[정보보호]제2의 스턱스넷 취약점 패치 시급

한수원 원전 문건을 유출한 공격자가 다시 활동을 시작한 가운데 제2의 스턱스넷 악성코드를 전파시킬 수 있는 마이크로소프트 윈도 보안 취약점이 발견돼 시급한 조치가 필요하다.

마이크로소프트는 이미 긴급 패치(MS15-020)를 내놨다. 하지만 서비스가 종료된 윈도XP는 관련 취약점에 무방비로 노출돼 있어 대책 마련이 시급하다.

15일 보안업계는 2010년 이란 핵시설을 파괴한 스턱스넷 악성코드에 사용된 취약점이 제대로 고쳐지지 않은 것을 발견하고 사용자 주의를 당부했다.

스턱스넷 악성코드는 윈도를 통해 감염돼 지멘스 산업소프트웨어와 장비를 공격한다. 스턱스넷은 당시 이란 전체 원심분리기의 5분의 1가량을 파괴한 것으로 알려졌다.

윈도 시스템에 휴대용저장장치(USB)를 끼우면 악성코드가 바로 실행된다. 마이크로소프트는 2010년 해당 취약점을 패치했다. 하지만 최근 보안 전문가는 해당 취약점이 제대로 고쳐지지 않은 것을 밝혀냈다. 마이크로소프트 패치를 우회해 제2의 스턱스넷을 실행할 수 있는 취약점이다. 마이크로소프트도 이 같은 문제를 확인하고 긴급 패치를 배포했지만 여전히 빈틈은 존재한다.

문제는 윈도XP 이하 버전이다. 적지 않은 수의 기업과 기관이 스턱스넷의 표적인 산업제어시스템 등에 윈도XP와 이하 버전을 여전히 사용하고 있다. 국내 원자력 발전소에서도 윈도XP 이하 버전 PC가 상당수 운영 중인 것으로 알려졌다. 게다가 이들 PC는 폐쇄망안에 존재한다는 이유로 보안 업데이트도 제대로 이뤄지지 않는다. 지난해 12월 한수원이 대대적으로 제어망 내부 악성코드 조사를 했지만 당시 알려지지 않았던 취약점이다.

최상명 하우리 차세대보안연구센터장은 “마이크로소프트가 긴급 윈도 보안업데이트로 해당 취약점을 수정했지만 윈도XP는 무방비 상태”라며 “윈도XP는 언제든지 악성코드 공격에 노출되는 제로데이 취약점을 그대로 안고 사용할 수밖에 없는 환경”이라고 설명했다.

윈도XP는 웹에서 갓모드 기법을 이용한 취약점 공격이 이뤄지면 악성코드에 자동으로 감염된다. 윈도XP 이하 제품에서는 이번에 발견된 취약점까지 더해 두개의 제로데이 취약점이 존재한다.

최 센터장은 “특히 폐쇄망으로 운영되는 시설은 자료 전송용으로 USB를 많이 쓰는데 이때 스턱스넷과 유사한 악성코드 공격을 받을 수 있다”며 각별한 주의를 요구했다.

김인순기자 insoon@etnews.com