• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[긴급]제로데이 악성코드 스마트그리드도 노린다!! 2010.07.19

제로데이 악성코드 통한 스마트그리드 보안 위협 사례 등장


[보안뉴스 오병민] 보안패치가 나오지 않은 제로데이 악성코드가 스마트그리드와 같은 주요시설 폐쇄 망을 노리는 사례가 증가하고 있어 제로데이 보안을 위한 대책의 필요성이 강조되고 있다. 이번에 발견된 제로데이 취약점을 이용한 악성코드는 세계적인 전기전자 기업인 지멘스(Siemens)의 WinCC SCADA 시스템을 타깃으로 공격이 이루어졌기 때문이다.


최근 마이크로소프트 윈도우의 컴포넌트인 윈도우 쉘(Windows Shell)에서 단축 아이콘을 처리하는 과정의 부적절한 처리로 인해 원격 코드의 실행이 가능한 제로데이 취약점이 발견됐다. 제로데이 취약점은 해당 제조사에서 취약점을 발견하지 못했거나 취약점을 해결할 패치가 없는 것을 의미한다.


이번에 발견된 제로데이 취약점은 악의적으로 제작된 단축 아이콘을 사용자가 보기만 해도 특정 악성코드에 감염될 수 있어 주의가 요구되고 있다. 기존의 악성코드는 악성파일을 실행하거나 자동 실행해 감염됐지만 이번 악성코드는 실행하기 위해 아이콘을 클릭하지 않아도 화면에 아이콘이 표시되는 것만으로도 감염이 된다는 것.

 

▲단축 아이콘 핸들링 취약점을 이용한 악성코드 실행 ⓒ하우리 사전대응팀


이번 악성코드는 주로 USB 등과 같은 이동식 저장매체를 통해 전파될 수 있으며, 사용자가 USB 폴더를 여는 순간 악성코드에 감염될 수 있다. 이는 기존의 USB Autorun 악성코드와는 다르게 자동실행 기능이 꺼져있더라도 제로데이 취약점을 이용하여 악성코드를 자동으로 실행시킬 수 있다.


하우리 사전대응팀 최상명 팀장은 "현재 해당 취약점에 대한 MS사의 공식 보안 업데이트가 제공되지 않고 있는 상태임으로 임시대응방안을 참조하여 임시 조치하고, 백신을 최신으로 업데이트 하며, USB 및 네트워크 공유 폴더 사용 시에 주의가 필요하다"고 말했다.

(임시대응참고: http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1 )


스마트그리드 보안위협 현실로 다가와

취약점 등 최신 보안 위협의 분석을 통해 해킹 및 악성코드로 발전할 수 있는 가능성을 연구해 사전 예방활동 업무를 수행하는 하우리 사전대응팀은, 이번 제로데이 악성코드의 향후 위험성에 대해 분석하면서, “앞으로 제로데이 악성코드의 위협이 국내에도 도입될 스마트그리드와 같은 국가 중요 폐쇄 망 시스템을 노리고 있을 가능성이 있다”고 언급했다.


이번 취약점을 이용한 악성코드가 스마트그리드와 같은 국가적인 위험을 초래할 수 있는 폐쇄 망 시스템을 타깃으로 하고 있다는 점에서 의미하는 바가 크기 때문이다. 기존에는 악성코드들이 사용자의 시스템에 영향을 주거나 개인정보를 취득하는 것을 목적으로 했지만, 점차 타깃이 개인 위험에서 국가적인 위험까지 확장되고 있다는 이야기다.

 

▲최근 지멘스는 WinCC SCADA를 비롯한 SIMATIC PCS 7 솔루션이 악성코드 위협에 노출될 수 있다는 보고서를 냈다. ⓒ지멘스


미국의 US-CERT는 이와 관련해 최근 ‘ICS-ALERT-10-196-01’ 보고서를 내고 제로데이 USB 악성코드가 SCADA 시스템을 노리고 있다고 밝히기도 했다. 이 악성코드가 발전소와 자동화 공정에서 이용되는 관리 프로그램을 노린 것으로 확인되고 있기 때문이다.


이번 악성코드는 지멘스(Siemens) WinCC SCADA 프로그램을 찾아서, 해당 프로그램이 설치되어 있을 경우 기본 패스워드를 사용하여 로그인을 시도한다. 이는 SCADA 프로그램이 대부분 외부망과 철저히 분리되어 단절되어 있기 때문에, 비교적 접근이 수월한 USB 드라이브와 제로데이 취약점을 이용하여 노린 것으로 추정된다. 보통은 인터넷과 같은 공개 망에서 정보를 수집 전송했지만, 이번 악성코드는 USB드라이브를 통해 오프라인에서 정보를 수집하다가 인터넷에 접속하면 수집된 정보를 전송하는 기능을 가진 것으로 파악되고 있다.


그리고 이 악성코드는 세계 유명 랜카드 회사인 리얼텍의 드라이버 인증서로 위장해 숨기는 등 교묘한 은닉 수법을 이용한 것으로 전해지고 있다. 전문가들은 위장된 인증서가 정식 인증서와 흡사하기 때문에 발견이 쉽지 않았다고 설명했다. 현재 인증기관인 베리사인 측은 이 인증서를 효력을 중지시켜 사용하지 못하도록 조치를 취한 것으로 알려져 있다.


하우리 사전대응팀 최상명 팀장은 “제로데이 악성코드는 발견이 힘들기 때문에 스마트그리드나 정부망, 금융망 등 폐쇄 망을 노릴 경우 심각한 피해를 유발할 수 있다”면서 “앞으로 제로데이 악성코드에 대한 대책과 폐쇄 망 보안 대책에 대한 심각한 논의가 필요해 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>