세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
슈나이더의 산업 장비 공략하는 멀웨어, 트리톤
  |  입력 : 2018-01-19 17:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이란이 사우디아라비아 노리고 만들었을 가능성 가장 높아
보안의 기본 실천 수칙만 잘 지켜도 공격 성립하지 않아


[보안뉴스 문가용 기자] 슈나이더(Schneider)에서 출시한 트리코넥스 안정성 기구 시스템(Triconex Safety Instrumented System, SIS)에서 두 가지 멀웨어가 최근 발견됐다. 이름은 트리톤(Triton)과 트리시스(Trisis)다. 둘 다 제로데이 취약점을 익스플로잇하며, 사회 기반 시설 및 기반 산업을 공격한다.

[이미지 = iclickart]


이 두 멀웨어는 중동지역에서 활동하다가 보안 업체인 파이어아이(FireEye)와 드라고스(Dragos)에 의해 발견됐다. 트리톤은 공정 프로세스를 모니터링하고 안전하게 저장하거나 폐쇄시키는 기능을 가진 SIS 장비들을 공격한다. 트리시스도 공격 목적이라는 점에서는 트리톤과 큰 차이를 나타내고 있지 않다.

처음 이 공격에 대한 보도가 있었을 때 슈나이더는 ‘제품 내 취약점’을 익스플로잇 한 공격이 아닐 거라고 주장했다. 하지만 지금은 그 주장을 번복하고 “오래된 버전에서 발견된 오류를 공략하는 공격”임을 받아들였다.

슈나이더는 “이전 버전 중에서도 소수만이 트리톤의 공격에 노출되어 있다”는 입장이다. 또한 다음 주 내에는 패치를 배포하겠다고 발표했다. 여기에 더해 산업 제어기들을 검사해 멀웨어를 탐지 및 삭제하는 툴도 다음 달 내에 개발 완료하겠다고 했다.

하지만 슈나이더는 “사용자들이 기본 보안 실천 수칙만 잘 지켜도 트리톤의 공격을 막을 수 있다”고 한다. “트리톤 멀웨어는 PROGRAM 모드로 설정되어 있을 때만 공격이 가능합니다. 슈나이더는 고객들에게 PROGRAM 모드를 활성화시킬 땐 매우 조심해야 한다고 당부합니다. 이에 PROGRAM 모드를 꺼두었다면 트리톤으로 기기 침해를 받는 일은 없을 겁니다.”

제어 시스템에 침투 성공한 트리톤은 시스템을 스캔하고 매핑하는 기능을 가지고 있다. “ICS를 검사하고 조사한 후 매핑까지 합니다. 이로써 공격자들에게 ‘정찰 정보’를 제공하는 것이죠. 이를 바탕으로 공격자들은 트리톤에 명령을 전달합니다. 즉, 일종의 원격 접근 트로이목마(RAT)인 건데요, 한번 당하면 치명적인 결과가 나타날 수 있습니다.”

슈나이더는 고객들에게 “트리코넥스 제품의 매뉴얼에는 ‘보안 고려사항(Security Considerations)’라는 부분이 있고, 이를 준수하는 편이 안전하다”고 권고하고 있다. 슈나이더가 말하는 보안 고려사항에는 1) 제어 장비를 캐비닛에 넣고 잠가서 보관한다, 2) PROGRAM 모드에 진입할 때 경고 소리가 나도록 설정한다 등이 있다.

아직 트리톤이나 트리시스 공격의 배후에 누가 있는지는 밝혀지지 않았다. 하지만 공격의 수준을 봤을 때 국가의 후원을 받고 있는 해킹 단체일 가능성이 높다고 보안 업체들은 말한다.

산업 보안을 전문으로 하는 업체 사이버엑스(CyberX)는 “트리톤을 분석해봤을 때 이란의 해커들이 배후에 있을 가능성이 가장 커보인다”는 의견이다. “그렇다면 공격 목표 역시 확실해지는데, 바로 사우디아라비아입니다. 앞으로 사우디아라비아에서 트리톤과 트리시스와 관련된 소식들이 나올 것이 분명합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)