출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=106023&kind=0

2016년 우크라이나 정전 사태를 일으켰던 인더스트로이어 멀웨어가 다시 나타났다. 이번에도 한 전력 관련 회사를 치려고 나타난 것이라고 한다. 우크라이나 침해 대응 센터는 피해가 일어나기 전 공격을 무력화시켰으나 아직 최초 침투 경로는 알 수 없다고 한다.

[보안뉴스 문가용 기자] 우크라이나의 긴급 대응 센터(CERT-UA)가 보안 업체 이셋(ESET) 및 IT 기업 마이크로소프트(Microsoft)와 연계하여 전기 공급망을 겨냥한 사이버 공격 시도를 무력화시켰다고 발표했다. 공격이 성공했다면 우크라이나 일부 지역에서 대규모 정전이 일어났을 거라고 한다.
 

[이미지 =utoimage]

공격의 배후에는 러시아의 악명 높은 해킹 단체 샌드웜(Sandworm)이 있다고 한다. 이들이 공격에 사용한 건 인더스트로이어(Industroyer)라는 멀웨어의 새로운 버전이다. 인더스트로이어는 2016년 12월 우크라이나의 수도 키이우에 정전을 일으킨 멀웨어다. 이번 공격에서 샌드웜은 인더스트로이어 외에 윈도, 리눅스, 솔라리스와 같은 OS 환경의 디스크들을 삭제하는 도구도 같이 사용했다고 한다. 

우크라이나의 CERT는 현재  나라가 전쟁 중인 것을 감안해 이러한 소식과 함께 침해지표를 광범위하게 배포하는 중이다. 이에 의하면 러시아의 이번 공격 캠페인은 거의 대부분 우크라이나 기반 시설 관리 업체들을 노리고 있다고 하며, 해외 조직들 중 이 공격에 노출된 사례는 거의 없다고 한다. 하지만 CERT-UA의 컨설턴트인 안드라이 베즈베르키이(Andrii Bezverkhyi)는 “에너지 산업 내 세계 모든 기업들은 샌드웜의 공격에 주의해야 한다”고 발표했다.

“샌드웜은 광범위한 공격을 할 수 있는 조직입니다. 따라서 에너지 외 다른 산업도 노릴 수 있고, 우크라이나 외 다른 지역도 공격할 수 있습니다. 뿐만 아니라 샌드웜의 공격을 흉내 낸 악성 행위가 다른 해킹 조직에 의해 발생할 수도 있습니다. 이번 사태를 계기로 모두가 샌드웜에 대해 주의하는 것이 좋습니다.”

위험하고 지속적인 위협
샌드웜은 러시아의 첩보 기관인 GRU에 소속된 해킹 부대라고 알려져 있다. 그 동안 보안 업계를 들썩이게 할 만한 해킹 공격을 여러 차례 감행했는데, 우크라이나의 전기 공급망을 겨냥한 공격이 가장 유명하다. 2015년 샌드웜은 블랙에너지(BlackEnergy)라는 멀웨어를 사용해 우크라이나에 대규모 정전 사태를 야기시킨 바 있다. 바로 다음 해인 2016년 인더스트로이어를 사용해 비슷한 피해를 우크라이나에 안겼다. 곧 이어 낫페트야(NotPetya)라는 삭제형 멀웨어를 사용해 공격을 감행했고 2018년 평창에서 열린 동계올림픽에 공격을 시도하기도 했다.

그런 일련의 사건들이 수년에 걸쳐 지나간 후 인더스트로이어가 업그레이드 된 채 다시 등장한 것으로, 이번 버전은 전기 공급에 차질을 빚게 하는 것이 목적인 것으로 보인다. 보안 업체 이셋과 드라고스(Dragos)는 과거 인더스트로이어를 분석해 “공격자가 스위치나 차단기를 원격에서 제어할 수 있게 된다”고 경고하기도 했었다. 그렇다는 건 시설에 물리적인 영향을 줄 수 있다는 뜻이 된다.

인더스트로이어의 특징 중 하나는 취약점을 익스플로잇 하지 않는다는 것이다. 또한 특정 ICS 벤더의 제품만을 공격하는 것도 아니다. 2016년에 발견된 버전이나 이번에 나타난 버전이나 다양한 ICS 프로토콜들을 공략함으로써 다양한 환경에서 작동할 수 있는 것이 특장점이라고 할 수 있다.

이셋의 위협 분석 부문 책임자인 장이안 부탕(Jean-Ian Buotin)은 이번에 발견된 버전을 인더스트로이어 2라고 부르며 “산업 장비들과 통신하는 데에 있어 한 가지 프로토콜만 사용한다”고 설명한다. “인더스트리어 1의 경우는 모듈 구성이었고, 네 가지 산업 프로토콜을 사용했습니다. 하지만 이번에는 한 가지 통신 프로토콜(IEC-104)만을 탑재하고 있지요. 아마도 그렇게 했을 때 멀웨어 활용이 더 쉬워지기 때문인 것으로 예상합니다.”

두 번째 버전이 단 하나의 통신 프로토콜만 노린다는 건, 인더스트로이어 운영자들이 여러 차례 실험을 거쳐 가장 확실한 것 하나만 선택한 것이라고도 볼 수 있다. “현재 공격을 받고 있는 시설들에 대한 정보를 입수해 거의 비슷한 환경에서 각종 공격 실험을 진행했을 수도 있습니다.” 부탕의 설명이다.

윈도, 리눅스, 솔라리스 등 각종 OS에서 작동하는 파괴형 멀웨어를 동반하고 있다는 것은 공격자의 의도가 에너지 공급에 차질을 빚고, 복구를 최대한 느리게 만들겠다는 것으로 해석된다. 샌드웜이 이번에 사용한 삭제형 멀웨어는 캐디와이퍼(CaddyWiper)와 오크쉬레드(Orcshred), 솔로쉬레드(Soloshred), 오풀쉬레드(Awfulshred)라고 한다. 

아직까지 CERT-UA는 공격자들이 어떻게 최초 침투에 성공했는지는 알 수 없다고 한다. 또한 기업 네트워크에서 ICS 시스템으로 옮겨간 방법에 대해서도 아직은 조사 중에 있다. 하지만 현재까지 수집된 증거들을 봤을 때 2월과 4월, 총 두 차례에 걸쳐 공격이 일어난 것으로 보인다고 한다. 또한 정전의 시기를 4월 8일로 잡은 것도 이번에 드러났다.

이번 사건을 통해 CERT-UA는 “러시아의 해커들이 전력 공급망의 여러 층위를 다양하게 공격할 수 있다는 사실을 알 수 있었다”고 말한다. 즉 ICS 장비, 네트워크 장비, 운영용 워크스테이션과 서버까지도 전부 샌드웜의 공격 범위 안에 들어간다는 뜻이 된다. “샌드웜의 기술력이 훨씬 높아졌다고 볼 수 있습니다. 만약 공격이 성공했었다면 전력 공급을 복구시키는 데 수일에서 수주 걸렸을 겁니다.”

샌드웜은 윈도의 스케줄러나 유닉스의 크론(cron) 등 피해자의 시스템에 설치된 합법적인 유틸리티를 사용해 공격하는 데 능숙한 그룹으로 알려져 있다. 즉 ‘리빙 오프 더 랜드(living-off-the-land)’ 전략을 잘 사용한다는 것이다. “최신 취약점의 익스플로잇도 잘 하는 단체입니다. 공격에 있어서는 다양한 고급 기술을 선보이고 있으며, 그만큼 공격 기술력에 있어서 앞선 자들이라고 볼 수 있습니다.”

보안 업체 맨디언트(Mandiant)의 수석 분석가 루크 맥나마라(Luke McNamara)는 샌드웜이 최근 그룹 정책 객체(GPO)를 공격에 악용하는 전략을 선보이기도 했다고 말한다. “GPO를 통해 피해자의 네트워크 내에서 멀웨어를 증식시키던 사례가 일부 존재합니다. 액티브 디렉토리의 보안이 왜 중요한지를 드러내는 사례라고 볼 수 있습니다.”