수도매뉴스크립트라는 멀웨어가 나타났다. 전 세계 곳곳의 ICS 시스템들에서 집중적으로 발견되고 있다고 한다. 멀웨어 자체는 북한 공격자들의 그것과 닮았는데, 그 외 다른 힌트들은 중국의 해커들을 암시하고 있다. 결국 아직까지는 정체불명인데, 이들이 노리는 표적만큼은 확실해 보인다.

[보안뉴스 문가용 기자] 북한의 사이버 공격 그룹인 라자루스(Lazarus)와 공격 전략과 방식, 기술에서 비슷한 면모를 선보이는 또 다른 공격 단체가 2021년 한 해 동안 산업 현장의 시스템들을 공략해 왔다고 보안 업체 카스퍼스키(Kaspersky)가 발표했다. 아직 북한의 해커라고 판명이 난 건 아니다.


카스퍼스키에 따르면 이 공격 단체는 11월 10일을 기준으로 195개국 3만 5천여 시스템들을 공격했다고 한다. 이들이 공격에 주로 사용한 건 수도매뉴스크립트(PseudoManuscrypt)라는 이름의 멀웨어다. 참고로 매뉴스크립트(Manuscrypt)는 라자루스가 자주 사용하는 멀웨어의 이름이다. 지금으로서는 공격자가 특별히 집중해서 노리는 산업은 없는 것으로 보이지만, 주로 군사 및 연구 활동과 관련된 시스템들이 당한 것처럼 보이는 면이 있다고 한다.

카스퍼스키의 바이야체슬라브 코페이체브(Vyacheslav Kopeytsev)는 “현재까지 침해된 시스템들의 수 자체가 놀랄 정도로 많은 건 아니지만 민감한 시스템의 비율이 수상쩍을 정도로 높은 편”이라고 설명한다. “전 세계 곳곳의 ICS 컴퓨터들이 수만 대 침해됐습니다. 발견된 것만 이 정도이고, 현실은 더 많겠죠. 각종 공장이나 산업 시설의 안전 및 보안 장치들과 현장의 각종 요소들의 점검이 필요해 보입니다. 이런 장치들만 노렸다는 건 공격자들의 동기가 ‘에스피오나지’ 혹은 ‘산업 스파이’일 가능성이 높다는 뜻이 됩니다.”

최근 몇 년 동안 ICS는 공격 가능성이 높은 요소로 완전히 자리를 잡았다. 공격자들 입장에서는 침해가 쉬운데, 얻어갈 것도 많은 시스템이다. 대부분 오래됐고, 따라서 현대의 해킹 및 보안 기술에 대한 방비책이 전혀 갖춰지지 않았기 때문이다. 설계에서부터 불안한 점이 존재한다는 뜻으로, 보안 기능을 덧붙이는 것에도 한계가 있을 수밖에 없다. 그럼에도 이 ICS는 핵심이 되는 생산 기술과 다수 연결되어 있는 게 현실이다.

한편 수도매뉴스크립트와 같은 멀웨어는 IT망과 OT망을 넘나들게 해 주는 도구로, 주로 크래킹된 해적판 소프트웨어 형태로 전파된다고 한다. ICS 시스템들에 설치될 법한 소프트웨어로 위장되어 있다는 뜻이다. 그 다음 여러 단계를 거쳐 피해자 시스템에 안착하고, 그 후 각종 정보를 수집한다. “로그인 정보, 비밀번호, VPN 설정 정보, 스크린샷, 영상 녹화 정보 등이 수집됩니다. 대단히 중요하면서도 민감한 정보들이죠.”

이들이 라자루스의 도구와 비슷한 멀웨어를 쓴다고는 하지만, 그것 외에 라자루스와 겹치는 부분은 그리 많지 않다. 따라서 이 단체가 라자루스나 북한 정부와 관련이 있다고 말하기에는 증거가 부족한 편이다. “매뉴스크립트나 수도매뉴스크립트나 시스템 레지스트리 단계에서 페이로드를 로딩하고 복호화 한다는 점에서는 비슷합니다. 엑스포트 테이블이라는 측면에서도 양 멀웨어가 사실상 거의 같습니다. 심지어 실행파일 이름 형태도 비슷하죠.”

그런데 프로그램 내 메타데이터 일부가 중국어로 작성되어 있는 것이 분석을 통해 발견됐다. 또한 중국의 APT 그룹인 APT41이 이전에 사용했던 라이브러리가 동일하게 수도매뉴스크립트에서도 발견됐다. 멀웨어의 C&C 서버도 중국에 있는 것으로 분석됐다. 사용하는 도구는 북한의 그것과 닮았는데, 그 외에는 중국 해커를 가리키는 정보들이 여기 저기 숨어 있다는 것이다.

카스퍼스키는 “공격자가 일반 사이버 범죄자 그룹인지, 정부를 등에 업고 있는 APT 단체인지아직 확실하지 않다”며 “아직 더 뒤를 캐야 한다”고 말한다. “다만 각 기업이나 기관들은 공격자들이 ICS와 같이 중요도가 높고 민감한 시스템을 집중적으로 노리는 것 같기 때문에 경각심을 가지고 방어를 해야 할 것입니다.”

카스퍼스키에 의하면 수도매뉴스크립트는 2021년 1~4월까지는 그리 눈에 띄지 않았다고 한다. 하지만 5월부터 매일 200개 이상의 인스턴스들이 발견되고 있는 상황이다. 국가별로 봤을 때 가장 피해가 심각한 곳은 순서대로 러시아, 인도, 브라질로, 이 세 국가만 전체 피해의 30%를 차지하고 있다. 엔지니어링 및 건물 자동화 산업에서 가장 수도매뉴스크립트가 많이 발견되고 있기도 하다.

“보안 장치를 끌려고 할 때 관리자 ID가 입력되어야만 되게 한다든지, 이중 인증 절차를 통과하도록 한다든지 하는 기본 보안 장치들이 필요합니다. 제조업체들과 엔지니어링 기업들, 각종 기반 시설을 관리하는 업체들이라면 ICS 보안에 조금 더 전문화된 도구를 갖추는 것이 좋습니다. 누군가 지금 산업 시설을 골라서 노리고 있거든요.” 카스퍼스키의 설명이다.

3줄 요약
1. ICS 시스템들을 집중적으로 노리는 멀웨어 수도매뉴스크립트 발견됨.
2. 배후의 공격자들에 대해서는 뚜렷하게 나온 정보가 아직 없음.
3. 전 세계 수만 대 시스템들이 이미 당했고, 피해는 계속 커져가고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>