• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장 2020.02.04

ICS의 프로세스를 죽이는 랜섬웨어, 이전에 등장했던 메가코텍스와 유사
제일 먼저는 GE의 히스토리언 시스템인 프로피시부터 감염시키기 시작

[보안뉴스 문가용 기자] 그리 고급스럽지 않은 랜섬웨어 공격이 발견됐다. 감염시킨 컴퓨터를 강제하여 산업 통제 시스템과 관련된 특정 행동이나 프로세스를 중단시킨다고 한다. 주요 기반 시설 보안 전문 업체인 드라고스(Dragos)가 이에 대한 보고서를 발표했다.

[이미지 = iclickart]


이 랜섬웨어에는 에칸스(EKANS)라는 이름이 붙었다. 드라고스의 보안 전문가인 조 슬로윅(Joe Slowik)에 의하면 에칸스는 “원시적이라고 묘사해도 될 만큼 기초적인 뼈대만 가지고 있는 랜섬웨어”라고 한다. “다만 ICS 시스템에서 흔히 발견되는 몇 가지 요소들을 집중적으로 노리면서 피해를 일으키고 있다는 특징이 있어 무시할 수 없습니다.”

그러나 아직까지 심대한 위협 요소인 것은 아니라고 슬로윅은 설명한다. “랜섬웨어로서의 기본 기능은 갖추고 있습니다. 산업 제어 시스템을 잠시 중단시키거나 방해할 수 있습니다. 하지만 프로세스 로직을 변경시키거나 조작할 수는 없습니다. 사실 파일 암호화보다 더 문제가 되는 게 프로세스 로직에 대한 변경과 조작이거든요. 그럴 때 진짜 심각한 일이 일어나죠.”

에칸스는 GE사의 데이터 히스토리 관리 시스템인 프로피시(Proficy)의 프로세스부터 표적으로 삼기 시작한다. 그런 다음 GE사의 라이선싱 서버 서비스인 파눅(Fanuc), 하니웰(Honeywell)의 HMIWeb 애플리케이션을 공격한다고 한다. “이렇게 ICS 프로세스들을 노리는 건 메가코텍스(MegaCortex)라는 랜섬웨어 때도 봤던 것이죠. 메가코텍스는 피해자들에게 2만 달러에서 580만 달러까지 요구했었습니다.”

프로세스들을 멈추는 전략은 멀웨어 운영자들 사이에서 인기가 높다. 보통 멀웨어들은 프로세스 중단 기능을 활용해 제일 먼저는 백신을 중단시키는데, 에칸스의 경우는 64개의 프로세스가 담긴 정적 킬(kill) 목록을 보유하고 있다. 메가코텍스의 경우 킬 목록에 1천 개가 넘는 프로세스를 포함하고 있었다. 드라고스는 메가코텍스와 에칸스 사이에 연결고리가 있는 것을 의심하고 있다.

슬로윅이 에칸스에 대해 ‘초보적인 수준의 멀웨어’라고 말하는 건, 메가코텍스에 비해 셧다운 시키는 프로세스가 훨씬 적기 때문이기도 하지만, 프로피시와 같은 프로세스를 중단시켜봐야 큰 피해가 일어나지 않기 때문이기도 하다. “물론 불편을 초래하긴 합니다만, 그게 공장 가동 중단까지 이어질 피해는 아니라는 겁니다. 그 외 다른 프로세스들이 중단되면 피해가 커지긴 합니다만...”

재미있는 건 이번 공격에서 bapco라는 문자열이 포함된 이메일 주소가 하나 발견됐다는 것이다. 밥코(Bapco)는 바레인의 국영 정유 회사로, 지난 12월 더스트맨(Dustman)이라고 불리는 사이버 공격에 당한 바 있다. 이 때문에 일부 전문가들은 에칸스와 더스트맨 사이에도 연관성이 있을 것으로 보고 있다.

하지만 슬로윅은 반대 의견이다. “이메일 주소 하나 나왔다고 해서 더스트맨과 연결시키는 것은 무리입니다. 특정 공격자들이 더스트맨 캠페인 이전에 밥코에 에칸스를 활용한 공격을 시도했을 수도 있고, 밥코에 거의 같은 시기에 발생한 랜섬웨어 사건과 더스트맨 캠페인을 혼동하는 것일 수도 있습니다. 더스트맨과 에칸스 사이에 연관성을 논하려면 보다 분명한 증거들이 필요합니다.”

그렇다면 에칸스의 배후에 있는 건 누구일까? 아직 드라고스는 확실치 않다고 말한다. “일각에서는 이란 해커라는 말이 나오고 있는데, 지금까지의 조사 상황으로서는 그냥 지구본 돌려서 찍은 수준밖에 되지 않습니다. 아직 그 누구를 후보로 올리기에도 이른 상황입니다.”

그렇다면 에칸스에 대해 방비해야 하는가, 아니면 무시해도 되는가? 슬로윅은 “ICS 관리자나 소유자들은 그 무엇보다 프로세스들에 대한 가시성을 확보해야 한다”고 말한다. “이건 비단 에칸스 때문만이 아니더라도 필요한 작업입니다. 메가코텍스도 그렇고, 프로세스를 중단시킴으로써 협박을 가하려는 공격이 유행하고 있기 때문이죠.”

에칸스는 스네이크(Snake)라는 이름으로도 불리고 있다. 에칸스의 영어식 철자를 거꾸로 쓰면 ‘스네이크’가 되기 때문이다.

3줄 요약
1. 에칸스, ICS의 프로세스 찾아 죽이는 랜섬웨어.
2. 하지만 죽이는 프로세스의 수가 많지는 않음. 64개에 불과.
3. 이번 기회에 ICS 관리자들은 프로세스들에 대한 가시성 확보하는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>