슈나이더 시스템 노리는 멀웨어 트리톤, 아직 진짜 페이로드 안 나타나
한 보안 업체, 블랙햇에서 탐지 툴 무료로 배포 시작...일각에서 반발해

[보안뉴스 문가용 기자] 산업 통제 시스템 전문가가 1년 동안 연구하고 개발해온 트리톤/트리시스(TRITON / TRISIS) 멀웨어 탐지 도구를 오늘 오픈소스로 풀었다. 트리톤/트리시스 멀웨어는 주로 석유 및 가스 추출 공장 등에서 많이 사용되는 슈나이더 전자의 SIS 시스템(safety instrumented system)을 공격하는 것으로 알려져 있다.


트리톤/트리시스를 추적해온 건 보안 업체 노조미 네트웍스(Nozomi Networks)로, 여기에 ICS 전문가인 마리나 크로토필(Marina Krotofil)도 참여했다. 이들은 오늘 열린 블랙햇에서 트리톤/트리시스가 어떤 식으로 작동하는지를 보여주고, 실제 이 멀웨어가 파괴적인 공격을 실시하는 것도 시연했다.

트리톤/트리시스는 2017년 중동 지역에서 처음 발견된 것으로 여러 시스템을 셧다운시킨 바 있다. 아직까지도 공식 페이로드가 발견된 바가 없기 때문에 보안 업계에서는 당시의 공격이 ‘더 큰 공격을 위한 발판’인 것으로 인식하고 있다. 즉 진짜 공격은 일어나지도 않은 위협인 것이다.

나조미 네트웍스는 얼마 전 와이어샤크(Wireshark)용 트리스테이션 프로토콜 플러그인(TriStation Protocol Plug-in)을 발표한 바 있다. 나조미의 연구원들이 트리코넥스(Triconex) 시스템의 프로토콜을 해부하기 위해 직접 작성한 툴로, 트리톤 멀웨어가 네트워크 내에서 통신을 시도할 경우 이를 탐지하고, 통신 내용에 대한 첩보를 수집하는 기능을 가지고 있다. 뿐만 아니라 함수 코드를 변환하고 PLC 프로그램을 추출하기도 한다. 이 플러그인 역시 무료로 공개됐다.

그런데 오늘 블랙햇 행사를 통하여 두 번째 무료 툴을 배포한 것이다. 이 툴 역시 트리톤에 대한 방어책이며, 이름은 트리코넥스 허니팟 툴(Triconex Honeypot Tool)이다. 허니팟이라는 이름 그대로 ICS 조직들이 공격자들을 속일 수 있도록 통제 시스템의 시뮬레이션을 가능하도록 해준다. 트리톤이 실행하는 스캔 등 여러 공격 징후들을 탐지한다.

나조미 네트웍스의 창립자인 안드레아 카르카노(Andrea Carcano)는 “실험실에서 동료들과 트리톤 공격을 똑같이 실행해봤다”며 “트리톤/트리시스와 흡사한 멀웨어를 만드는 데 성공했다”고 밝혔다. “비용도 얼마 들지 않았습니다. 트리스테이션 소프트웨어는 3달러에 살 수 있고, 하드웨어는 이베이나 알리바바를 통해 5천 달러에 구매가 가능합니다.”

카르카노는 “모두들 트리톤이 굉장히 수준 높은 공격이라고 생각하는데, 조금만 시간을 들일 준비가 되어 있다면 약간의 인터넷 서치를 통해서 트리톤 공격을 할 수 있게 된다”고 강조했다.

한편 슈나이더 측은 트리톤 유형의 공격을 하려면 수준이 매우 높아야 한다고 주장하고 있다. 슈나이더의 사이버 보안 책임인 앤디 클링(Andy Kling)은 “공격자가 트리코넥스 장비를 가지고 있다고 하더라도, 그 작동 원리를 모르면 트리톤 공격을 할 수 없다”고 말하기도 했다. 하지만 카르카노는 “매뉴얼을 무료로 쉽게 구할 수 있다”고 오늘 발표를 통해 주장했다.

클링은 오늘 있었던 발표에 대해 “트리톤은 아직 개발 단계에 있거나, 진짜 공격을 위한 발판 단계의 공격”이라고 주장한다. “공격자들은 아직 제대로 된 트리톤 공격을 하지도 않았습니다. 페이로드도 아직 나타나지 않은 공격이므로, 방어 체계가 제대로 나올 수 없습니다. 이것이 현재 슈나이더의 입장입니다.”

시만텍(Symantec)의 보안 기술 책임자인 리암 오무르추(Liam O┖Murchu)는 “아직 트리톤 공격에 대해서 모르는 부분이 많다”며 “실험일 수도 있고, 정찰일 수도 있으며, 심지어 실패한 공격 시도일 수도 있다”고 가능성을 제기했다. “경쟁사가 사보타주를 시도한 것일 수도 있고, 국가 지원 공격자의 소행일 수도 있습니다. 하지만 정확한 바는 아무도 모릅니다.”

슈나이더도 자체 트리톤 탐지 툴을 개발한 바 있다. “고객들이 더 이상 트리톤의 위험에 빠지지 않게 하기 위해서 저희가 개발한 탐지 툴을 계속해서 돌리고 있습니다. 이미 수개월 이상 프로그램을 실행시키고 있지만 아직까지 트리톤 공격이 발견된 적은 없습니다. 새로운 침해지표도 발견되지 않고 있고요.”

나조미가 주장하는, “트리톤은 집에서도 만들 수 있고, 따라서 우리가 배포하는 툴로 막을 수 있다”는 아직 논란 단계에 있다. 그렇지만 연구를 진행하면서 확실한 성과가 없던 것도 아니다. 트리코넥스 트리스테이션 1131 4.9 버전의 유지보수 기능에서 백도어가 탑재된 걸 발견한 것이다.

“매뉴얼에는 설명되지 않고 있는 두 명의 사용자 크리덴셜이 하드코드 되어 있는 걸 발견했습니다. 이 사용자들 중 하나의 것으로 로그인을 할 경우, 없던 메뉴가 나타납니다. 공격자 입장에서 유용할 수 있는 메뉴였습니다.” 하지만 카르카노는 “트리톤 멀웨어 공격과는 상관없는 별개의 백도어”라고 못 박았다. 또한 이후 버전에서는 사라졌다고 한다.

3줄 요약
1. 블랙햇 강연에서 한 전문가가 트리톤 멀웨어 탐지 툴 무료로 공개.
2. 하지만 일각에서는 트리톤 공격 자체가 완벽히 밝혀지지 않았는데 무슨 탐지 툴이냐며 반박.
3. 연구 중에 일부 슈나이더 시스템 버전에서 백도어 발견. 사용자 업데이트 필수.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>