누군가 최근 ICS와 사회 인프라를 적극적으로 노리기 시작했다. 미국에서는 세 가지 새로운 ICS용 멀웨어가 발견되기도 했다. 전쟁 중인 우크라이나에서도 새로운 멀웨어가 전력 공급망에서 나왔다. 배후 세력이 명확하지는 않지만 여러 가지 정황 상 러시아로 보인다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 기관인 CISA와 NSA, FBI가 이번 주 합동으로 긴급 경고문을 발표했다. 사회 기반 시설을 관리하는 조직들을 향한 것이었는데, 특히 에너지 산업에 초점이 맞춰져 있었다. 산업 시설을 공략하기 위해 만들어진, 대단히 고급화 된 사이버 공격 도구가 발견됐으니 방어를 더 튼튼히 하라는 내용이었다.


이번 경고에 특히나 귀를 기울여야 하는 건 슈나이더(Schneider)와 옴론(Omron)에서 만들어진 PLC를 사용하는 ICS 및 OT 네트워크들과 OPC UA를 기반으로 한 서버들이 있는 조직들이다. 이러한 환경에서 최근 미국 정보 기관들은 세 가지 멀웨어 도구들을 발견했다고 하며, 이 멀웨어들이 성공적으로 피해자의 시스템에 안착해 악성 기능을 발휘할 경우 파괴적인 결과가 나올 수 있다고 한다. 다른 종류의 ICS에도 피해가 있을 수 있다. CISA는 경고와 함께 여러 가지 침해 사고 대응법과 예방법을 제시하기도 했다. 

보안 업체 맨디언트(Mandiant)는 이러한 멀웨어들을 인컨트롤러(INCONTROLLER)라고 통칭하여 추적하는 중이다. 이번 주 보고서를 통해 인컨트롤러에 대해 발표하며 “매우 드물고 위험한 유형의 멀웨어”라고 묘사했다. 그러면서 과거 ICS를 공력하기 위해 제작된 멀웨어인 스턱스넷(Stuxnet)과 인더스트로이어(Industroyer)와 비교하기도 했다. 인컨트롤러도 비슷한 수준의 파급력을 가질 수 있다는 것이다.

맨디언트의 ICS 부문 국장인 롭 칼드웰(Rob Caldwell)은 “인컨트롤러의 배후에 국가 기관이 있을 가능성이 높아 보인다”고 말한다. 멀웨어들이 매우 강력한 기능성을 가지고 있으며, 복합적인 구성을 하고 있기 때문이다. 어지간한 자원력이 뒷받침되지 않는 이상 만들기 힘든 멀웨어라고 칼드웰은 설명한다. 또한 “확실하지는 않지만 러시아가 가장 유력해 보인다”고 덧붙이기도 했다. “ICS를 노린 파괴형 공격은 주로 러시아 정부 해커들이 해오던 짓이고, 최근 우크라이나를 침공하면서 에너지 산업에 강력한 제재가 걸렸죠.”

인컨트롤러에 포함되어 있는 공격 도구 중 하나는 타그룬(Tagrun)이라고 한다. OPC 환경을 스캔하여 OPC 서버 목록을 작성한 후 데이터를 수집하며, 크리덴셜을 무작위로 대입하는 기능을 가지고 있는 것으로 분석됐다. “주로 최초 정찰을 위해 사용되는 도구로 보입니다.” 두 번째 공격 도구는 코드콜(Codecall)이라는 이름이 붙었다. 일종의 프레임워크로, 세 가지 슈나이더 PLC와 통신하고 각종 상호작용을 하는 데에 사용된다. 슈나이더 장비를 식별하는 데 사용되는 것으로 보인다. 세 번째 도구의 이름은 옴셸(Omshell)로, HTTP와 텔넷을 통해 옴론 PLC를 공격한다. 옴론 PLC에 접근하여 각종 악성 공격을 실시하는데, 여기에는 메모리 삭제, 장비 초기화, 백업 데이터 로딩, 임의 코드 실행 등이 포함된다.

이 세 가지 도구를 모두 사용할 경우 공격자에게는 피해자 시스템 감시, 데이터 수집, 삭제형 공격 감행의 능력이 생긴다. PLC를 마비시켜 공장 가동을 중단시킨다든지, 공정 과정에 개입하여 복구 불가 수준의 피해를 입히거나, 안전 장치를 해제해 각종 물리 피해를 일으킨다는 것이 전부 가능하다는 것이다. “이전 ICS 멀웨어에서도 이런 공격이 가능했습니다. 하지만 인컨트롤러의 경우 좀 더 정교하고 획기적인 방법으로 피해자 시스템과 공격자를 연결해 주고, 악성 행위 역시 더 교묘하고 정확해졌습니다. 예전 멀웨어들은 공격자가 ICS 시스템에 대해 잘 이해하고 있어야 했지만, 인컨트롤러의 경우 사용자가 그리 깊은 지식을 갖추지 않아도 됩니다.”  

맨디언트는 인컨트롤러와 관련이 있는 것처럼 보이는 다른 두 개의 윈도 기반 공격 도구들도 발견해 추적 중에 있다고 한다. 그 중 하나는 CVE-2020-15368이라는 취약점을 익스플로잇하여 오류가 있는 드라이버를 피해자의 시스템에 심는 기능을 가지고 있고, 다른 하나는 일종의 백도어로 공격자의 정찰 활동을 심도 있게 만들어 준다. 맨디언트는 “이 두 가지 도구를 활용할 때 공격자들이 가지고 있는 본연의 목적을 충분히 이룰 수 있을 것으로 보인다”고 설명한다. 

한편 ICS 보안에 특화된 기업 드라고스(Dragos)의 경우 설계상 인컨트롤러가 공격할 수 있는 슈나이더 및 옴론 장비나 소프트웨어는 최소 16가지인 것으로 보인다는 내용을 추가로 발표했다. 여기에 더해 드라고스는 인컨트롤러가 “주로 액화 천연 가스(LNG) 장비를 표적으로 삼고 있는 것으로 분석됐다”고도 밝혔다. 참고로 드라고스는 인컨트롤러를 파이프드림(PIPEDREAM)이라고 부르고 있으며, 배후의 공격자를 셰르노바이트(CHERNOVITE)라고 부른다. 드라고스는 셰르노바이트가 옴론 장비 모터의 토크와 속도를 제어할 수도 있다고 설명했다. 

아돌러스 테크놀로지(aDolus Technology)의 CEO인 에릭 바이레스(Eric Byres)는 “예전 ICS 공격 도구들은 IT로 침투해 OT로 옮겨가는 식이었는데, 최근 그런 트렌드가 조금씩 사라지고 있는 것처럼 보인다”고 말한다. “OT 보안이 갈수록 강화되고 있기 때문에 그런 식으로 허술하게 움직여봐야 성과를 낼 확률이 줄어들기 시작한 것이죠. 공격자들은 다른 방법들을 찾아나섰고, 그러면서 여러 가지 멀웨어들이 만들어진 것입니다. 공급망을 통해 OT로 침투하는 사례도 늘어나고 있고요. 러시아의 공격자들은 특히나 공급망을 즐겨 공략합니다.”

3줄 요약
1. 최근 ICS를 노린 사이버 공격 도구들이 계속해서 발견되고 있음.
2. 미국 정부 기관이 주목하는 인컨트롤러라는 해킹 도구로, 총 세 가지 멀웨어로 구성되어 있음.
3. 파괴형 공격 도구이며, 에너지 경제 위기를 맞은 나라가 러시아라는 것을 생각했을 때 배후에 러시아가 있을 것으로 추정됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>