램닛과 컨피커, 폐쇄되어 잘 보이지 않았던 멀웨어들 동시에 발견
표적 공격 아닌, 무차별적인 공격에 감염된 것으로 보여

[보안뉴스 문가용] 독일 그룬드레밍엔(Gundremmingen)의 원자력발전소에서 다량의 멀웨어가 발견되었다. 이에 따라 정보보안 관계자들이 비상에 걸렸는데, 이는 발견된 곳이 원자력발전소라는 것 때문이기도 하지만 1) 표적형 공격이 아닌 것처럼 보이고 2) 이미 오래 전에 박멸되었어야 하는 멀웨어들이었기 때문이다.


표적 공격이 아니다?
보안업체 F시큐어(F-Secure)의 미코 히포넨(Mikko Hypponen)은 “주요 사회 기반시설에 대한 공격이 일어나는 게 어제 오늘 일은 아니지만, 정말 위험한 건 표적 공격을 받았을 때의 이야기”라며 “이번에 발견된 멀웨어들은 우연히 혹은 불특정다수를 향한 무차별 멀웨어 배포 등으로 유입된 것 같은데, 이 경우 방어의 기본이 완전히 달라져야 함을 뜻한다”고 말했다.

비슷한 경우가 최근 대형 병원들에서 발생한 바 있다. 올해 초 세계 여러 병원들이 겪은 랜섬웨어 공격이 처음에는 무차별 공격으로 시작했던 것. 그러다가 ‘병원에 공격이 들어갔을 때 결과가 좋다’는 데이터가 해커들 사이에서 축적되고, 무차별 공격이 표적형 공격으로 점점 변모해갔었다. 발전소들이 이런 식으로 ‘무차별 공격’에 쉽게 걸려들기 시작하면, 히포넨의 말 대로 ‘정말 위험한’ 표적 공격이 이어질 확률이 높다.

오래된 멀웨어?
독일에서 발견된 멀웨어들은 컨피커(Conficker)와 W34 램닛(Ramnit)이었다. 발전소 측은 “중요한 통제 장치는 인터넷과 분리되어 있어서 이번에 발견된 멀웨어 때문에 발전소 가동을 멈추거나 운영에 커다란 지장이 있지는 않았다”고 발표했지만 램닛의 경우 USB를 통해서도 퍼지기 때문에 망분리가 소용이 없어진 것. 실제로 이번 사건을 통해 발전소를 조사해본 결과 램닛에 감염된 탈착 가능 드라이브가 18개나 발견되었다.

ESET의 데이비드 할리(David Harley)는 “램닛은 꽤나 발전된 형태의 멀웨어로, 서버거 폐쇄된 후에도 간간히 그 모습을 드러낸 바 있고, USB를 통해 번지기 때문에 지금에 와서 발견되었다 하더라도 그럴 수도 있겠다 싶다”고 설명하며 “그러나 완전히 폐쇄되었고, 그 후로 전혀 등장하지 않았던 컨피커가 발견되었다는 건 솔직히 매우 놀라운 일”이라고 둘을 비교했다.

파이어아이의 젠스 몬라드(Jens Monrad)는 “이미 멸종한 것이나 다름없는 멀웨어들이 아직도 퍼지고 있다는 건 네트워크의 가시성 확보나 탐지 및 복구 기술 혹은 노력이 여전히 부족하다는 걸 뜻한다”고 설명했다. “감염된 엔드포인트를 찾아내고 복구시키는 건 여전히 해결이 요원해 보입니다.”

해외 보안 전문매체들은 이번 사건을 다루며 “어떻게 그렇게 오래된 멀웨어들이, 장시간 ‘안전하다는’ 환경 내에서 탐지도 되지 않고 오랫동안 머무를 수 있었는지”와 “유명한 멀웨어 두 개도 이렇게 살아남았다면 지금도 그룬드레밍엔 발전소 안에 다른 멀웨어가 있을 가능성이 높은 건 아닌지”에 대한 답을 요구하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>