조금만 기다리면 ICS용 샌드박스 툴 무료로 나온다

입력 : 2018-01-18 17:03

현존 샌드박스 및 바이러스토탈 서비스로는 ICS 검사 못해
ICS 강화는 곧 사이버전 대비...스턱스넷이 대표적인 사례

[보안뉴스 문가용 기자] 일부 보안 전문가들이 산업 통제 시스템(ICS)를 겨냥한 멀웨어 샘플들을 찾아내고 분석하는 툴을 무료로 배포할 예정이다. 이 툴은 ‘허니팟 기능을 가진 샌드박스’ 형태로 운영된다.


이 ‘기특한’ 전문가들 중 하나는 보안 업체 사이버엑스(CyberX)의 부회장인 데이비드 앗치(David Atch)다. 나머지는 그 휘하에 있는 보안 전문가들이다. 그는 오늘 웹을 기반으로 한 샌드박스 툴을 무료로 배포한다는 계획을 발표했다. “ICS 시스템만을 위한 바이러스토탈(VirusTotal) 서비스를 시작한다는 것이죠.”

바이러스토탈은 인기 높은 온라인 툴로, 다양한 백신 및 스캐닝 엔진을 활용해 의심스러운 파일과 URL을 분석한다. 여기 ‘파일’과 ‘URL’을 ICS로 대체하면 앗치가 제공하고자 하는 서비스의 윤곽이 대충 그려진다.

“실제로 신업 현장에서 사용되는 ICS와 똑같은 샌드박스 환경을 만드는 것이 목표입니다. 그러면 그 안에서 ICS 멀웨어를 실행하고 분석해 데이터를 얻고, 그 데이터를 바탕으로 악성 행위들을 보다 상세하게 파악해낼 수 있으니까요. ICS에서의 수상한 행위들은 OPC(Open Platform Communications) 스캐닝이나 PLC(Programmable Logic Controller) 환경설정 파일을 덮어쓰기 하는 것이 있습니다.”

사이버엑스는 이 ICS용 툴을 수개월 내 배포하기 시작할 예정이다. “현존하는 네트워크 샌드박스 기술을 ICS에 그대로 적용할 수는 없습니다. 일반 IT 네트워크용 샌드박스로는 OT 프로토콜 및 기기들을 커버할 수가 없거든요. OT 요소들을 시뮬레이션 할 수도 없고요. 즉 ICS가 위기라고는 하지만, 적절한 방어 도구는 아직 없다고 해도 무방한 상태인 겁니다.” 현재의 바이러스토탈 서비스도 비슷한 이유로 ICS 시스템의 방어도구로서는 적당하지 않다고 그는 덧붙였다.

ICS를 뒤흔든 멀웨어 공격으로는 스턱스넷(Stuxnet)이 대표적이다. 스턱스넷의 첫 번째 샘플이 2007년 바이러스토탈로 제출됐을 때 어떤 일이 일어났을까? 랑그너 커뮤니케이션즈(Langner Communications)의 CEO인 랄프 랑그너(Ralph Langner)는 “바이러스토탈은 스턱스넷을 탐지할 수 없었다”고 말한다. “5년이 지난 2012년에서야 비로소 바이러스토탈에 스턱스넷 탐지 기능이 생겼습니다. ICS만을 위한 보안 툴이 나와야 한다는 데에 적극 동의합니다.”

랑그너는 스턱스넷 전문가로, “ICS의 멀웨어를 분석하려면 꽤나 많은 시간을 투자해야 한다”고 말한다. “스턱스넷을 분석하는 데에 저는 개인적으로 3년이 걸렸어요.”

ICS 전용 샌드박스를 만들자는 생각은 앗치 이전에도 있었다. 2013년 보안 업체 트렌드 마이크로(Trend Micro)의 보안 전문가들은 수도 사업 부문의 ICS/SCADA 환경을 시뮬레이션 한 허니팟 기반의 아키텍처를 두 개 개발해 발표했다. 실제 적용해본 결과 28일 동안 14개국에서 총 39번의 공격을 시도하고 있음을 알아낼 수 있었다. 이 부분에 대한 보고서는 여기(https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf)서 다운로드가 가능하다.

앗치의 무료 ICS 샌드박스 툴은 아직 개발 중에 있어 정확히 어떤 기능을 발휘할지, 언제 발표될지 알 수 없다. 하지만 앗치는 “OT 소프트웨어, 가상화된 ICS 프로세스 및 파일, 접근이 잘 일어나지 않는 ICS 네트워크 등을 포함하고 있을 것”이라고 말했다.

한편 ICS 등을 비롯한 사회 기반 시설을 노리는 공격자들은 대부분 국가의 후원을 받는 해커들인 것으로 알려져 있다. ICS를 탄탄하게 다지는 건 국가 간 사이버전에 대한 대비책이기도 하다. 위 트렌드 마이크로의 보고서에도 공격자들을 국가별로 분류했는데, 중국 해커가 35%, 미국 해커가 19%, 라오스 해커가 12%였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  2024년 3분기, 랜섬웨어 주요 이슈 4가...

• 2

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 3

  지난해 국내 정보보호 산업 총 매출액 16조...

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  비교적 안전했던 맥OS 생태계에서도 랜섬웨어...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...