드래곤플라이, 2011년부터 전 세계 수백 개 조직 공격하며 역량 키워
원래 정보 수집에 치중했지만 이젠 실제 시설 파괴 단계로 진입한 듯

[보안뉴스 오다인 기자] 미국 에너지 부문이 사이버 공격에 취약하다는 우려가 이번 주 재부상하는 중이다. 보안 기업 시만텍은 공격자가 핵심 제어 시스템에 접근한 뒤 이를 파괴하는 능력까지 갖추고 있다고 경고했다.


시만텍은 ‘드래곤플라이(Dragonfly)’라는 그룹이 미국, 터키, 스위스의 에너지 부문을 연이어 공격했다고 밝혔다. 드래곤플라이라는 그룹명은 시만텍이 붙인 것으로 ‘에너제틱 베어(Enegetic Bear)’라고 불리기도 한다(이하 드래곤플라이로 통칭). 이 그룹의 배후로 러시아가 지목된다. 드래곤플라이는 2011년부터 전 세계 산업, 제조, 제약, 교육, 건설 부문의 수백 개 조직을 공격해온 것으로 보인다.

시만텍이 ‘드래곤플라이 2.0’으로 명명한 공격은 2015년 12월부터 이어져왔다. 공격의 목적은 전력망 시스템에 대한 접근으로 추정된다. 시만텍이 수집한 증거에 따르면 공격자는 이미 컴퓨터 제어를 확보한 상태다. 즉, 전력망 운영 시스템에 대해 완전한 접근을 갖고 있다는 뜻이다. 이에 따라 시만텍은 드래곤플라이가 향후 전력망을 파괴할 능력도 갖춘 것으로 보고 있다.

가장 최근의 공격 흐름은 드래곤플라이가 접근을 넘어 파괴로 나아갔다는 사실을 보여준다. 전력망 운영 측면에서 볼 때 훨씬 더 위험한 공격 단계로 접어들었다는 말이다.

과거 드래곤플라이가 전력망 업체에 가한 공격은 에너지 시설의 작동 방식에 대한 정보 수집이 주를 이뤘다. 드래곤플라이 2.0은 여태껏 축적한 지식을 바탕으로 전력망 운영 시스템에 접근하고 이를 파괴하는 데까지 나아간 것으로 보인다.

존 디마지오(Jon DiMaggio)는 기존의 드래곤플라이 공격이 본질적으로 탐사 수준에서 그친 반면, 새롭게 나타난 흐름은 첩보 수집 및 운영 시스템에 대한 접근 확보 둘 다에 집중돼 있다고 분석했다. 디마지오는 시만텍의 수석 위협 첩보 분석가다.

디마지오는 “에너지 부문을 공격해서 얻은 정보는 공격자가 무궁무진하게 써먹을 수 있다”고 말했다. “금전이나 지적 재산 탈취가 목적이 아니라면, 전략적 또는 군사적 측면에서 유리한 고지를 점하기 위해 접근하는 것으로 보입니다. 전원을 꺼버리는 것 자체가 강력한 무기가 되는 셈이죠.”

최근 수년 간 사회기반시설에 대한 사이버 공격은 큰 우려를 낳은 바 있다. 2012년 이란 나탄즈의 우라늄 농축 시설을 공격한 스턱스넷(Stuxnet)은 멀웨어가 핵심 제어 장비에 얼마나 큰 물리적인 피해를 입힐 수 있는지 증명한 첫 번째 사례다.

이 같은 우려는 우크라이나가 사이버 공격으로 광범위한 정전 사태를 겪었던 2015년 말과 2016년 12월에 재조명되기도 했다. 일부 업체는 2015년 공격이 ‘샌드웜(Sandworm)’으로 불리는 러시아 공격자에 의해 발생했다고 본다. 이들은 샌드웜이 우크라이나의 발전소 시스템을 감염시켰다고 생각하며, 블랙에너지 트로이목마(BlackEnergy Trojan)를 통해 디스크 삭제 툴을 심었다고 분석한다.

올해 초, 보안 전문 업체 ESET과 드라고스(Dragos)의 연구원들은 2016년 우크라이나 공격에 사용된 멀웨어가 위협 그룹 일렉트럼(ELECTRUM)이 개발한 인더스트로이어(Industroyer) – 크래시오버라이드(CrashOverride)라고 불리기도 한다 – 임을 확인했다.

ESET과 드라고스는 이 멀웨어가 전력망을 파괴하기 위해 맞춤 제작된 것이라고 설명했다. 산업제어시스템(ICS)에서 널리 사용되는 통신 프로토콜을 이용한 공격이었기 때문이다. 인더스트로이어는 해당 프로토콜을 사용하는 시스템이라면 어떤 업체의 장비든 공격할 수 있었다.

이런 멀웨어가 매우 정교한 반면, 드래곤플라이 2.0에 사용된 멀웨어는 극히 평범한 수준이다. 이는 이목을 끌거나 원인으로 지목되지 않기 위해 의도적으로 선택한 전략으로 추정된다.

디마지오는 “공격자들이 이전보다 공격 탐지를 더 어렵게 만들고 있다”며 “일반에 나와 있는 툴과 자원을 많이 사용하고 있다”고 설명했다. 쉽게 이용 가능한 자원을 활용하면 그만큼 공격자를 특정하기가 어려워지기 때문이다. 이런 툴로는 △PowerShell △Bitsadmin △PsExec 등이 있다.

디마지오는 경우에 따라 공격자들이 MS Calc, Crash Reporter, TCPview 같은 윈도우 애플리케이션을 트로이목마 버전으로 만들어 백도어를 설치하며, 플래시 업데이트를 사용해 기타 멀웨어를 깔기도 하는 것으로 나타났다고 말했다. 멀웨어 배포에 흔히 사용되는 수법은 스피어 피싱 이메일이나 워터링 홀 공격이 있다.

시만텍은 드래곤플라이 2.0을 이용한 익스플로잇이나 제로데이 취약점이 아직까지 드러난 바 없다고 밝혔다. 드래곤플라이 2.0의 코드 문자열 일부는 러시아어로 쓰였으며 프랑스어로 쓰인 것도 있었다. 이는 보안 연구자가 멀웨어 출처를 밝히는 데 혼란스럽도록 만들기 위해 공격자가 의도한 것이라고 시만텍은 분석했다.

네트워크 보안 업체 클라로티(Claroty)의 공동 설립자 갈리나 안토바(Galina Antova)는 드래곤플라이 2.0의 배후에 러시아 공격자가 있다고 보는 게 타당하다고 말했다. “이들은 이미 우크라이나 전력망을 2015년 12월과 2016년 두 차례나 공격한 전력이 있습니다. 공격자들은 우크라이나에 피해를 입히는 동시에 첩보 기술을 갈고 닦는 훈련의 기회로써 이런 활동을 펼치고 있습니다. 향후 다른 타깃에도 써먹을 수 있는 멀웨어 툴을 만들고 있는 셈이죠.”

또한, 안토바는 제어 시스템에 접근하는 것이 쉬운 부분이라고 말했다. “실제 피해를 일으키려면 특정한 지식이 있어야 합니다. 예컨대, 전력 흐름을 제어하는 브레이커를 끄기 위해서는 해당 제어 시스템에 대한 지식이 필요하죠.”

샌드웜이 우크라이나에서 자신들의 전문성을 뽐내긴 했지만 “미국 전력망에 대규모 정전을 일으키는 건 그보다 훨씬 어려운 일”이라고 안토바는 설명했다. “각 부분의 복원 제어(resiliency control)에 대한 지식이나 안전 시스템에 대한 지식이 필요하기 때문”이다. “그렇지만 광범위한 피해를 일으킬 만한 공격이 전혀 불가능한 일은 아니”라고 안토바는 덧붙였다.

리앤 갤러웨이(Leigh-Anne Galloway)는 포지티브 테크놀로지스(Positive Technologies)의 사이버 보안 복원력 담당으로, 올해 자사의 보안 콘퍼런스에서 SCADA(Supervisory Control And Data Acquisition)를 시연할 예정이라고 말했다. 이 보안 콘퍼런스는 지난 회에 제어 시스템을 공격하는 것이 얼마나 쉬운지 시연하기도 했다.

갤러웨이는 “경험에 비춰봤을 때 에너지 기업 같은 사회기반시설 제공업체는 대부분 네트워크 공격에 잘 준비돼있지 않다”고 말했다. “이런 기업들은 필수적인 모니터링 툴을 갖고 있지 않습니다. 정기적으로 시설 점검을 진행하지도 않고요.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>