2026년 4월 23일 SentinelLabs가 공개한 fast16은 컴파일 타임스탬프가 2005년 7월인 사이버 사보타주 악성 프레임워크다. ShadowBrokers 단서가 11년 만에 풀린 21년 묵은 멀웨어를 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
보안 사건 / 사이버 사보타주 / SentinelLabs 공개
2026년 4월 23일, SentinelLabs는 Lua 기반 사이버 사보타주 악성 프레임워크 'fast16' 분석을 공개했다. 핵심 모듈인 fast16.sys 커널 드라이버의 컴파일 타임스탬프는 2005년 7월 19일, 함께 분석된 connotify.dll은 6월 6일, 캐리어 svcmgmt.exe는 8월 30일이다. 시점이 사실이라면 이란 나탄즈 원심분리기를 파괴한 Stuxnet보다 최소 5년 앞섰다는 뜻이다.
fast16의 존재는 2017년 ShadowBrokers의 NSA 관련 자료 유출에서 처음 드러났다. 'Territorial Dispute'(TeDi)라는 NSA 컴포넌트 안의 drv_list.txt에 fast16 항목이 등재돼 있었지만, 표본도 분석도 없는 단순 식별자였다. 보고서는 그 옆에 "fast16 *** Nothing to see here – carry on ***" 라는 짧은 주석을 달았을 뿐이다.
샘플 자체가 공개 도메인에 노출된 것은 2016년 10월 8일, VirusTotal 업로드가 시작이다. 그 후 10년 가까이 어떤 보안 업체도 분석을 공개하지 않았다. SentinelLabs의 Vitaly Kamluk와 Juan Andrés Guerrero-Saade는 2005년 무렵의 Lua 바이트코드 시그니처를 헌팅하다 fast16 패밀리를 식별했다. ShadowBrokers의 10년 묵은 단서가 비로소 풀린 셈이다.
연구진은 NSA·Equation Group을 직접 귀속하지는 않았다. 다만 TeDi 문서의 식별자, 코드 내부의 Unix SCCS/RCS 소스 컨트롤 마커, Lua 5.0 가상 머신 임베드 같은 단서가 고경력 Unix 출신 개발자에 의한 국가급 작업임을 시사한다고 평했다.
fast16의 공격 사슬은 단순하지만 목표는 정밀했다.
침투 단계는 평범했다. svcmgmt.exe가 약한 비밀번호 관리자 계정을 가진 Windows 2000·XP 서버를 스캔하고 LAN 내부 횡단 이동을 시도한다. 자동 확산이 아닌 운영자 수동 운영이다. 일단 전개되면 캐리어 안에 임베드된 Lua 5.0 가상 머신이 깨어나, 암호화된 Lua 바이트코드를 디코딩해 모듈을 구동했다. 이는 Lua 스크립트 기반 멀웨어가 공개된 첫 Windows 사례다. 2012년 처음 분석된 Flame보다 약 3년 앞섰고, Animal Farm Bunny와 Project Sauron이 채택한 모듈화 아키텍처의 원형이라고 SentinelLabs는 평가한다.
진짜 무기는 fast16.sys였다. 커널 드라이버는 디스크에서 실행 파일이 로드되는 순간을 가로채 메모리상에서 코드 패치를 주입했다. 표적은 인텔 C/C++ 컴파일러로 빌드된 특정 시뮬레이션 프로그램의 부동소수점 산술 함수다. SentinelLabs가 분석한 패치 규칙은 101개. 이 규칙이 적용되면 시뮬레이션 결과가 알아챌 수 없을 만큼 미세하게 어긋난다. 원문 표현은 다음과 같다.
"fast16.sys selectively targets high-precision calculation software, patching code in memory to tamper with results."
표적 소프트웨어 명단은 그 자체로 도발적이다. LS-DYNA 970(충돌·폭발 시뮬레이션, 자동차 안전·방산·핵 비폭발 R&D에 사용), PKPM(중국에서 폭넓게 쓰이는 토목·구조 설계 CAD), MOHID(해양 수문·수질 유체역학 모델). 자기 전파 모듈은 전문 시뮬레이션 시설 안에서 동일한 변조 결과를 일관되게 산출하도록 설계됐다. 한 명의 엔지니어만 결과 검증을 빼먹으면 시설 전체의 분석 결과가 오염되는 구조다.
fast16에 대해 가장 도전적인 사실은 실측 피해 규모가 알려져 있지 않다는 점이다. 컴파일된 2005년부터 SentinelLabs가 공개한 2026년 4월까지 약 21년, VirusTotal에 표본이 올라온 2016년 이후로도 약 10년 동안 공개 분석이 없었다. 시뮬레이션 결과를 미세하게 비트는 공격 특성상 피해자 측이 인지조차 했을지 의문이다. SentinelLabs의 공개로 비로소 LS-DYNA·PKPM·MOHID를 운영해 온 R&D 시설들의 과거 결과 데이터 재검증 과제가 떠올랐다.
보고서에는 svcmgmt.exe·fast16.sys·connotify.dll 세 모듈의 SHA-256 해시와 101개 패치 규칙 분석이 함께 공개됐다. SentinelLabs 1차 보고서가 단일 외부 검증 소스이며, 한국어 매체 후속 보도는 데일리시큐 한 건만 확인된다.
첫째, fast16은 integrity attack(데이터 무결성 공격) 카테고리의 공개된 첫 멀웨어 사례다. 보안 업계가 오래 경고해 온 패러다임은 Stuxnet의 위조된 정상값, Langner가 분석한 S7 컨트롤러 압력값 변조에서 정점을 찍었다. SecurityWeek가 2025년 "다음 위기는 침해가 아니라 신뢰할 수 없는 데이터" 라고 진단한 흐름이 fast16 공개로 가설이 아닌 21년 묵은 사실로 굳어졌다.
둘째, fast16은 시설을 파괴하지 않는다. 시스템은 멀쩡히 돌아가고 운영자는 정상 운영 중이라 믿는다. 산출되는 시뮬레이션 결과만 미세하게 어긋난다. 자동차 충돌 시험, 핵 비폭발 R&D, 교량·건축 구조 해석, 해양 환경 영향 평가처럼 결과의 마지막 자리 몇 개가 어긋나도 즉시 알아챌 수 없는 영역이 표적이었다. 시설 운영을 멈출 필요 없이 적국의 기술 개발을 수개월·수년 단위로 정체시키는 도구로 설계된 셈이다.
셋째, 모듈화 아키텍처의 원형이다. 임베디드 Lua 가상 머신, 암호화된 바이트코드, 별도의 캐리어와 커널 드라이버 분리는 이후 Flame(2012), Animal Farm Bunny, Project Sauron이 그대로 답습했다. fast16이 사실이라면 21세기 국가급 멀웨어의 디자인 패턴은 2005년 여름에 완성돼 있었다.
남은 의문은 한 가지다. fast16과 함께 ShadowBrokers drv_list.txt에 등재됐던 다른 식별자, 즉 보고서에서 "carry on" 옆에 미공개로 남은 항목들은 어디 있는가. 21년이 지나서야 한 칸이 풀렸다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0