'인더스트로이어‧인컨트롤러'…산업시설 노리는 멀웨어 '기승' [IT돋보기]

[아이뉴스24 김혜경 기자] 최근 우크라이나 전력망을 겨냥한 사이버 공격 징후가 포착된 가운데 특정 제조 장비를 대상으로 한 멀웨어(악성 소프트웨어)가 발견되면서 산업제어시스템(ICS) 보안에 대한 경각심이 높아지고 있다.

미국 보안업체 맨디언트(Mandiant)는 이번에 발견된 ICS 멀웨어를 '인컨트롤러(Incontroller)'로 통칭하고 러시아 정부를 배후로 추정했다. 러시아의 우크라이나 침공이 약 두 달 가까이 이어지면서 ICS를 노린 지능형지속위협(APT) 공격도 지속될 것이라는 전망이다.

◆ 러 침공 후 사이버 공격 전년 대비 3배 ↑

우크라이나 통신‧정보보호 서비스(SSSCIP)에 따르면 러시아 침공 이후 지난주 기준 우크라이나에서 발생한 사이버 공격은 362건으로 전년 동기 대비(122건) 3배 이상 많은 것으로 집계됐다. 가장 많은 공격을 받은 곳은 정부‧공공기관‧지방자치단체로 85건을 기록했고, 공격 유형으로는 멀웨어와 피싱 기법이 각각 96건, 95건으로 조사돼 가장 많았다.

SSSCIP와 우크라이나 침해사고대응팀(CERT)은 최근 발간한 주간 보고서에서 "에너지 인프라를 겨냥한 러시아 연계 해커조직의 공격이 빈번해지고 있다"며 "현재까지 발생한 모든 공격은 성공하지 못했지만 여전히 지속되는 추세"라고 전했다. 특히 '샌드웜(Sandworm)'의 전력망 해킹 시도를 각별히 유의해야 할 사이버 공격의 예시로 들었다.

앞서 지난 12일(현지시간) 우크라이나 CERT와 슬로바키아 보안기업 ESET는 샌드웜이 전력망을 겨냥한 멀웨어인 '인더스트로이어(Industroyer)2'를 조기에 포착해 저지했다고 공개한 바 있다. 인터스트로이어에서 파생된 악성파일로, 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이다. 해당 멀웨어는 ICS에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.

실제 공격이 발생하기 전 무력화했지만 최초 침투 경로는 여전히 불분명하다. 당시 ESET는 보고서를 통해 "공격자가 IT 네트워크에서 ICS 네트워크로 어떻게 이동할 수 있었는지 현재까지는 알 수 없다"고 전했다.

SK쉴더스 관계자는 "기존 공격 기법은 랜섬웨어에 ICS 공격 프로토콜을 내재화했다면 최근에는 공격 대상 범위를 세분화해 맞춤형 공격을 수행할 수 있는 수준까지 도달한 것으로 보인다"고 분석했다.

이어 "이번 전력망 공격 사례의 경우 일반 악성코드 내 ICS 기능을 추가 탑재한 방식으로 추정된다"며 "IT 내부 접점으로 진입했거나 내부망 관련 작업자를 해킹하는 방식도 가능할 것"이라고 덧붙였다.

◆ 슈나이더 일렉트릭‧오므론 특정 장비 겨냥한 '인컨트롤러'

맨디언트는 최근 슈나이더 일렉트릭(Schneider Electric)과 오므론(Omron)의 특정 장비를 겨냥한 ICS　멀웨어인 인컨트롤러를 발견했다. 멘디언트에 따르면 인컨트롤러의 툴은 공격자가 주요 산업 기기에 내장된 ICS를 조작해 ▲가동 중지 ▲산업 프로세스 마비 ▲안전 제어 비활성화 등의 용도로 사용될 수 있다. 인더스트로이어 등과 비슷한 수준의 멀웨어라는 분석이다.

네이선 브루베이커(Nathan Brubaker) 맨디언트 인텔리전스 분석 전문가는 "인컨트롤러의 기능은 과거 러시아가 사이버 공격에 이용했던 멀웨어와 일치한다"며 "우크라이나와 북대서양조약기구(NATO) 회원국, 러시아 침공에 적극 대응하는 다른 국가들에게 큰 위협이 될 것"이라고 강조했다. 현재 맨디언트는 이같은 위협과 관련된 추가적인 툴을 추적하고 있다.

문종현 이스트시큐리티 이사는 "특정 디바이스를 겨냥하는 이유는 내부망에 침투하기 위한 하나의 물리적인 방법"이라며 "디바이스에 펌웨어 등이 탑재되므로 공격자들은 기기 제조사, 소프트웨어업체를 해킹해 은밀하게 침투한 후 특정 기기를 판매한다거나 업데이트가 필요한 시기를 기다린다"고 설명했다.

이어 "해당 제품이 문제가 없는지 파악한 후 도입해야 하는데 사실 처음부터 끝까지 확인하는 작업이 쉬운 일은 아니다"며 "최근에는 정부나 기관에서 장비·시스템 도입 관련 검증 규정을 보완하는 방식으로 대응하고 있다"고 덧붙였다.