2005년경 개발돼 Stuxnet보다 먼저 등장한 사이버 무기 Fast16의 정체가 핵무기 설계에 사용되는 폭발 시뮬레이션 조작 도구였음이 확인됐다. Broadcom의 자회사 Symantec과 Carbon Black 팀이 최근 발표한 분석 결과에 따르면, Fast16은 우라늄 압축 시뮬레이션을 교란하도록 특별히 설계된 Lua 기반의 사이버 사보타주 도구다.

Fast16의 핵심 메커니즘은 엔지니어링 시뮬레이션 소프트웨어 'LS-DYNA'와 'AUTODYN' 내부에 101개의 규칙 집합을 심어 고폭발 시뮬레이션을 교란했다. Symantec 위협 헌팅 팀은 "Fast16의 훅 엔진은 LS-DYNA와 AUTODYN 내 고폭발 시뮬레이션에만 선택적으로 관심을 가진다"며 "악성코드는 시뮬레이션 물질의 밀도를 확인해 30g/cm³ 이상(임플로전 방식 핵폭탄에서만 달성 가능한 우라늄 압축 임계값)일 때만 작동한다"고 설명했다.

이 발견은 SentinelOne이 4월에 공개한 분석 보고서를 이어받은 것이다. SentinelOne은 Fast16의 컴포넌트가 2005년까지 거슬러 올라갈 수 있으며, 이는 Stuxnet의 가장 초기 버전인 Stuxnet 0.5보다 2년 먼저라고 밝혔다.

Fast16의 존재를 증명하는 초기 증거는 2017년 'The Shadow Brokers'라는 익명의 해킹 그룹이 유출한 파일에서 비롯됐다. 해당 자료에는 "fast16"이라는 문자열이 포함돼 있었으며, 이는 미국 국가안보국(NSA) 산하로 추정되는 국가 차원의 위협 행위자 'Equation Group'이 사용했던 해킹 도구와 익스플로잇의 거대 컬렉션 일부였다.

Fast16의 기술적 정교함은 발전된 설계에서 드러난다. 101개 훅 규칙은 9~10개 훅 그룹으로 분류되며, 각각 LS-DYNA 또는 AUTODYN의 서로 다른 버전을 표적했다. 이는 개발자들이 소프트웨어 업데이트를 지속적으로 추적하고 시간에 따라 새로운 버전 대응을 추가했음을 시사한다. 특히 신 버전이 나온 후 구 버전을 위한 훅 그룹이 추가되는 사례도 있어, 사용자가 이상 증상으로 이전 버전으로 다운그레이드했을 때도 표적이 되도록 설계된 것으로 보인다.

Symantec은 "LS-DYNA와 AUTODYN 모두 자동차 충돌 안전성, 재료 모델링, 폭발 시뮬레이션 같은 실제 문제를 모의하는 데 사용되는 소프트웨어"라며 "Fast16이 삽입한 훅은 3가지 공격 전략으로 구성되며, 폭탄 및 폭발 전체 규모 과도 응답 실행 중에만 교란이 활성화된다"고 설명했다.

Fast16의 발견은 2010년 Stuxnet 이전에 이미 정교한 사이버 사보타주가 진행되고 있었음을 의미한다. Stuxnet은 이란의 핵 시설을 물리적으로 교란한 사례로 유명하지만, Fast16은 설계 단계부터 정확도를 저하시키는 방식의 장기 전략을 시사한다. 이는 핵 프로그램의 신뢰성 자체를 저해하는, 더 교묘한 공격 형태다.

민간 엔지니어링 소프트웨어가 국가 간 고급 지속 위협(APT) 목표가 된다는 점은 중요하다. LS-DYNA와 AUTODYN은 자동차, 항공우주, 건설, 원자력 산업 등 광범위한 분야에서 사용된다. 이번 사건은 이런 도구들의 보안이 단순한 상용 소프트웨어 문제를 넘어 국방·전략 자산의 무결성 문제임을 보여준다.

Symantec과 Carbon Black 팀은 Fast16이 특정 보안 제품이 설치된 컴퓨터는 감염시키지 않으며, 네트워크 상의 다른 엔드포인트로 자동 확산된다고 밝혔다. 하지만 Fast16의 감염 메커니즘(초기 침투 벡터), 실제 배포 시간대, 그리고 현재도 활성화되어 있는지 여부는 여전히 미공개 상태다. 이는 더 광범위한 은폐 사이버 전의 빙산 일각일 가능성을 남긴다.