안랩, 악성코드 ‘스턱스넷’ 대응책 발표

[서울신문NTN 김수연 기자] 안철수연구소는 전세계적 이슈인 사이버 공격 ‘스턱스넷(Stuxnet)’ 악성코드에 대한 상세 분석 정보와 대책을 5일 발표했다.

’스턱스넷’은 독일 지멘스사의 산업자동화 제어시스템을 겨냥해 제작된 악성코드로 USB 및 네트워크 공유 취약점 등을 이용해 전파된다. 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 시스템을 마비시킨다.

안철수연구소 시큐리티대응센터 분석에 따르면 ‘스턱스넷’은 산업자동화 제어시스템을 제어하는 PC에 드롭퍼(스턱스넷의 핵심 모듈 파일을 생성하는 하는 파일)가 실행되도록 하는 문제를 일으킨다고 전했다.

이 드롭퍼는 정상 s7otbxdx.dll 파일의 이름을 바꿔 백업하고 정상 s7otbxdx.dll 파일과 동일한 이름으로 파일을 생성한다. 이후 산업자동화 제어시스템을 통합 관리하는 도구(소프트웨어)인 ‘Step7’을 실행하면 원래의 정상 파일이 아닌 ‘스턱스넷’이 실행된다.

’Step7’의 기능은 s7otbxdx.dll 파일을 통해 제어 PC와 산업자동화 제어시스템 간에 블록 파일을 교환하는 것이다. 이 파일을 Stuxnet의 DLL 파일로 바꾸면 산업자동화 제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있다.

이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭파시킬 수도 있다. 산업 시설이 관리자가 아닌 악의적 공격자에게 장악될 수 있다는 설명이다.

SCADA 시스템 내 지멘스 ‘Step7’이 산업자동화 제어시스템 제어용 PC에 설치돼 있거나 산업자동화 제어시스템 타입이 6ES7-315-2 또는 6ES7-417인 경우, 그리고 제어PC의 운영체제(OS)가 윈도우인 경우 ‘스턱스넷’이 실행된다.

연구소 측은 산업자동화시스템이 있는 곳은 안철수연구소의 ‘안랩 트러스라인(AhnLab TrusLine)’을 설치하면 ‘스턱스넷’을 방어할 수 있다고 전했다. 또 개인 및 기업의 일반 PC에는 V3 제품군(V3 Lite, V3 365 클리닉, V3 IS 8.0 등)을 설치해 예방·치료할 것을 당부했다.

조시행 안철수연구소 연구소장은 “이번 스턱스넷은 구체적인 목표를 가진 타깃형 사이버 공격으로 이 같은 공격은 더욱 늘어날 것으로 예상된다.”며 “특히 SCADA 시스템과 같이 폐쇄적인 환경에서 악성코드에 감염됐을 경우 화이트리스트(Whitelist) 기반의 전용 솔루션으로 대비하는 방안이 필요하다.”고 말했다.

김수연 기자 newsyouth@seoulntn.com