물리학·컴파일러 구조·산업 시스템 이해를 모두 결합한 고난도 군사 사이버 무기 사례
[보안뉴스 김형근 기자] 시만텍(Symantec)과 카본 블랙(Carbon Black) 연구팀의 최신 분석 결과, 과거 발견된 루아(Lua) 기반 악성코드 ‘패스트16’(Fast16)이 핵무기 개발 과정의 우라늄 압축 시뮬레이션을 정밀하게 조작하기 위해 설계된 사이버 사보타주(파괴 공작) 도구였던 것으로 확인됐다.
[출처: gettyimagesbank]
이 악성코드는 산업용 시뮬레이션 소프트웨어인 LS-DYNA와 AUTODYN 내부에 후킹 엔진을 삽입한 뒤, 폭발 장치로 우라늄이 충격 압축되며 임계 밀도인 ‘30g/㎤’를 초과하는 순간에만 교란 행위를 활성화하도록 설계됐다. 단순 시스템 파괴가 아닌, 핵심 물리 계산값 자체를 은밀히 왜곡하는 방식이다.
최근 센티넬원(SentinelOne)의 분석에 따르면 패스트16은 역사상 최초의 산업 사보타주 프레임워크로 평가된다. 사상 최악의 산업 시설 파괴 악성코드로 알려진 스턱스넷(Stuxnet 0.5)보다 최소 2년 앞선 2005년부터 이미 개발이 시작된 것으로 확인됐다.
해당 악성코드의 존재는 2017년 익명의 해킹 그룹 ‘섀도 브로커스’(The Shadow Brokers)가 유출한 문건을 통해 처음 외부에 알려졌다. 당시 문건에는 미국 국가안보국(NSA)과 연계된 것으로 추정되는 국가 지원 해커 조직 ‘이퀘이션 그룹’(Equation Group)이 사용한 도구 목록이 포함돼 있었다.
패스트16은 당시 널리 사용되던 공학 시뮬레이션 프로그램의 수학 계산 로직을 조작하기 위해 총 101개의 후킹 규칙을 내장했으며, 타깃 소프트웨어가 LS-DYNA와 AUTODYN 두 종류였다는 점도 최종 확인됐다.
또한 악성코드 개발자는 타깃 소프트웨어의 빌드와 버전에 맞춰 9~10개의 후킹 그룹을 별도로 제작했다. 이는 공격 대상이 이상 현상을 감지한 뒤 구버전으로 롤백하거나 신버전으로 업데이트하는 상황까지 고려해 사보타주를 지속하도록 설계됐음을 보여준다.
패스트16은 특정 보안 제품이 설치된 PC에서는 감염을 우회하는 고도의 은닉 기능도 갖추고 있었다. 동시에 동일 네트워크 내 다른 엔드포인트로 자동 전파되는 기능도 포함됐다. 이에 따라 연구소 내부 어느 시스템에서 시뮬레이션을 수행하더라도 조작된 연산 결과만 출력되도록 정밀하게 설계된 것으로 분석된다.
이는 국가 지원 해커 조직이 원자력 발전소의 지멘스 PLC를 공격했던 나탄즈 핵시설 스투크스넷 사태보다 훨씬 이전인 약 20년 전부터 이미 소프트웨어를 무기화해 국가 핵심 인프라를 교란해왔음을 시사한다.
보안 전문가들은 “2005년 당시 상태방정식(EOS)의 물리적 구조를 정확히 이해하고, 컴파일러 호출 규약과 시뮬레이션 발동 임계값까지 정밀하게 계산해 공격을 설계했다는 점 자체가 경악스러운 수준”이라고 평가했다.
결국 패스트16은 특정 공급업체 제품을 넘어, 해당 시스템이 제어하는 실제 물리 공정 자체를 겨냥했다는 점에서 스투크스넷과 동일한 기술적 계보를 공유하는 최초의 군사적 사이버 무기로 평가된다.
이번 분석은 사이버 사보타주의 역사가 기존 학계 정설보다 훨씬 앞선 2000년대 중반부터 국가 안보 차원에서 은밀하게 전개돼 왔음을 보여주는 중대한 사례로 평가된다. 특히 단순 데이터 탈취나 시스템 마비를 넘어 핵무기 설계 시뮬레이션의 수학 계산 엔진을 미세하게 왜곡해 연구진이 잘못된 설계 데이터를 신뢰하도록 유도했다는 점에서, 탐지와 방어가 극도로 어려운 고차원적 위협으로 분석된다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 시만텍(Symantec)과 카본 블랙(Carbon Black) 연구팀의 최신 분석 결과, 과거 발견된 루아(Lua) 기반 악성코드 ‘패스트16’(Fast16)이 핵무기 개발 과정의 우라늄 압축 시뮬레이션을 정밀하게 조작하기 위해 설계된 사이버 사보타주(파괴 공작) 도구였던 것으로 확인됐다.
[출처: gettyimagesbank]
이 악성코드는 산업용 시뮬레이션 소프트웨어인 LS-DYNA와 AUTODYN 내부에 후킹 엔진을 삽입한 뒤, 폭발 장치로 우라늄이 충격 압축되며 임계 밀도인 ‘30g/㎤’를 초과하는 순간에만 교란 행위를 활성화하도록 설계됐다. 단순 시스템 파괴가 아닌, 핵심 물리 계산값 자체를 은밀히 왜곡하는 방식이다.
최근 센티넬원(SentinelOne)의 분석에 따르면 패스트16은 역사상 최초의 산업 사보타주 프레임워크로 평가된다. 사상 최악의 산업 시설 파괴 악성코드로 알려진 스턱스넷(Stuxnet 0.5)보다 최소 2년 앞선 2005년부터 이미 개발이 시작된 것으로 확인됐다.
해당 악성코드의 존재는 2017년 익명의 해킹 그룹 ‘섀도 브로커스’(The Shadow Brokers)가 유출한 문건을 통해 처음 외부에 알려졌다. 당시 문건에는 미국 국가안보국(NSA)과 연계된 것으로 추정되는 국가 지원 해커 조직 ‘이퀘이션 그룹’(Equation Group)이 사용한 도구 목록이 포함돼 있었다.
패스트16은 당시 널리 사용되던 공학 시뮬레이션 프로그램의 수학 계산 로직을 조작하기 위해 총 101개의 후킹 규칙을 내장했으며, 타깃 소프트웨어가 LS-DYNA와 AUTODYN 두 종류였다는 점도 최종 확인됐다.
또한 악성코드 개발자는 타깃 소프트웨어의 빌드와 버전에 맞춰 9~10개의 후킹 그룹을 별도로 제작했다. 이는 공격 대상이 이상 현상을 감지한 뒤 구버전으로 롤백하거나 신버전으로 업데이트하는 상황까지 고려해 사보타주를 지속하도록 설계됐음을 보여준다.
패스트16은 특정 보안 제품이 설치된 PC에서는 감염을 우회하는 고도의 은닉 기능도 갖추고 있었다. 동시에 동일 네트워크 내 다른 엔드포인트로 자동 전파되는 기능도 포함됐다. 이에 따라 연구소 내부 어느 시스템에서 시뮬레이션을 수행하더라도 조작된 연산 결과만 출력되도록 정밀하게 설계된 것으로 분석된다.
이는 국가 지원 해커 조직이 원자력 발전소의 지멘스 PLC를 공격했던 나탄즈 핵시설 스투크스넷 사태보다 훨씬 이전인 약 20년 전부터 이미 소프트웨어를 무기화해 국가 핵심 인프라를 교란해왔음을 시사한다.
보안 전문가들은 “2005년 당시 상태방정식(EOS)의 물리적 구조를 정확히 이해하고, 컴파일러 호출 규약과 시뮬레이션 발동 임계값까지 정밀하게 계산해 공격을 설계했다는 점 자체가 경악스러운 수준”이라고 평가했다.
결국 패스트16은 특정 공급업체 제품을 넘어, 해당 시스템이 제어하는 실제 물리 공정 자체를 겨냥했다는 점에서 스투크스넷과 동일한 기술적 계보를 공유하는 최초의 군사적 사이버 무기로 평가된다.
이번 분석은 사이버 사보타주의 역사가 기존 학계 정설보다 훨씬 앞선 2000년대 중반부터 국가 안보 차원에서 은밀하게 전개돼 왔음을 보여주는 중대한 사례로 평가된다. 특히 단순 데이터 탈취나 시스템 마비를 넘어 핵무기 설계 시뮬레이션의 수학 계산 엔진을 미세하게 왜곡해 연구진이 잘못된 설계 데이터를 신뢰하도록 유도했다는 점에서, 탐지와 방어가 극도로 어려운 고차원적 위협으로 분석된다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지><
.gif)
.png)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
