2012년 사우디 국영 석유 회사에서 일어났던 공격, 다시 발견
아직은 멀웨어에 대한 몇 가지 정보만 공개... 사우디 측 발표 없어

[보안뉴스 문가용 기자] 사우디아라비아의 주요 기관 및 조직들이 지난 11월 대규모 사이버 공격을 당해 대부분 기능을 상실했다. 이 공격에 활용된 건 샤문(Shamoon) 멀웨어. 4년 전 사우디아라비아의 국영 석유 기업인 사우디아람코(Saudi Aramco)의 컴퓨터 시스템 3만 여개의 하드디스크를 깨끗하게 지워내 세계를 경악케 한 바로 그 멀웨어다. 하지만 아직 이 11월 사건에 대한 공식적인 발표는 이뤄지지 않고 있는 상황이다.


이 소식은 블룸버그(Bloomberg)가 제일 먼저 다뤘으며, 익명의 관계자의 말을 인용한 해당 기사에 따르면 현재까지 가장 유력한 공격자는 이란이다. 또한 4개의 주요 국가 조직에서 상당한 피해가 발생했고, 다른 두 곳에서도 공격이 있긴 했지만 방어에 성공했다는 소식도 같이 보도가 되었다. 사우디아라비아의 중앙 항공 관제 시스템에서도 공격이 발생했지만 다행히 사무실 행정 쪽에서만 피해가 있었고 실제 비행기 운항에는 아무런 이상이 없었다고 한다.

일부 전문가들은 이번에 발견된 샤문 멀웨어를 샤문2로 불러 4년 전 공격과 구분 짓기도 하지만, 그때의 샤문과 지금의 샤문이 완전히 같다고 주장하는 이들도 있다. 다만 사우디아람코에서 발생한 공격의 경우 피해 시스템에 나타난 이미지가 불에 타는 성조기였다면, 지난 11월의 경우에는 알란 쿠르디(Alan Kurdi)라는 소년의 사체 이미지가 사용되었다. 알란 쿠르디는 2015년 9월 지중해 난민 사태 때 물에 빠져 죽은 3살 시리아 소년이다.

샤문의 가장 중요한 기능은 마스터 부트 기록과 볼륨 부트 기록을 완전히 삭제하는 것이다. 이 두 기록이 삭제되면 컴퓨터는 벽돌과 다름없게 된다. 사우디아람코 공격 당시, 일부 전문가들은 사우디아라비아의 석유 생산량을 낮추기 위한 이란의 공격이었을 것이라고 분석했고, 이번 공격에 대해서 블룸버그는 미국을 비롯한 세계열강들이 이란과 작년에 맺은 핵 조약과 관련이 있을 것이라는 분석 내용을 실었다.

보안 전문기관인 팔로알토 네트웍스(Palo Alto Networks)도 지난 수요일 샤문에 대한 경보를 발령했다. 그 경보에 따르면 샤문은 드로퍼, 통신, 디스크 삭제 기능으로 이루어져 있다. 또한 네트워크에 한 번 잠입 성공하면 최대한 많은 시스템을 공격할 수 있도록 설계되었다. “샤문에 저장되어 있는 각종 크리덴셜 정보를 분석한 결과, 샤문 공격자들은 샤문을 만들기 전에 크리덴셜들을 훔치는 작업부터 한 듯 합니다. 이는 2012년 사우디아람코 공격 때와 같은 패턴입니다.”

공통점은 이뿐만이 아니다. 공격 시점에서도 2012년 공격과 이번 공격이 상당한 유사점을 보이고 있다. “2012년에는 공격이 이슬람의 휴무 기간인 라마단 때 이뤄졌습니다. IT 근무자들이 즉각 대응할 수 없는 때를 노린 것이죠. 2016년에도 공격이 목요일 저녁부터 시작되었습니다. 사우디아라비아에서는 주말이 목요일 저녁부터거든요. 사람이 없는 틈을 노렸다는 게 같습니다.”

하지만 팔로알토나 블룸버그나 얻어 낼 수 있는 정보는 이것까지였다. 피해규모, 정확한 피해자, 공격 동기 등에 대해서는 밝혀진 바가 하나도 없는 것. “그렇기에 2012년 공격자와 2016년 공격자가 동일하다고 결론을 낼 수가 없습니다. 정보가 더 필요합니다.” 시만텍의 올라 콕스(Orla Cox)는 피해 기관의 명확한 이름을 딱 한 군데 알고는 있지만 아직 밝힐 수 없다고 했으며, 파이어아이도 클라이언트 중 이 공격에 연루된 사람(단체)이 있지만 아직 공개할 수 없다고 했다.

사우디아라비아에서 무슨 일이 일어난 걸까? 많은 보안 전문가들이 공식 수사 내용이 조금이라도 발표되기를 기다리고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>