 최신 보안 픽스의 이점을 얻을 수 있습니다.
- 모든 수준에서 쉬운 백업 및 복원을 적용하여 특히 중요 시스템의 중단을 최소화합니다.
- 프로세서와 서버에 이상이 있는지 계속 모니터링합니다.
- 포괄적인 안티 바이러스로 모든 장치를 보호하십시오. 좋은 안티 바이러스는 24/7 작동하여 해커와 최신 바이러스, 랜섬웨어 및 스파이웨어로부터 사용자를 보호합니다.
연관 제품:
- Kaspersky 안티 바이러스
- Kaspersky Premium 안티 바이러스
- Kaspersky Premium 안티 바이러스 다운로드 30일 무료 체험판
- Kaspersky Password Manager - 무료 체험판
- Kaspersky VPN Secure Connection
추가 참고 자료:
