미 국토안보부 경계경보 발령

‘사이버 미사일’이라고도 불리는 악성코드인 ‘스턱스넷’과 유사하지만 ‘파괴’가 아닌 향후 공격을 위한 사전 ‘정보수집’을 목적으로 하는 새로운 악성코드가 발견돼 새로운 사이버공격이 임박했다는 우려를 낳고 있다.

미국 사이버 보안업체인 시멘텍은 18일(현지시간) ‘슈퍼 산업시설 바이러스 웜’이란 의미를 갖고 있는 스턱스넥과 매우 유사한 악성코드가 유럽 컴퓨터 시스템에서 발견됐다면서 이는 지난해 발생한 스턱스넷 공격과 같은 유형의 새로운 사이버 공격이 임박했음을 보여주는 전조일 수 있다고 경고했다.

스턱스넷은 지난해 이란 핵농축공장 시스템을 성공적으로 교란시키면서 세계적인 주목을 받았다. 당시 스턱스넷은 전례가 없었을 정도의 코드 복잡성과 산업통제시설에 물리적인 피해를 입힐 수 있다는 점 때문에 개인이 아닌 미국과 이스라엘 등과 같은 국가가 배후일 것이란 추정을 낳았다.

유럽의 한 연구소가 발견했으며 ‘두쿠’(Duqu)라고 불리는 새 악성코드는 스턱스넷처럼 산업시설 등에 직접적인 피해를 주지는 않지만 앞으로 가할 공격을 위해 공격목표의 정보를 수집하기 위한 목적으로 만들어진 것 같다고 시멘텍은 분석했다.

시멘텍은 두쿠 제작자가 스턱스넷의 원본코드에 접근한 것이 분명한데 스턱스넷의 원본코드가 공개되지 않은 점을 감안하면 두쿠와 스턱스넷이 동일한 집단에 의해 만들어진 것 같다고 설명했다.

시멘텍은 두쿠가 스턱스넷과 상당한 부분에서 코드를 공유하고 있지만 완전히 다른 역할이 부여돼 있다면서 두쿠는 침입한 시스템에서 정보를 수집해 침입자에게 다시 보내도록 설계돼 있다고 소개했다.

시멘텍은 만약 누군가가 특정회사의 시스템에서 두쿠를 통해 정보수집에 성공한다면 이같은 정보를 그 회사 제품이 사용되는 전세계 모든 산업통제시스템에 대한 공격에 사용할 수 있다고 우려했다.

이와 관련, 시멘텍 보안기술·대응 담당 수석책임자인 게리 에간은 abc뉴스와 가진 인터뷰에서 지금은 아마 탐색단계로 보인다면서 분명하게 나타나고 있는 징후들을 볼 때 새로운 공격이 계획되고 있는 것 같다고 말했다.

에간은 두쿠가 스스로 복제하거나 전파할 수 없도록 설계됐다면서 이는 이미 침투했던 컴퓨터시스템이 공격대상이란 점을 말해주는 것이라고 말했다.

한편 미 국토안보부 산업통제시스템 사이버 비상대응팀은 이날 발령한 경계경보를 통해 핵심적인 사회기간시설 소유주와 운영자들에게 두쿠에 대한 각별한 주의와 보안조치 강화를 촉구했다.

연합뉴스