Research Review: To Kill a Centrifuge: A Technical Analysis of What Stuxnet’s Creators Tried to Achieve

Analyzed Date: 2025.12.15 Keywords: Stuxnet, Cyber-Physical_Attack, ICS_Security, PLC_Exploitation, SCADA Source: The Langner Group (2013) Full Text Link

---

Day 1 – Research Context and Stuxnet Overview

(연구 배경 및 Stuxnet 개요)

1. Stuxnet의 역사적 의의

A. 사이버 전쟁의 서막

• 정의: Stuxnet은 역사상 최초의 사이버-물리 무기(Cyber-Physical Weapon)로 기록됩니다. 2010년 발견 이전까지 사이버 공격은 주로 데이터 탈취, 서비스 거부, 금전적 손실에 초점을 맞췄습니다.
• 패러다임 전환: Stuxnet은 디지털 수단으로 물리적 파괴를 달성한 최초의 사례입니다. 이는 사이버 보안의 범위가 정보 보호를 넘어 물리적 안전까지 확장되어야 함을 입증하였습니다.

구분	기존 사이버 공격	Stuxnet
목표	데이터, 시스템 가용성	물리적 장비 파괴
영향	정보 유출, 서비스 중단	원심분리기 로터 손상
대상	IT 시스템	산업제어시스템(ICS)
복잡성	단일 레이어	IT → ICS → 물리적 레이어

B. 저자 Ralph Langner의 역할

• 기여: Ralph Langner는 독일의 ICS 보안 전문가로, Stuxnet의 실제 공격 대상(이란 나탄즈 핵시설)을 최초로 규명하였습니다.
• 분석 범위: 그의 분석은 단순 악성코드 역공학을 넘어 공격 대상 플랜트의 물리적 설계, 계측 시스템, 제어 로직까지 포괄합니다.

2. 공격 대상: 이란 나탄즈 핵시설

A. IR-1 원심분리기의 취약점

• 배경: 이란의 우라늄 농축 프로그램은 IR-1 원심분리기를 사용합니다. 이 설계는 1970년대 유럽 Urenco 설계를 파키스탄 핵 밀매업자 A.Q. Khan이 유출한 것입니다.
• 핵심 취약점:
  • 로터 취약성: 63,000 RPM으로 회전하는 로터는 진동, 과압, 과속에 매우 민감합니다.
  • 낮은 신뢰성: 파키스탄보다 10년 이상 긴 개발 기간에도 불구하고 지속적인 고장이 발생하였습니다.
  • 보상 설계: 신뢰성 문제를 극복하기 위한 과도한 계측/제어 시스템이 도입되었습니다.

B. 캐스케이드 보호 시스템 (CPS)

• 목적: 이란은 원심분리기의 낮은 신뢰성을 보상하기 위해 캐스케이드 보호 시스템(Cascade Protection System)을 구축하였습니다.
• 핵심 기능:

┌─────────────────────────────────────────────────────────────┐
│ Cascade Protection System │
├─────────────────────────────────────────────────────────────┤
│ 기능 1: 개별 원심분리기 격리 │
│ - 진동 감지 시 해당 원심분리기를 밸브로 차단 │
│ - 프로세스 중단 없이 고장 장비 교체 가능 │
├─────────────────────────────────────────────────────────────┤
│ 기능 2: 스테이지 배기 밸브 │
│ - 다수 원심분리기 격리 시 발생하는 과압 해소 │
│ - 압력 컨트롤러가 자동으로 배기 밸브 제어 │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│ Level 5: Enterprise │
│ (인터넷, 기업 네트워크) │
├─────────────────────────────────────────────────────────────┤
│ Level 4: Business │
│ (ERP, 이메일 등) │
├─────────────── DMZ / Firewall ──────────────────────────────┤
│ Level 3: Operations │
│ (SCADA 서버, 히스토리안) │
├─────────────── Industrial Firewall ─────────────────────────┤
│ Level 2: Control │
│ (HMI, Engineering Station) │
├─────────────────────────────────────────────────────────────┤
│ Level 1: Field Control │
│ (PLC, RTU) │
├─────────────────────────────────────────────────────────────┤
│ Level 0: Process │
│ (센서, 액추에이터, 밸브) │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│ PIPEDREAM (2022) │
├─────────────────────────────────────────────────────────────┤
│ 특징: 실제 배포 전 발견된 “ICS 공격 툴킷” │
│ 타겟: Schneider Electric, OMRON PLC, OPC UA 서버 │
│ 능력: 스캐닝, 정찰, 조작, 파괴 기능 모듈화 │
├─────────────────────────────────────────────────────────────┤
│ Stuxnet과의 비교: │
│ - Stuxnet: 단일 목표 맞춤형 │
│ - PIPEDREAM: 다중 벤더/프로토콜 지원 범용 툴킷 │
│ - “ICS 공격의 Metasploit"으로 불림 │
└─────────────────────────────────────────────────────────────┘

• 핵심 교훈: ICS 공격이 툴킷화/상품화되어 진입 장벽이 낮아지고 있음을 시사합니다.

3. ICS 악성코드의 진화 추세

A. 진화 타임라인

연도	악성코드	타겟	진화 포인트
2010	Stuxnet	이란 원심분리기	최초의 사이버-물리 무기
2016	Industroyer	우크라이나 전력망	ICS 프로토콜 직접 구현
2017	Triton	중동 SIS	안전 시스템 타겟팅
2022	PIPEDREAM	다중 벤더 PLC	범용 ICS 공격 툴킷

B. 주요 진화 특성

• 특수성 → 범용성: Stuxnet의 단일 목표 맞춤형에서 PIPEDREAM의 다중 벤더 지원으로 진화하였습니다.
• 프로세스 → 안전: 생산 프로세스 방해에서 안전 시스템 무력화로 목표가 확대되었습니다.
• 국가 → 툴킷: 국가 수준 자원 필요에서 재사용 가능한 툴킷으로 진입 장벽이 하락하였습니다.

4. 학술적 영향 및 후속 연구

A. Stuxnet이 촉발한 연구 분야

연구 분야	설명	대표 연구
ICS 프로토콜 보안	Modbus, DNP3, IEC 104 등의 취약점 분석	S4 Conference 발표들
PLC 펌웨어 분석	PLC 로직 검증 및 무결성 확인 기법	Project Basecamp (2012)
사이버-물리 시뮬레이션	ICS 테스트베드 구축 방법론	INL, NIST 테스트베드
ICS 위협 인텔리전스	ICS 특화 ATT&CK 프레임워크	MITRE ATT&CK for ICS

B. 산업적 대응

• ICS-CERT 강화: 미국 CISA의 ICS-CERT가 전담 조직으로 확대되었습니다.
• IEC 62443 채택 가속: 산업 사이버보안 표준의 의무화가 확산되었습니다.
• OT SOC 등장: IT SOC와 별도로 OT 전용 보안관제센터가 구축되기 시작하였습니다.

5. 개인 인사이트 (Personal Insight)

Day 4 분석을 통해 Stuxnet이 ICS 보안 역사의 전환점이었음을 재확인하였습니다. 주요 통찰은 다음과 같습니다:

• Langner의 선견지명: 2013년 “공격 기법은 복제 가능하다"는 주장이 Industroyer, Triton, PIPEDREAM으로 입증되었습니다.
• 위협의 민주화: ICS 공격이 툴킷화되면서 국가 수준이 아닌 공격자도 위협이 될 수 있습니다.
• 실무적 함의: OT/ICS 보안 컨설팅 시, Stuxnet만이 아니라 **후속 악성코드들의 TTP(전술, 기술, 절차)**까지 포함한 위협 모델링이 필요합니다. 특히 안전계장시스템(SIS)에 대한 별도의 보안 평가가 필수적입니다.

Research Review: To Kill a Centrifuge: A Technical Analysis of What Stuxnet’s Creators Tried to Achieve

Analyzed Date: 2025.12.19 Keywords: Final_Synthesis, OT_Security_Consulting, ICS_Checklist, Cyber_Physical_Defense, Security_Assessment Source: The Langner Group (2013) Full Text Link

---

Day 5 – Conclusion and Practical Implications

(최종 결론 및 실무적 시사점)

1. 연구 최종 요약

본 논문은 Stuxnet에 대한 가장 포괄적인 기술 분석을 통해 사이버-물리 공격의 본질을 규명하였습니다.

A. 핵심 발견 사항

영역	핵심 내용
공격 구조	IT → ICS → Physical의 3단계 공격 모델
두 가지 공격	과압 공격(S7-417, MITM) + 로터 속도 공격(S7-315)
설계 철학	파국적 파괴 회피, 저수율(Low-Yield) 무기로 수명 단축 + 심리적 좌절 유발
침투 경로	Air Gap 우회 - 계약업체/USB를 통한 물리적 접근
은닉 기법	제어시스템 레벨 MITM, 센서 값 녹화/재생

B. Stuxnet이 증명한 것

• 사이버 무기의 실효성: 디지털 수단만으로 물리적 파괴가 가능합니다.
• Air Gap의 한계: 네트워크 격리는 물리적 접근 경로를 차단하지 못합니다.
• 기능이 취약점: ICS 환경에서는 정상 기능이 악용될 수 있습니다.
• 도메인 융합의 필요성: IT 보안만으로는 OT 환경을 보호할 수 없습니다.

2. OT/ICS 보안 패러다임의 변화

A. Before vs After Stuxnet

Before Stuxnet	After Stuxnet
“ICS는 격리되어 있어 안전하다”	Air Gap은 우회 가능하다
“IT 보안 기법을 적용하면 된다”	ICS 특화 위협 모델이 필요하다
“사이버 공격 = 데이터 유출”	사이버 공격 = 물리적 파괴 가능
“국가 수준만 위협이 된다”	기법 확산으로 진입 장벽이 하락하고 있다
“보안 패치로 해결 가능하다”	기능(Feature)은 패치 대상이 아니다

B. 새로운 보안 원칙

1. Assume Breach: OT 환경도 침해를 가정하고 탐지/대응 역량을 구축해야 합니다.
2. Defense in Depth: 네트워크 경계뿐 아니라 각 레벨(Purdue 모델)에서 방어해야 합니다.
3. Physical-Cyber Integration: 안전(Safety) 분석과 보안(Security) 분석을 통합해야 합니다.
4. Supply Chain Security: 계약업체와 공급망이 가장 약한 고리가 될 수 있습니다.

3. OT/ICS 보안 컨설팅 체크리스트

Day 1~5 분석을 종합하여 실무에서 활용 가능한 체크리스트를 도출하였습니다.

A. 자산 식별 및 위험 평가

점검 항목	세부 내용	참조
□ 물리적 취약점 식별	프로세스의 물리적 취약점(과압, 과속, 과열 등) 파악	Day 1
□ 제어시스템 매핑	해당 취약점을 조작할 수 있는 PLC/DCS 식별	Day 2
□ 공격 경로 분석	IT → ICS → Physical 전체 체인 문서화	Day 1
□ 안전시스템 분리 평가	SIS가 PCS와 독립적으로 운영되는지 확인	Day 4

B. 네트워크 아키텍처 점검

점검 항목	세부 내용	참조
□ Purdue 모델 준수	Level 0~5 계층 분리 상태 확인	Day 3
□ DMZ 구성	IT/OT 경계에 DMZ 존재 여부	Day 3
□ 프로토콜 분석	사용 중인 ICS 프로토콜(Modbus, DNP3 등) 보안 평가	Day 4
□ 원격 접속 통제	VPN, 점프 서버 등 원격 접속 경로 점검	Day 3

C. 물리적 접근 통제

점검 항목	세부 내용	참조
□ 계약업체 보안 정책	외부 인력의 장비 반입/접근 통제 절차	Day 3
□ USB/이동식 매체 통제	이동식 저장장치 사용 정책 및 기술적 통제	Day 3
□ 엔지니어링 워크스테이션	프로그래밍 장비의 보안 상태 및 접근 통제	Day 2
□ 물리적 접근 로그	제어실/캐비닛 접근 기록 관리	Day 3

D. 탐지 및 대응 역량

점검 항목	세부 내용	참조
□ OT 네트워크 모니터링	ICS 트래픽 이상 탐지 시스템 운영 여부	Day 3
□ PLC 로직 무결성 검증	제어 로직 변경 탐지 메커니즘	Day 2
□ 센서 값 검증	물리적 측정과 제어시스템 값의 교차 검증	Day 2
□ ICS 포렌식 역량	OT 환경 침해사고 조사 절차 및 역량	Day 4

E. 거버넌스 및 표준 준수

점검 항목	세부 내용	참조
□ IEC 62443 적용	영역(Zone)/도관(Conduit) 정의 및 보안 수준(SL) 설정	Day 3
□ NIST SP 800-82 참조	ICS 보안 권고사항 이행 여부	Day 3
□ 사이버-물리 위협 모델링	MITRE ATT&CK for ICS 기반 위협 시나리오	Day 4
□ 보안 인식 교육	운영자/엔지니어 대상 OT 보안 교육	Day 3

4. 프레임워크 최종 연계

A. IEC 62443 매핑

IEC 62443 파트	Stuxnet 교훈	체크리스트 연계
2-1 (보안 프로그램)	계약업체 보안 정책 필수	섹션 C
3-2 (위험 평가)	사이버-물리 시나리오 포함	섹션 A
3-3 (시스템 요건)	Zone/Conduit 분리	섹션 B
4-2 (컴포넌트 요건)	PLC/HMI 보안 기능	섹션 D

B. NIST CSF 매핑

CSF 기능	적용 내용
Identify	자산 식별, 물리적 취약점 분석
Protect	네트워크 분리, 접근 통제, 계약업체 관리
Detect	OT 모니터링, PLC 무결성 검증
Respond	ICS 포렌식, 인시던트 대응 절차
Recover	제어 로직 백업/복구, 운영 연속성

5. 개인 인사이트 (Personal Insight)

Day 1~5 전체 분석을 통해 Stuxnet 연구가 OT/ICS 보안에 주는 근본적인 교훈을 정리하였습니다.

A. 5가지 핵심 교훈

1. 보안은 하드웨어까지: 논리적 방어(하이퍼바이저, 방화벽)를 넘어 물리적 레벨까지 고려해야 합니다.
2. 가장 약한 고리: 계약업체와 공급망이 정교한 공격의 침투 경로가 됩니다.
3. 기능의 양면성: ICS의 정상 기능(원격 프로그래밍, 프로토콜 통신)이 무기화될 수 있습니다.
4. Safety ≠ Security: 안전시스템(SIS)도 사이버 공격의 대상이 될 수 있습니다.
5. 진화하는 위협: Stuxnet 이후 ICS 악성코드는 더 범용적이고 접근 가능해지고 있습니다.

B. 컨설턴트로서의 역할 재정의

• 기술적 깊이: IT 보안을 넘어 제어공학, 프로세스 엔지니어링에 대한 이해가 필요합니다.
• 통합적 시각: Safety(안전)와 Security(보안)를 통합하여 평가해야 합니다.
• 현실적 위협 모델: 국가 수준 공격만이 아닌, 툴킷화된 위협까지 고려해야 합니다.

C. 실무적 함의

OT/ICS 보안 컨설팅 수행 시, 본 논문 분석에서 도출된 체크리스트와 프레임워크 매핑을 활용하여 체계적이고 포괄적인 보안 평가를 수행할 수 있습니다. 특히 물리적 접근 경로, 계약업체 보안, 제어 로직 무결성 검증은 기존 IT 보안 평가에서 놓치기 쉬운 영역으로, 반드시 점검해야 합니다.