2017년 트리톤이라는 멀웨어가 사우디아라비아의 정유 공장에 경보를 두 번이나 울렸다. 트리톤은 파괴형 멀웨어였고, 당시 많은 보안 전문가들의 관심을 끌었다. 그리고 최근 미국 법원이 공개한 기소장을 통해 사건의 보다 상세한 전말이 드러났다.

[보안뉴스 문가용 기자] 이번 주 미국 사법부가 2021년의 기소장 하나를 공개했다. 한 러시아인이 2017년 사우디아라비아의 정유 공장을 공격했다는 내용을 담고 있는데, 이를 통해 국가의 지원을 받고 있는 공격자들이 어떤 방식을 접근하고, 또 얼마나 열심히 공격을 시도하는지를 엿볼 수 있다. 특히 공격자들이 IT를 통해 OT 네트워크로 자유롭게 드나들 수 있다는 사실도 드러났다.


기소장이 공개된 건 지난 목요일의 일이다. 러시아인인 에브게니 빅토르비치 글라드키크(Evgeny Viktorovich Gladkikh)라는 인물에 해당하는 문건이었다. 그 외에도 실명이 공개되지 않은 공범들도 언급되긴 했었다. 2017년 사우디아라비아의 한 정유 공장의 긴급 경보가 울려 두 번이나 문을 닫은 적이 있었는데, 여기에 기소된 자들이 연루되어 있다는 것이 기소장의 내용이다. 이들은 공장에 물리적으로 피해를 입히고자 했었는데, 특히 중요한 안전 장비를 제어하는 시스템을 의도적으로 파괴했다고 한다.

그런 내용의 기소장 외에 또 다른 기소장이 공개되기도 했는데(이 날 공개된 기소장은 총 2장이다) 러시아 연방 안보부 소속 요원 세 명이 에너지 산업 내 조직들을 장기간 공격해 왔다는 내용을 담고 있다.

첫 번째 기소장이 언급하는 사건의 경우, 발생 당시 큰 관심을 끌었었다. 보다 정확히 말하면 글라드키크가 사용했던 멀웨어가 보안 업계 내에서 크게 회자됐었다. 트리톤(Triton) 혹은 트리시스(Trisis)라는 것으로, 지금도 많은 보안 전문가들이 기억하고 있는 멀웨어다. 트리톤은 산업 현장과 공장들에 큰 피해를 주려는 목적으로 만들어진 멀웨어로, 슈나이더사의 트리코넥스(Triconex)라는 안전 장비 시스템(SIS)를 타격하도록 설계되었다. 문제의 사우디아라비아 정유 공장에서도 이 트리코넥스가 사용되고 있었다. 트리코넥스가 기능을 발휘하지 못하면 공장 내에서 화학물질이 섞여 폭발이 일어나고 유독 가스가 생성될 수 있다.

이번 기소장을 통해 이들의 작전 수행 방식이 세부적으로 공개되기도 했다. 글라드키크와 일당들은 러시아 국방부와 관련된 기업체 하나에서 여러 가지 자원을 공급받은 것으로 밝혀졌다. 또한 트리톤을 공격 대상에 심기 위해 굉장히 조직적으로 움직여졌음 또한 드러났다. 2017년 5월 글라드키크는 정유 공장의 IT 네트워크에 처음 접근하는 데 성공했고, 그로부터 공격은 4개월 동안 진행됐다고 한다. 다만 기소장에 이들의 침투 방식 자체에는 언급되지 않았다.

최초 침투에 성공한 이후 글라드키크와 동료들은 먼저 조직적으로 기술 관련 로그 파일들을 수집했다. 특히 트리코넥스 시스템들로부터 로그 파일들을 집중적으로 추출했고, 동시에 사이버 보안 솔루션들을 비활성화 시키는 데에도 주력했다. 트리코넥스에 접근하려면 보안 경보가 울리기 때문에 당연히 밟아야 할 절차였다.

트리코넥스 환경에 좀 더 익숙해지기 위해 공격자들은 정유 공장 ‘히스토리 데이터’ 서버에 접근해 히스토리 로그들을 수집했다. 그리고 이 히스토리 데이터 서버와 훔친 크리덴셜을 활용해 엔지니어링 워크스테이션 한 대에 접근하는 데에 성공했다. 분산 배치된 제어 시스템 환경에 소속된 워크스테이션이었으며, IT와 OT 환경을 연결시켜주는 일종의 ‘다리’이기도 했다. 즉 핵심 요소 한 군데를 공략하는 데 성공한 것이다. 게다가 글라드키크가 침해한 워크스테이션은 트리코넥스의 안전 장비 시스템과도 관련이 있었다.

그런 다음 글라드키크는 워크스테이션에 백도어를 설치했다. 원하는 바를 이룰 때까지 지속적으로 접근할 수 있어야 했기 때문이다. 그런 다음 그는 실질적인 공격을 하기에 앞서 시스템 내에서 사용되고 있는 각종 프로토콜을 이해하기 위한 시간을 가졌었다. 해당 워크스테이션과 트리코넥스가 어떤 방식으로 통신하는지를 집중적으로 파헤쳤다. 그러면서 일부 트리코넥스 시스템들에 새로운 코드를 주입하려면 물리 키를 사용해야 한다는 걸 알아냈다. 그런데 일부 시스템들은 물리 키가 돌아가 있는 상태, 즉 코드를 주입할 수 있는 상태임 또한 알아낼 수 있었다.

그렇게 코드 입력이 가능한 채로 운영되고 있는 장비들 중 하나는 황을 찾아내서 태우는 작업을 담당하고 있다는 걸 글라드키크는 추가 조사를 통해 알아냈다. 여기서 글라드키크는 드디어 트리톤을 사용하기 시작한다. 황을 관리하면서 코드도 주입할 수 있는 상태의 장비니 멀웨어를 심을 수밖에 없었다. 다만 안전 제어 시스템이 악성 코드를 일찍 발견했고, 이 때문에 경보가 울리고 긴급 ‘셧다운’이 진행됐다.

수주 후 글라드키크는 다시 정유 공장으로 돌아왔다. 그리고 예전에 백도어를 심어 두었던 히스토리 서버에 다시 접근해 크리덴셜을 수집하는 멀웨어를 심었다. 그리고 조금 지나서 또 다른 트리코넥스 안전 장비 시스템을 찾아 조금 더 업그레이드 된 트리톤을 심었다. 이번 버전은 특정 트리코넥스 장비들에서만 실행이 되도록 조정되어 있었다. 그로부터 수 시간 후 트리톤은 자가 복제를 통해 다른 트리코넥스 장비들을 감염시켰다. 하지만 그 과정에서 안전 장치에 발각됐고 경보가 울려 정비 공장은 다시 한 번 가동을 긴급 중단시켰다.

불굴의 글라드키크는 그로부터 수주 후 해당 정유 공장으로 다시 돌아왔다. 이번에는 사업적 기록들이 저장되어 있는 파일 서버로 접근했다. 이 때 글라드키크가 구하고자 했던 건 공장이 긴급 가동 중단 이후 어떤 식으로 대응하고 어떤 절차로 가동을 재개하는지에 관한 정보였다. 기소장에 의하면 복구를 더 어렵게 만드는 방법을 알아내고자 함이었다고 한다. 글라드키크는 두 번 경보를 울려 정유 공장을 일시적으로 마비시키는 데 성공했다. 하지만 그의 진정한 목적은 물리적 피해를 공장 시설에 주는 것이었다고 기소장에는 설명되어 있다.

보안 업계는 기소장의 이러한 내용을 통해 국가 지원을 받는 공격자들이 얼마나 끈질긴지, 그리고 얼마나 집요하게 정찰을 하며 피해자 시스템의 작동 원리를 공부하는지를 드러냈다고 분석하고 있다. 공격자들의 그러한 특성을 알고는 있었지만, 그것을 이런 ‘범죄의 복기’ 과정을 통해 생생히 들여다보는 건 흔치 않은 기회라는 말도 나오고 있다.

3줄 요약
1. 미국에서 1년여 만에 기소장 하나가 공개됨.
2. 2017년 사우디에서 발생한 사이버 공격에 대한 내용을 담고 있는 기소장임.
3. 러시아 정부 지원을 받는 공격자들의 기술력과 집요함을 생생히 드러내는 기록.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>