세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
산업 통제 시스템에 대한 해킹 공격, 실제로 발생한다
  |  입력 : 2017-12-15 16:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
경고와 예측만 무수한 산업 통제 시스템 해킹 공격...실제 사례 최근 있어
스턱스넷이나 인드스트로이어 이후 처음...정부가 뒤를 봐주고 있는 듯


[보안뉴스 문가용 기자] 산업 통제 시스템(ICS)에 대한 사이버 공격은 물리적인 피해를 입힐 수 있고, 사회 질서를 무너트릴 수 있다는 점에서 끊임없는 주의 및 경고 대상이었다. 하지만 공격을 성공시키는 게 쉬운 일만은 아니라는 점에서, 그리고 실제 공격은 좀처럼 일어나지 않기 때문에 긴장의 끈이 빡빡하게만 조여져 있던 것은 아니었다. 그러나 이도 옛말이 될 것으로 보인다.

[이미지 = iclickart]


최근 국가의 후원을 받는 것으로 보이는 위협 행위자 한 무리가 ICS를 공격해 자신들이 직접 제작한 멀웨어를 심어 시스템 리프로그래밍을 시도한 일이 발각됐다. 이에 대해서 보안 업체 파이어아이(FireEye)가 상세한 보고서를 제작해 이번 주 발표했다. 수많은 경고와 칼럼들 때문에 ICS의 취약점을 노린 해킹 공격 시도가 최근 많을 것 같지만, 사실 스턱스넷(Stuxnet)과 작년 인더스트로이어(Industroyer) 이후로 대중에게 공개된 ICS 공격 실례는 이번이 처음이다.

파이어아이는 공격을 받은 조직에 대해 밝히지 않고 있다. 위치적인 힌트조차 공개하지 않았다. 하지만 또 다른 보안 업체 시만텍(Symantec)과 사이버엑스(CyberX)가 비슷한 시기에 했던 발언들을 미루어 보건데 피해 기업 혹은 피해 시스템은 중동, 특히 사우디아라비아에 있는 것으로 보인다. 스턱스넷 역시 이란이 공격 목표였다.

파이어아이가 구체적인 정보를 밝히지 않는 이유는 “피해자를 공개하는 게 이번 보고서 발표 목적이 아니기 때문”이다. “이번 보고서를 발표한 건 ICS 보안에 대한 업계의 경고가 더 이상 공허한 외침이 아니라는 걸 알려주고 싶었기 때문입니다. 게다가 이번에 실제로 발생한 공격의 표적은 안전과 관련된 시설물의 ICS였습니다. 공격자들이 안전 시스템을 마비시키거나 고장 낼 수 있다는 건 ICS 해킹 중에서도 진짜 심각한 사안입니다.” 파이어아이의 첩보 분석 책임자인 존 헐트퀴스트(John Hultquist)의 설명이다.

대신 파이어아이는 공격에 활용된 멀웨어에 대해서는 공개했다. 조사 과정 중에 파이어아이가 발견한 건 트리톤(TRITON)이란 멀웨어로 “슈나이더 일렉트릭(Schneider Electric)에서 제조한 트리코넥스 안정성 기구 시스템(Triconex Safety Instrumented System)의 행동 특성을 조작하기 위해 만들어진 것”이라고 한다.

안정성 기구 시스템, 혹은 SIS는 실제 공장 및 생산 시설에서 흔히 사용되고 있는 것으로, 중요 시스템을 독립적으로 모니터링 하는 기능을 가지고 있다. 해당 시스템이 안정적으로, 평소와 다름없이 움직이고 있다는 걸 항상 확인시켜주기 위해서다. 또한 이상한 현상이 탐지되면 자동으로 그 부분의 운영을 중단시키기도 한다. 트리톤은 이러한 SIS 시스템에 속해 있는 정상 애플리케이션으로 위장되어 있었다.

파이어아이에 의하면 “공격자는 윈도우 체제의 트리코넥스 SIS 워크스테이션으로의 원격 접근에 성공한 후 트리톤을 설치했다.” 설치 목적은 SIS 제어기의 애플리케이션 메모리를 리프로그램하기 위해서였다. 이 과정 중에 SIS 제어기 일부는 안전 모드를 발동시켜 프로세스를 자동으로 차단하기도 했다. 하지만 트리톤의 공격을 완전히 멈춘 것은 아니었다. 파이어아이는 “리프로그래밍의 목적은 결국 시설 내 물리적인 피해를 발생시키기 위한 것”으로 보고 있다.

“공격자들은 결국 SIS를 일정 수준으로 조작하는 수준에까지 이르렀거나, 이르기 위해 공격을 한 것으로 보입니다. 해당 시설이 안전하지 못한 상태에서도 경고 없이 계속해서 가동되도록 꾸몄겠죠. 아니면 아예 모든 시스템을 중단시켜 아무런 작업도 할 수 없고 생산도 되지 않게 만들거나요.”

한편 시만텍은 “적어도 지난 9월부터 트리톤의 뒤를 쫓고 있었다”고 말한다. “트리톤은 윈도우 시스템을 노리는 멀웨어로, SIS 워크스테이션이나 기기에 도달하는 걸 최종 목표로 삼고 있습니다. 그리고 SIS에 이상한 코드를 주입하죠. 이 코드는 SIS의 기능이나 성능을 바꿔 평소와 다른 기능을 하거나, 평소 수행했던 기능을 못하게 합니다. 하지만 정확한 피해 사항은 아직 조사 중에 있습니다.”

파이어아이는 왜 이 공격자들을 ‘정부와 관련이 있는 자’라고 볼까? 여기엔 몇 가지 단서들이 있다. 파이어아이는 “돈을 노린 공격이 아니고, 피해와 충격에 목적을 둔 공격”이라는 게 가장 큰 증거라고 말한다. 또한 공격자가 SIS 접근에 성공하자마자 트리톤을 설치했다며, 이미 트리톤이란 멀웨어를 개발하고 실전에 투입시키기만을 기다리고 있었다는 것 역시 이들의 준비성과 탄탄한 지원을 짐작케 한다고 지적한다. “ICS 공격을 미리 준비하고 실험할 수 있는 사이버 범죄 단체는 거의 없습니다.”

사이버엑스의 부회장 필 너레이(Phil Neray)는 “공격 목표가 사우디인 듯 하다”고 말한다. “그렇다면 이란이 공격자일 가능성이 높아 보입니다. 이란은 몇 년 전 사우디아람코(SAudi Aramco)라는 석유 회사를 공격하기도 했었죠.” 하지만 파이어아이는 이 점에 대해 아무런 언급도 하지 않았다. 다만 헐트퀴스트는 “최근 러시아, 이란, 북한 해커들이 ICS를 노렸거나 공격 시도한 사례들이 국제 보안 업계의 주목을 받고 있다”고 언급하긴 했다.

“최근 러시아 공격자들은 미국과 유럽 국가 일부의 핵 시스템을 자주 노리고 있고, 북한 역시 미국의 사회 기반 시설을 호시탐탐 노리고 있습니다. 이란도 중동 국가들을 노리고 해킹 활동을 벌이고 있고요. ICS에 대한 경고를 흘려들어서는 재앙과 같은 결과가 따를 것으로 보입니다.”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)