| 사우디 화학공장의 사이버공격, 러시아가 했다 | 2018.10.24 |
화학 공장의 안전 시스템 조작한 트리톤 멀웨어, 러시아가 제작
중앙화학역학연구기관이 주도적으로 멀웨어 개발...흔적 많이 남겨 [보안뉴스 문가용 기자] 지난 해, 사이버 공격자들이 사우디아라비아의 한 석유화학 공장을 마비시킨 적이 있다. 보안 업체 파이어아이(FireEye)가 이번 주 발표한 바에 의하면 최근까지 조사한 결과, 러시아 정부가 이 공격의 배후에 있었다는 걸 거의 확실하게 말할 수 있다고 한다. 다만 러시아 정부가 어느 선까지 개입했는지 완벽하게 파악하는 건 아직도 진행 중에 있는 것으로 보인다.  [이미지 = iclickart] 당시 사우디아라비아 공장에의 공격은 보안 업계의 큰 관심을 끌었다. 트리톤(TRITON)이라는 멀웨어의 존재 때문이었다. 트리톤은 산업 통제 시스템(ICS)만을 겨냥해 만들어진 멀웨어 프레임워크로서는 거의 유일하게 공개된 것으로, 현재까지 세상에 드러난 ICS 전용 멀웨어는 총 세 가지뿐이다. 다른 두 가지는 스턱스넷(Stuxnet)과 인더스트로이어(Industroyer)다. 스턱스넷은 2010년 이란 핵 시설을, 인더스트로이어는 2016년 우크라이나 전력망을 공격했다. 파이어아이의 분석에 의하면 모스코바에 위치한 중앙화학역학연구기관(Central Scientific Research Institute of Chemistry and Mechanics, 이하 CNIIHM)이 이 트리톤 공격에 연루되어 있다고 한다. 당시 트리톤 멀웨어는 슈나이더 전자의 산업 안전 시스템에 침투했었다. 그리고 물리적인 피해가 발생할 정도의 조건을 발동시키도록 안전 시스템을 조작했다. 이는 스턱스넷이 보여주었던 것과 비슷한 수법인데, 당시 사우디 공장에서는 안전 시스템 조작이 잘못되어 공장이 임시로 긴급 폐쇄되었다. 파이어아이는 이 공격에서 발견된 데이터가 CNIIHM의 관여 사실을 뒷받침하고 있다며, 이 부분에 대해서는 큰 자신감을 가지고 있다고 발표했다. 이중 가장 치명적인 건 IP 주소다. 트리톤 공격에서 나온 IP 주소가 CNIIHM으로 등록되어 있었던 것이다. 이 주소로부터 공격자들은 네트워크 정보를 수집했고, 트리톤의 행동 일부를 제어했다. 또한 공격의 대부분이 모스코바의 근무 시간대에 이뤄진 것도 또 다른 힌트라고 파이어아이는 밝혔다. “게다가 CNIIHM는 트리톤을 개발하고 사용할만한 인재들을 보유하고 있기도 합니다.” 파이어아이의 첩보 분석 책임자인 존 헐트퀴스트(John Hultquist)는 “사우디 공장 침투 당시 공격자들이 사용했던 멀웨어는 우리도 관찰이 가능한 실험 환경 같은 곳에서 다듬어졌다”고 말했다. “그 행위들을 분석하니 CNIIHM이 직접 개입했음을 알 수 있었습니다. 또한 이 기관과 연루되어 트리톤 공격을 지원한 모스코바의 한 개인도 수면 위로 드러났습니다.” 그렇다면 CNIIHM은 어떤 식으로 이 공격에 개입한 걸까? 파이어아이에 따르면 트리톤 멀웨어를 표적이 된 단체 내에 설치된 그 어떤 안티멀웨어 툴에도 탐지되지 않도록 만드는 것을 담당했다고 한다. 헐트퀴스트는 “실험이 끊임없이 진행됐다”며 “사우디 공장과 CNIIHM의 실험 환경을 왕복해가며 멀웨어를 수정하는 것을 볼 수 있었다”고 설명한다. “이걸 보면서 CNIIHM의 개입을 확실하게 알 수 있었습니다.” 즉 파이어아이가 파악한 바에 따르면 CNIIHM의 역할은 트리톤 멀웨어의 개발과 향상이었던 것이다. 헐트퀴스트는 “물론 여기에 다른 이들의 도움이 있었을 수도 있다”고 말한다. “그러나 이들은 개발과 향상에 힘쓰는 것만큼 보안에 신경을 쓰지 않았습니다. 멀웨어 개발은 잘 했지만, 그 과정 속에서 남는 여러 흔적들에 대해서는 그리 잘 알고 있지 않은 듯 보였습니다. 그래서 저희가 그것들을 주워 담을 수 있었던 것이죠.” 물론 누군가 일부러 CNIIHM과 관련된 데이터들을 흘린 것일 수도 있다. 아니면 트리톤 개발에 동참한 CNIIHM의 외부 파트너 중 누군가가 CNIIHM의 허가 없이 활동하다가 실수를 한 것일 수도 있다. 하지만 파이어아이는 “이 두 가지 가능성은 이론상 존재하긴 하지만 실재할 가능성은 매우 낮다”고 보고서를 통해 주장하고 있다. 헐트퀴스트는 “러시아의 해커들은 ICS를 노릴만한 실력을 갖추고 있고, 물리적인 피해를 일으킬 수 있는 멀웨어 제작도 할 수 있다”고 설명한다. “러시아 공격자들은 이미 이전부터 반복적으로 산업 시스템과 인프라를 노려왔습니다. 분명한 동기와 의도를 가진 공격들이었죠. 사우디 공장에의 공격에 CNIIHM이 연루되었다고 해서 이상할 것이 하나도 없습니다. 또한 이들의 이러한 소행을 알게 되었다면, ICS를 가지고 있는 조직들은 전부 공격에 대비해야 한다는 뜻이 됩니다.” 보안 업체 클래로티(Clarotoy)의 부회장인 데이브 와인스타인(Dave Weinstein)은 파이어아이 보고서에 대해 “트리톤 멀웨어 프레임워크가 가진 그 복잡성과 정교함을 잘 표현하고 있다”고 평했다. “보안 업계는 트리톤 멀웨어 공격을 감행할 수 있는 사람들이라면 기술적으로 굉장히 뛰어나고 누군가의 지원도 든든한 부류라는 데 동의하고 있었어요. 파이어아이의 보고서는 이러한 기존 가설들을 확실히 해주고 있습니다.” 지정학적인 관점에서 이러한 보고서가 어떤 현상을 일으킬지가 관심사로 떠오를 수밖에 없다. 현재 미국과 러시아, 러시아와 사우디의 관계는 좋다고 말하기 힘들기 때문이다. 하지만 아직까지 이 세 나라에서는 정부 차원의 공식 입장 발표가 이뤄지지 않고 있다. 일반 기업이나 ICS를 가진 조직들 입장에서는 특별히 변할 것이 없다고 와인스타인은 강조했다. “공격자가 누구냐, 보다 더 중요한 건 공격이 어떻게 이뤄졌느냐, 이기 때문입니다. 공격자를 안다고 해서 방어가 더 잘 되는 측면보다, 공격의 방식을 알 때 방어를 더 효과적으로 할 수 있는 건 당연한 일이죠.” 3줄 요약 1. 작년 사우디 한 공장에서 발생했던 사이버 공격, 러시아가 했다는 보고서 나옴. 2. 러시아의 중앙화학역학연구기관에서 트리톤 멀웨어 개발 및 업그레이드 담당한 듯. 3. 국가들 간 공식 발표는 아직 없음. 조직들 하나하나의 대응책은 변함 없음. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
