유럽을 타깃으로 하고 있으나 광범위한 응용이 가능

공격 수준 대단히 높아 상상 이상의 배후 세력 있을 것으로 추정

[보안뉴스 문가용] 스턱스넷으로 사이버 세상이 발칵 뒤집힌 게 벌써 4년 전 일이다. 그 4주년이 가까워지고 있는 가운데 F시큐어(F-Secure)가 유럽 산업체에 집중되어 있는 연속 공격의 흔적을 발견했다. 아직 공격자의 뚜렷한 목적이나 동기는 불투명한 상태지만 더 큰 후속 공격을 위한 정보 수집이 목적이라는 게 전문가들의 의견이다.

공격자들은 독특한 감염 벡터를 활용, HAVEX 원격 제어 툴을 가지고 SCADA 및 ICS 시스템을 공략했다. 산업 애플리케이션 업체 중 3곳의 웹사이트를 해킹한 이들은 정식 인스톨러를 조작해 사용자가 프로그램을 다운로드 받아 설치할 때 HAVEX도 함께 깔리도록 했다. 이렇게 공격대상을 직접 공격하는 게 아니라 중간과정을 거치고, 타깃을 정해 오랜기간 공격을 진행하는 것을 워터링홀(Watering Hole) 공격이라고 하는데, 흔한 방식은 아니다.

HAVEX는 한번 설치되면 C&C 서버에 접속해 공격자의 원격 조정을 받는다. F시큐어 측은 “매우 흥미로운 점이 하나 발견되었습니다. 악성코드 하나가 근처에 있는 로컬 지역 네트워크를 전부 탐색해서 그 네트워크에 연결되어 있는 리소스나 서버를 찾아내더군요”라며 이번 공격이 가지고 있는 새로운 점을 강조했다.

또한 이 멀웨어는 서로 다른 산업 시설들끼리의 통신을 원활하게 만들어주는 OPC를 노린다는 것을 강조했다. OPC는 윈도우 애플리케이션에서 여전히 빈번하게 사용되고 있다.

“윈도우 애플리케이션이 프로세스 제어 하드웨어와 상호작용하도록 만드는 건 대단히 정상적인 일입니다. 이 멀웨어는 OPC에 연결된 기기의 세부정보를 수집하고 C&C로 되돌려 보내 공격자가 분석할 수 있도록 하는 기능을 갖추고 있습니다. 즉, 이번 공격의 주 목적을 ‘정보수집’으로 보는 이유입니다. 아직까지는 이런 정보수집 기능 외에 감염한 하드웨어를 직접 제어하려는 움직임을 발견하지는 못했습니다”라고 F시큐어는 설명했다.

감염된 기기에 연결된 ICS/SCADA 하드웨어의 상세 정보를 수집하는 것으로 보아 공격자는 이런 환경을 제어하고 싶어하는 것으로 보인다. 이 역시 흔치 않은 패턴이다.

디지털 본드(Digital Bond)의 CEO 데일 피터슨(Dale Peterson)은 “아직 HAVEX가 OPC 서버에 무슨 짓을 하는지는 확실히 밝혀진 바가 없습니다. 이번에 발견된 공격이 빙산의 일각이고, 뒤에 더 큰 공격을 감행하기 위한 준비단계라면 아직까지는 그저 OpcEnum을 실행해 네트워크에 있는 OPC 서버들에 대한 정보를 수집하는 것뿐이라고 생각합니다. 대부분 보안제어 시스템을 OPC에 두지 않기 때문에 그런 것 같습니다. OPC는 대단히 어렵고 전문적인 분야라 많은 사람들이 신경을 잘 안 쓰고, 그렇기 때문에 취약점이 많습니다”라며 범인의 동기를 추측했다.

이번 공격으로 HAVEX에 감염된 조직들은 태반이 유럽에 있는 것으로 밝혀졌다. 기술 개발로 유명한 프랑스의 대학 2곳, 산업용 기기 생산을 전문으로 하고 있는 프랑스 공장 1곳, 산업용 애플리케이션과 기계를 다루는 독일 생산공장 2곳, 러시아의 한 건설회사와 캘리포니아에 있는 회사 1곳이었다. 이번에 공격자가 활용한 서버 역시 독일, 스위스, 벨기에에 있는 것으로 밝혀졌다.

이번 공격이 미국이나 중국, 중동쪽에 집중되어 있었다면 정치적 목적이나 동기를 의심할 수밖에 없었을 것이다. 그러면서 정부들 사이의 물밑 다툼이나 거래 등의 음모론이 돌아다닐 수밖에 없었을 것이다. 하지만 공격대상이 유럽에 대부분 있다 보니 금전적인 목적 외에 별다른 동기를 상정하기가 당장은 어렵다.

“상당히 고차원적인, 프로의 작품입니다”라고 워터폴 시큐리티(Waterfall Security)의 부사장인 앤드류 긴터(Andrew Ginter)가 새롭게 발견된 멀웨어를 평했다. “그렇기 때문에 용의선상에 올릴 수 있는 사람들이 줄어들죠. 예를 들어 핵티비스트(hacktivists) 그룹과 이번 사건은 상관이 없을 겁니다. 핵티비스트는 이 정도 일을 수행할 정도의 자금을 확보하고 있지 못하거든요. 저는 사실 엄청난 규모의 그룹, 심지어 국가 단위의 세력을 의심하고 있습니다.”

긴터는 이미 많은 전문가들이 이런 사태를 예상하고 있었다고 한다. “스턱스넷과는 전혀 다른 종류의 공격입니다. 왜냐하면 공격이 특정 대상을 노리고 있긴 하지만 그 수법의 확대 응용이 가능하기 때문입니다. 또한 여러 가지 정황과 규모를 봤을 때 ‘음모론’ 취급받던 이론들이 사실일 가능성이 높아졌습니다. 단순히 멀웨어 하나 발견했다는 것 이상의 소식이며, 파면 팔수록 새로운 사실들을 발견할 수 있을 겁니다.”

피터슨 씨는 한 발 더 나아간다. “이번에 발견된 멀웨어의 배후에는 상상 이상의 큰 세력이 있을 것으로 보입니다. 그렇다면 방어책 역시 국가 단위에서 마련해야 할 것입니다. 국가기관들이 대단위로 샘플을 모아 이런 류의 멀웨어들을 죄다 색출해야 합니다. 그리고 발견한 것들을 무료로 배포해야죠. 물론 이상적인 움직임이긴 하지만 이런 결과를 이끌 수만 있다면 오히려 이번 멀웨어 사건은 전화위복으로 기억될 것입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>