North Korea prepares for malware Stuxnet attack

북한이 스턱스넷(Stuxnet) 등 산업 시스템을 겨냥한 악성코드 공격에 대응 방안을 마련하고 있는 것으로 확인됐다. 이는 북한도 주요 산업 시설에 대한 사이버공격을 우려하고 있다는 것을 보여준다.

12월 13일 대북 소식통에 따르면 김일성종합대학이 최근 발행한 김일성종합대학 학보 정보과학 2019년 제65권 제3호에 ‘공업조종체계(시스템)에서 Snort를 이용한 침입 검출의 한 가지 방법’라는 논문이 수록됐다.

논문은 “공업조종망의 보안 요구가 전통적인 IT체계의 보안 요구 보다 훨씬 높으며 공업조종체계의 보안은 여러 문제점들을 가지고 있다”며 “최근 공업조종체계를 하나의 독립적인 체계로 보고 이 체계에 대한 보안체계를 독립적인 보안체계로 발전시켜 나가고 있다”고 설명했다.

논문은 “이런 보안체계들이 SCADA체계와 분산형조종체계(DCS)를 중요한 안전보호 대상으로 취급하고 있다”며 “공업조종체계는 초기에는 하나의 상대적으로 닫힌 체계로 등장했으나 최근에 인터넷 기술, 통신기술, 대용량자료 기술이 급속히 발전하고 이 기술이 공업조종영역으로 확장되면서 개방적인 체계로 됐다”고 주장했다. 이에 공업조종체계에 대한 해킹 공격이 더욱 많아지고 있으며 공업조종체계에 대한 정보보안을 실현하는 문제가 더욱 중요해지고 있다는 것이다.

논문은 “최근에 세계적 범위에서의 공업조종체계에 대한 해킹 공격 사건들이 자주 발생해 엄중한 후과를 초래했다”며 “Stuxnet 바이러스 공격 사건, 여러 나라들의 전력공급망에 대한 해킹 공격 사건들은 공업조종체계에 대한 보안을 고도로 중시할 것을 요구한다”고 주장했다.

북한 연구원들은 스턱스넷 사건을 직접 언급하며 대책을 마련해야 한다고 밝힌 것이다. 스턱스넷은 2010년 6월에 발견된 악성코드로 지멘스의 산업용 소프트웨어 및 장비 등을 공격한다.

스턱스넷은 이란의 우라늄 농축 시설 등을 공격할 것으로 알려져 있다. 일부 보안 전문가들은 스턱스넷의 정교함을 거론하며 국가적인 차원에서 공격이 기획, 준비됐을 것이라고 주장하고 있다. 미국, 이스라엘 등이 이란 핵시설을 공격하기 위해 만든 악성코드라는 것이다.

북한도 스턱스넷이 미국, 이스라엘의 소행이라고 주장하고 있다. 북한 "미국이 사이버테러의 왕초"

즉 북한 연구원들은 스턱스넷 사건과 같은 사례를 막는 기술을 개발하고 있다는 것이다.

논문은 정보체계들에 전통적으로 이용되던 스노트(Snort) 침입검출 모형을 공업조종체계의 특성에 맞게 갱신해 새로운 공업조종체계의 침입검출 모형을 작성하고 갱신된 침입검출모형의 성능을 분석했다고 밝혔다. 스노트(Snort)는 오픈 소스 네트워크 침입 차단 시스템이다.

논문은 정보체계의 전통적인 침입검출체계가 여러 네트워크 통신 규약들에 대해 설계된 것이므로 공업조종체계에서 전문적으로 이용하는 통신규약에 대해서는 효과적이지 못하다고 주장했다.

이에 스노트 침입검출체계를 공업조종체계에 적용할 때 여기에 공업조종체계의 전용 통신규약에 대한 부분을 추가해 침입검출체계를 공업조종체계의 전문적인 침입검출체계로 만들었다는 것이다. 여기에 적용된 통신규약은 모드버스(Modbus) TCP 규약이라고 한다. 모드버스는 공장 기반 제품들 사이에 정보를 교환하기 위하여 1978년에 개발된 통신 규약이다.

북한 연구원들은 새로 개발한 침입검출모형과 과거 모형을 대상으로 다양한 공격을 통해 연구 결과를 검증했다고 한다. 북한이 제시한 공격 유형은 Nmap, Imap, Backdoor, Portsweep, Dos, Buffer, Flood, Tamper 등이다. 

북한 연구원들은 새로운 침입검출모형은 검출률이 98.17%로서 전통적인 침입검출모형의 검출률 보다 2.26% 더 높아졌다고 주장했다.

이 논문으로 볼 때 북한은 산업 시스템에 대한 침입을 탐지하는 기술을 만든 것으로 추정된다. 북한은 오픈 소스 보안 솔루션과 산업 부문 통신규약을 활용해 이같은 기술을 개발했다. 새로운 기술이 과거 기술 보다 더 뛰어나다고 결론을 내린 만큼 북한 연구원들은 이 기술을 현장에 적용할 것으로 예상된다.

이를 통해 북한 역시 핵시설, 에너지시설, 산업시설 등에 대한 사이버공격을 우려하고 있다는 점을 알 수 있다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지