전문가들, 'Fast16' 악성코드가 이란의 핵무기 실험을 방해했다고 확인

한 보안 회사는 수년 전에 발견되었으나 최근에야 완전히 분석된 악성 코드인 'Fast16'이 핵무기 폭발 시뮬레이션 테스트를 비밀리에 방해하는 데 사용되었음을 최근 확인했습니다. 그 목적은 무기를 직접 파괴하려는 것이 아니라 테스트 데이터를 조작하여 엔지니어들이 핵 실험이 실패했다고 오해하도록 유도하여 핵 프로그램의 발전을 늦추는 것이었습니다.

보안업체 시만텍 위협 추적팀의 최신 분석에 따르면 'Fast16'은 최소 두 가지 고정밀 시뮬레이션 소프트웨어인 LS-DYNA와 AUTODYN을 표적으로 삼아 고폭탄과 핵탄두의 물리적 프로세스를 시뮬레이션하는 데 사용될 때 주요 테스트 데이터를 비밀리에 대체합니다. 악성 코드는 시뮬레이션이 '초임계' 상태에 가까워지면 조치를 취하고 엔지니어 앞에 표시된 값을 조용히 조작하여 엔지니어가 핵 연쇄 반응을 촉발할 만큼 코어 압력이 충분하지 않다고 잘못 믿게 만듭니다.

핵 전문가들은 코드 세부사항과 활성 기간으로 볼 때 'Fast16'의 목표는 이란의 초기 핵무기 프로그램이 거의 확실하다고 지적했습니다. 미국 싱크탱크인 과학국제안보연구소 설립자인 데이비드 올브라이트는 당시 핵무기 연구개발에 종사하는 다른 나라를 표적으로 삼는 것이 이론적으로는 가능했지만, 시기와 개발에 필요한 접근권, 우라늄 물질에 대한 초점 모두 이란의 핵무기 노력이 가장 유력한 표적으로 지적됐다고 말했다. 그는 “북한이나 시리아 등 국가를 완전히 배제할 수는 없지만 모든 핵심 요소를 종합해 볼 때 여전히 이란의 핵무기 프로그램이 가장 유력한 표적”이라고 강조했다.

잘 알려진 "Stuxnet"과 비교하면 "Fast16"은 이전 버전이 아니라 대략 동시에 등장한 또 다른 "디지털 무기"입니다. "Fast16"의 코드는 2005년 8월 30일에 작성되었으며, 증거에 따르면 Stuxnet은 비슷한 시기에 개발을 시작했지만 후자는 2007년까지 이란의 원심분리기 시스템에서 "삭제"되지 않았습니다. "Stuxnet"은 원심분리기의 작동을 조작하고 모니터링 데이터를 위조함으로써 이란의 우라늄 농축 능력을 조용히 약화시켰습니다. "Fast16"은 또 다른 측면에서 작동했습니다. 즉, 물리적 장비를 파괴하지는 않았지만 핵무기 설계 팀이 시뮬레이션 결과에 대한 정확한 지식을 잃게 만들었습니다.

연구원들은 Fast16이 폭발성이 높은 압축 프로세스의 중요한 단계를 목표로 삼았다는 점에 주목했습니다. 즉, 시뮬레이션에서 우라늄 코어의 밀도가 입방센티미터당 약 30그램에 도달했을 때(압축된 우라늄이 액화되기 시작하는 밀도 임계값 바로 아래) 악성코드가 데이터를 가로채서 변조하기 시작했습니다. 실제 물리적 매개변수는 몇 퍼센트 포인트 낮은 잘못된 값으로 대체됩니다. 차트에서는 이러한 변동이 정상으로 보이지만 엔지니어가 "압력이 부족하여 설계가 실패했습니다"라는 잘못된 결론을 내리기에 충분합니다. 이로 인해 팀은 지속적으로 계산을 조정하고, 폭발량을 늘리거나, 구조 설계를 수정하고, 끝없는 "버그 사냥"과 내부 분쟁으로 시간과 자원을 낭비하게 됩니다.

시만텍 팀은 또한 "Fast16"이 여러 버전의 LS-DYNA에 대한 정밀한 조정을 제공하며 이러한 지원이 소프트웨어 릴리스 순서에 따라 선형적으로 증가하지 않고 이를 보완하기 위해 "점프"된다는 사실도 발견했습니다. 이는 공격자가 대상 엔지니어링 팀이 언제 어떤 버전의 시뮬레이션 소프트웨어로 전환했는지에 대한 인텔리전스를 계속 획득하고 그에 따라 악성 코드를 업데이트하여 대상이 어떻게 업그레이드되거나 롤백되는지에 관계없이 시뮬레이션 결과가 계속 조작되도록 할 가능성이 있음을 의미합니다. 동시에 악성 코드는 내부 네트워크 내에서 측면으로 전파되어 시뮬레이션을 실행하는 데 사용된 모든 터미널에서 동일한 변조된 데이터를 출력하게 하여 피해자가 시스템이 손상되었다고 의심할 가능성을 더욱 줄입니다.

'Fast16'의 존재는 2017년 미국 국가안보국(NSA) 툴 문서 유출을 통해 보안 연구원들에 의해 처음 알려졌다. 이 툴들은 수수께끼의 해커 그룹 '섀도우 브로커스(Shadow Brokers)'에 의해 도난당해 일괄적으로 공개됐다. 문서에 언급된 'Fast16'은 실험실에 머무르는 개념 증명이 아닌 실제로 활용되는 공격 능력으로 설명된다. 당시 실제 샘플이 유출된 것은 아니었지만, 2017년 10월 악성코드 탐지 플랫폼인 VirusTotal에 'Fast16' 샘플이 업로드되어 이후 2년 동안 눈에 띄지 않았습니다. SentinelOne 연구원 Juan Andres Guerrero-Saade가 2019년에 이 샘플을 발견하고 독립 연구원 Vitaly Kamluk과 팀을 이루어 인공 지능을 사용하여 기능을 해체하고 고정밀 시뮬레이션 계산을 위한 본질이 처음 공개되기 전까지는 그렇지 않았습니다.

당시 SentinelOne 팀은 "Fast16"이 핵 폭발 시뮬레이션에 사용되는 컴퓨팅 소프트웨어를 방해하기 위해 설계되었을 가능성이 있다고 추측했으며, 공개 정보에 따르면 이란이 폭발 연구에 해당 소프트웨어를 사용한 것으로 밝혀졌기 때문에 LS-DYNA를 가장 유력한 표적 중 하나로 나열했습니다. 이제 Symantec의 최신 기술 분석을 통해 이를 확인하고 AUTODYN도 공격 범위 내에 있음을 확인했습니다. 두 소프트웨어 모두 산업 및 과학 연구 분야에서 일반적으로 사용되는 도구입니다. 금속 강도, 충돌 충격, 항공우주 및 차량 안전과 같은 일련의 고압 물리학 시나리오를 연구하는 데 사용할 수 있습니다. 또한 높은 폭발성 압축 상태에서 핵탄두의 거동을 시뮬레이션하는 데에도 적합합니다.

Fast16의 작전을 이해하려면 이란 핵 프로그램의 역사적 배경으로 돌아갈 필요가 있다. 2002년 이란의 망명 반대 단체인 국가저항협의회(National Council of Resistance)는 워싱턴에서 기자회견을 열어 이란이 비밀리에 핵무기 프로그램을 추진하고 있음을 폭로했다. 국제원자력기구(IAEA)에 신고되지 않은 시설 다수가 노출됐다. 2003년 IAEA 현장 조사에서는 이란의 핵 활동이 핵확산금지조약에 따라 공개해야 하는 수준을 훨씬 초과했으며 군사적 사용의 의심스러운 징후가 있다는 사실이 밝혀졌습니다. 국제적인 압력으로 인해 이란은 2004년 일부 핵 활동을 일시적으로 중단하고 유럽연합과 협상을 시작하기로 합의했습니다. 그러나 2005년 여름 협상이 결렬되자 이란은 농축 활동 재개를 발표하고 나탄즈 시설에 원심분리기 설치 및 운영을 추진했습니다.

보안 연구자들은 정보기관들이 이란이 여전히 핵무기 관련 연구를 계속하고 있다고 판단한 것은 2003년부터 2005년 사이라고 추론하고 있는데, 특히 제한된 규모의 실시간 폭발 시험의 한계를 보완하기 위해 컴퓨터 시뮬레이션을 사용한 '아마드 프로젝트(Amad Project)'에서 그러했다. 올브라이트는 미국 정보계가 2007년에 이란이 2003년에 핵무기 프로그램을 중단했다는 평가를 내렸지만, 이스라엘과 독일 같은 국가의 정보 기관들은 이란이 2005년에 더 은밀하고 자금이 줄어든 방식으로 관련 작업을 재개했다고 오랫동안 믿어 왔다고 지적했습니다. 이 단계에서는 물리적 실험이 제한되고 컴퓨터 시뮬레이션의 상태가 높아집니다. 이는 또한 시뮬레이션 소프트웨어의 정확한 파괴가 매우 비용 효율적인 공격 경로가 될 것임을 의미합니다.

"Fast16"은 매우 은밀한 "소프트 파괴" 도구로 설계되었습니다. 모든 대상 호스트를 성급하게 감염시키지는 않습니다. 대신 먼저 시스템에 특정 보안 제품 18개가 설치되어 있는지 확인합니다. 이러한 보호 소프트웨어가 발견되면 캡처 및 분석 위험을 줄이기 위해 자동으로 종료됩니다. 시뮬레이션 환경에 몰래 들어간 후에는 명백한 이상 현상이 적극적으로 발생하지 않습니다. 대신, 고폭성 시뮬레이션이 시작되었음을 감지하고 특정 수학적 모델을 사용하면 작동을 시작합니다. 핵폭발 시뮬레이션에서는 다양한 수학적 모델을 사용할 수 있습니다. 차이점은 압력, 부피, 밀도 및 극한 조건에서의 상호 작용과 같은 변수에 대한 설명에 있습니다. "Fast16"은 공격의 정확성과 효율성을 보장하기 위해 특정 모델 중 3개가 활성화된 것을 감지한 경우에만 변조에 개입합니다.

핵무기 설계 측면에서 이란은 구형 우라늄 코어 외부에 고폭약을 고르게 코팅한 뒤 점화를 통해 충격파를 발생시켜 금속 '비행 조각'을 안쪽으로 밀어 망치처럼 우라늄 코어를 때려 고압·고온 상태로 만드는 구형 내파 장치에 대한 고폭 부품 시험을 실시한 것으로 추정된다. 이 상태에서는 우라늄 핵에서 방출된 중성자가 다른 원자핵과 자주 충돌해 연쇄분열 반응을 일으켜 핵폭발을 일으킨다. 엔지니어들은 "초임계" 상태를 달성하기 위한 최적의 솔루션을 찾기 위해 시뮬레이션을 통해 폭발물 레이아웃, 폭발 타이밍 및 재료 매개변수를 지속적으로 조정하며, "Fast16"은 이 중요한 프로세스 동안 판독한 숫자를 변경합니다.

올브라이트의 분석에 따르면 악성코드가 실제 값을 1~5% 정도만 낮추면 차트의 곡선 변화가 육안으로는 완전히 정상적으로 보이지만 결과에 대한 엔지니어의 판단을 바꾸기에 충분하다고 본다. 그들은 충격이 불충분하거나, 압축이 충분하지 않거나, 설계에 결함이 있다고 생각할 수 있으므로 모델과 탄약 구성을 반복적으로 조정하며, 각 시뮬레이션 실행은 조작되고 잘못된 결론으로 ​​이어질 것입니다. 이 경우 공격의 목적은 특정 폭발을 "통제 불능"으로 만드는 것이 아니라 계속해서 개발 리듬을 방해하고 팀의 신뢰를 소모하며 내부 마찰과 설계 계획에 대한 의구심을 조성하여 전반적인 핵무기 개발 프로세스를 지연시키는 것입니다.

시만텍 연구원 Vikram Thakur는 "Fast16"이 기술적으로 단순해 보일 수 있지만 공격자가 대상 소프트웨어의 내부 메커니즘에 능숙할 뿐만 아니라 핵의 물리적 프로세스, 재료 특성, 최소한의 변경으로 원하는 오도 효과를 달성하는 방법에 대한 깊은 이해가 필요하기 때문에 "매우 소수의 엘리트 공격" 중 하나라고 지적했습니다. 그는 2005년에 정밀 엔지니어링 지식을 기반으로 이러한 "데이터 무결성 공격 및 방어" 악성 코드를 생성하는 것은 "어느 시대에도 드물고 당시로서는 훨씬 더 상상할 수 없는 일"이라고 믿습니다.

그럼에도 불구하고 Thakur는 Stuxnet이 여전히 복잡성 측면에서 본 것 중 가장 발전된 악성 코드 중 하나라고 강조했습니다. 두 가지의 공통점은 둘 다 "데이터 수준"에 공격을 집중한다는 것입니다. 즉, 하드웨어를 직접적으로 손상시키는 대신 시스템에서 출력되는 데이터를 조작하여 피해자가 잘못된 정보에 빠져들게 합니다. 동시에 공격자는 고도로 격리되고 물리적으로 격리된 보안 환경을 뚫고 이러한 환경이 어떻게 작동하는지 정확하게 이해하고 발각되지 않고 극도로 정교한 수정을 구현해야 합니다.

Stuxnet은 Natanz 외부 시스템으로 확산되어 충돌을 일으킬 때까지 발견되지 않았습니다. 약 3년 동안 휴면 상태였습니다. 그것이 폭로된 후 이란의 핵 프로그램에 대한 영향은 물리적 손상에 그치지 않고 전체 엔지니어링 시스템에 대한 신뢰의 파괴도 포함했습니다. 이후 이란 엔지니어들은 모든 실패에 대해 높은 수준의 의심을 유지해 왔습니다. 일반적인 장비 노후화나 우발적인 오류도 외부 방해 행위의 결과로 의심될 수 있습니다. 시만텍은 "Fast16"을 통해 밝혀진 사실이 이란의 핵 프로젝트에 심리적 압박을 가할 것이라고 믿습니다. 이는 의사 결정자와 기술 담당자에게 컴퓨터 시뮬레이션 소프트웨어에 숨겨진 데이터조차도 신뢰할 수 없을 수 있다는 점을 상기시켜줍니다.

연구원들은 일반적으로 "Fast16"과 "Stuxnet"이 이란의 핵 프로그램에 맞서 서방이 시작한 더 크고 다층적인 작전의 일부일 가능성이 있다고 믿고 있습니다. 지난 20년 동안 미국과 동맹국들은 이란이 핵무기 능력을 획득하는 것을 지연하거나 방지하기 위해 사이버 공격부터 표적 공격까지 다양한 방법을 계속 사용해 왔습니다. 전통적인 "운동적 공격"은 이란의 핵 인프라를 완전히 파괴하지 않았으며 새로 공개된 "Fast16" 이야기는 이 장기 게임에 새로운 장을 추가합니다. 이는 전통적인 군사적 압력에 더해 겉으로는 온화해 보이지만 실제로는 핵심 깊숙이 들어가는 디지털 파괴를 통해 대규모 폭발을 일으키지 않고도 핵 프로젝트의 일정과 정치적 칩을 변경할 수 있음을 보여줍니다.

미국과 이스라엘이 여전히 압력과 협상을 통해 이란의 핵 프로그램을 제한하려고 노력하고 있는 상황에서 "Fast16"의 노출은 경고로 간주됩니다. 이란의 핵 정책 입안자와 엔지니어들에게는 소위 "보안 경계"가 점점 더 흐려지고 있으며, 심지어 겉보기에 중립적이고 신뢰할 수 있는 실험실의 시뮬레이션 소프트웨어라도 모든 링크가 디지털 파괴 행위의 진입점이 될 수 있습니다.