Home > 전체기사

PLC 제품의 비밀번호 크랙해주는 도구 속에 백도어 숨겨져 있어

  |  입력 : 2022-07-19 21:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이따금씩 PLC의 비밀번호를 복구해준다는 광고가 뜨는데, 여기서 광고되는 제품을 하나 분석했더니 백도어와 크립토재킹 도구가 발견됐다. PLC 생태계를 아주 잘 이해하는 누군가가 기획한 공격으로 보인다.

[보안뉴스 문가용 기자] 백도어 멀웨어를 사용해 산업 제어 시스템을 공격하는 해커들이 최근 가짜 비밀번호 크랙 도구들에 자신들의 멀웨어를 감추기 시작했다. 문제의 도구는 현재 각종 소셜미디어 플랫폼에서 거래가 되고 있다고 하며, 산업 환경의 하드웨어 시스템에 적용된 비밀번호를 복구하는 용도로 광고되고 있다.

[이미지 = utoimage]


보안 업체 드라고스(Dragos)가 최근 발표한 분석 보고서에 의하면 최근 비밀번호 복구 도구라고 광고되는 제품 하나를 분석한 결과 오래된 멀웨어인 살리티(Sality)가 발견됐다고 한다. 살리티에 감염된 시스템은 P2P 봇넷에 편입되어 암호화폐를 채굴하고 비밀번호를 크랙하는 데에 활용된다.

비밀번호 복구 도구라고 알려져 있는 소프트웨어는 오토메이션 다이렉트(Automation Direct)의 다이렉트로직 06(DirectLogic 06)이라는 PLC 장비들의 비밀번호를 복원하는 기능을 가지고 있다고 하는데, 이는 허위 정보다. 여기에 속아 다이렉트로직 06 PLC에 이 소프트웨어를 설치할 경우 비밀번호를 크랙하는 게 아니라 PLC의 취약점을 익스플로잇 하여 비밀번호를 추출해 낸다. 추출된 비밀번호는 평문 상태로 사용자에게 전송된다. 사용자는 해당 도구가 비밀번호를 크랙하여 복구시켜주기를 바라고 사용하는데, 이 도구는 사실 취약점을 익스플로잇 하고 있다는 것이다.

드라고스가 제로데이 상태로 발견한 이 취약점은 CVE-2022-2003으로, 지난 6월 오토메이션 다이렉트 측이 드라고스의 접수를 받아 패치를 발표한 바 있다.

여기까지 보면 논란의 여지가 있긴 해도 결국 비슷한 결과를 내는 것이기에 그리 큰 문제가 없다는 의견이 있을 수도 있다. 하지만 드라고스가 계속해서 분석한 결과 이 비밀번호 크랙 도구는 사용자의 시스템에 살리티를 설치하는 것으로 밝혀졌다. 살리티를 설치하게 되면 사용자의 시스템은 대형 봇넷의 일부가 되어버린다.

살리티는 살리티 대로 또 다른 멀웨어를 피해자의 시스템이 심는다. 모든 살리티가 다 그런 것이라고 볼 수 없지만, 이번에 드라고스가 분석한 샘플의 경우에는 시스템의 클립보드를 0.5초에 한 번씩 훔치는 멀웨어가 설치됐다. 훔친 정보를 스캔해 암호화폐 지갑 주소가 있는지 확인하고, 발견될 경우 이를 공격자의 지갑 주소로 교체한다. 비밀번호를 복구해주긴 하지만 광고된 방법이 사용되지 않을 뿐만 아니라 암호화폐를 가로채기까지 한다는 것이다.

대단히 그럴 듯한 전략
위와 같은 공격의 수법은 쉽게 이해되지 않는다. 일단 PLC의 비밀번호를 크랙하는 도구를, 그것도 판매자가 명확하지 않은 소프트웨어를 누가 산다고 그걸 소셜미디어에 올려 광고를 하는지 고개가 갸웃할 수밖에 없다. 게다가 결국 크립토재킹 공격을 하는 게 최종 목표라면 공격자가 누구든 굳이 PLC를 익스플로잇 하는 어려운 멀웨어를 개발해, 구매자조차 불분명한 도구에 심는 고생을 해야 했는지도 이해할 수 없다. 여태까지 OT 환경에 대한 공격이라 함은 정찰이나 데이터 탈취, 사보타쥬와 같은 분명한 목적을 가지고 있는 경우가 대다수였다.

이러한 의문들은 드라고스도 명확히 대답해주지 못하고 있다. 다만 “각종 PLC의 비밀번호를 복구시켜준다는 도구가 소셜미디어에 광고되는 경우는 그리 드물지 않다”고 말한다. “저희는 최근까지 30개가 넘는 종류의 PLC와 HMI의 비밀번호를 복구해 준다는 도구들의 광고를 찾아냈습니다. 옴론(Omron)의 제품이 6개, 지멘스가 2개, 미쓰비시가 4개, LG, 파나소닉, 웨인텍(Weintek) 등의 여러 제품들이 여기에 포함되어 있었습니다.”

이쯤 되면 드라고스가 분석한 것이 오토메이션 다이렉트의 제품이어서 그렇지 현존하는 수많은 PLC들이 비슷한 위협에 노출되어 있다고 볼 수 있다. “아무래도 PLC 생태계와 사용자들 사이에 비밀번호의 합법적인 크래킹에 대한 수요가 있는 것으로 추측됩니다. 이번에 저희도 조사를 해 보니 PLC 비밀번호를 크랙해서 알려준다는 솔루션들이 여러 개 존재하며, 그런 솔루션들이 다양한 웹사이트와 소셜미디어에서 정상적으로 광고된다는 것을 알아냈습니다.”

최근 들어 ICS 환경을 위협하는 수법과 전략들이 다양해지고 더 위험해지는 중이다. 2010년 스턱스넷(Stuxnet)을 비롯해 현재까지 인더스트로이어(Industroyer), 트리톤(Triton), 블랙에너지(BlackEnergy) 등 다양한 멀웨어들이 발견되고 있다. 올해 4월 미국의 사이버 보안 전담 기관인 CISA는 인컨트롤러(Incontroller) 혹은 파이프드림(PipeDream)이라고 불리는 PLC용 멀웨어에 대한 보안 경고문을 발표하기도 했다.

3줄 요약
1. ICS 사용자들을 위한 비밀번호 크래킹 도구가 여러 채널에서 광고되고 있음.
2. 그런데 그 중 하나를 분석하니 백도어와 크립토재킹 멀웨어가 숨겨져 있었음.
3. ICS 환경에서 사용되는 PLC 제품 상당수가 비슷한 위험에 노출되어 있는 듯함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)