악성코드 살인사건, 가능한 일인가

브루스 윌리스 주연의 영화 써로게이트(Surrogates)를 보면 인간이 조정하는 일종의 로보트인
써로게이트에 특수한 무기를 사용하면 써로게이트는 물론 원격에 연결된 인간이 사망하는 내용이 나온다. 이때 사용하는 무기는 컴퓨터 바이러스라고 설정된다.
과연, 컴퓨터 바이러스는 하드웨어에 피해를 줄 수 있으며 나아가 인간에게 피해를 줄 수 있을까?

하드웨어 피해의 한계와 가능성

일반적으로 소프트웨어가 하드웨어를 직접 손상 시킬 수는 없다.
하드웨어는 소프트웨어 의해 수행되지만 별도의 안전 장치가 존재한다.
현재 집안의 전자제품이 상호 네트워크로 연결되면서 악성코드 감염에 의한 보안 문제가 이슈 되고 있다.
하지만, 밥통에 악성코드가 감염되어도 밥이 타거나 전자레인지가 폭발하는 등의
영화 속 일이 현실에서 이론상 발생하기는 어렵다.

많은 사람들이 1999년 4월 26일 Win95/CIH 바이러스가 파괴한 수 많은 하드디스크와
먹통이 된 메인보드는 무엇이냐고 궁금해할 것이다. 정확하게는 하드웨어 파괴가 아닌 하드웨어에 포함된 소프트웨어가 파괴된 것이다. 사용할 수 없는 하드디스크는 포맷하면 재사용이 가능하며
메인보드 롬 바이오스도 펌웨어(firmware)를 업데이트하면 다시 구동할 수 있다.
이렇게 소프트웨어의 하드웨어 피해는 한계가 있다. 하지만, 만약  하드웨어에 취약점이 존재한다면
상황은 달라진다. 이런 취약점을 이용하면 소프트웨어적으로 하드웨어에 무리를 줄 수 있다.
또, 하드웨어에 물리적인 피해를 입힐 수 없어도 소프트웨어적으로 오동작을 일으켜
하드웨어를 중지 시킬 수는 있다. 일부 MP3 플레이어나 동영상 플레이어에서 재생 중에 소프트웨어
버그로 플레이어가 중지하는 것과 유사하다.
항상 켜져 있어야 하는 장비라면 시스템 중지는 큰 문제가 될 것이다.

악성코드가 인체에 해를?

소프트웨어가 하드웨어에 피해를 주지 못한다면 악성코드가 인체에 해를 끼치는 것도 한계가 있다.
하지만, 악성코드는 아니지만 버그로 인체에 해를 끼친 경우는 존재한다.
1988년 Therac-25 엑스레이 소프트웨어가 업그레이드 되었는데 안전장치(safety interlock)를
소프트웨어로 교체했다. 하지만, 버그가 있어 다량의 방사선이 누출하는 일이 생겨
5명이 죽고 많은 사람이 다쳤다.

당시에는 악성코드가 아닌 버그 때문에 발생했다. 하지만, 현재 병원에서 사용하는 장비나
환자 관리 시스템의 상당수는 윈도우나 리눅스를 기반으로 하고 있어 이들 장비에 악성코드가 감염될 수
있다. 만약 악성코드에 의해 장비가 오동작하게 된다면? 환자 정보가 뒤죽박죽 된다면 어떻게 될까?
생각만해도 끔찍한 일이 발생할 것이다. 다행히 최근 악성코드는 금전적인 이득을 위해 제작되므로
의도적으로 이런 문제가 발생할 가능성이 높지는 않다. 하지만, 현재와 같은 상황으로 보면 악성코드로
사람 생명이 위험해 질 가능성도 커지고 있다.

모두가 고민할 문제

앞으로 하드웨어를 설계할 때 이런 소프트웨어의 버그나 악성코드에 의한 오동작까지 고려해서
제작되어야 할 것이다. 또한 하드웨어를 사용하는 사용자도 일반 컴퓨터에서 악성코드가 감염되지 않도록 주의해야 할 것이다. 1989년 발생한 독일 병원 데이터 베이스에 감염된 바이러스는 간호사가 바이러스에
감염된 게임을 환자기록이 저장된 컴퓨터에서 수행해서 발생한 것으로 밝혀졌다.

참고자료

[1] Jakub Kaminski, ‘Flash BIOS – A new security loophole’, Virus Bulletin Conference, September 1995
[2] Simin Garfinkel, “History’s Worst Software Bugs”,  http://www.wired.com/software/coolapps/news/2005/11/69355

출처 : 안철수연구소 [2009/11/19]