청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 4
2017.06.14 (08:07:41)

작년 우크라이나 전력망 공격한 위협 그룹 ‘일렉트럼’
특정 벤더나 취약점 사용 않고, 통신 프로토콜 이용
전 세계 전력망 대상으로 공격 가능... 대규모 정전 우려


오직 전력망을 겨냥한 멀웨어가 최초로 등장했다. 사이버 보안 전문업체 드라고스(Dragos)와 ESET는 이런 사실을 발견해 이번 주 경고했다.

해 당 멀웨어 공격은 스스로 ‘일렉트럼(ELECTRUM)’이라 칭한 위협 그룹에 의해 벌어졌다. 드라고스는 이 멀웨어를 ‘크래시오버라이드(CrashOverride)’, ESET는 ‘인더스트로이어(Industroyer)’라고 이름 붙였다. 2016년 12월 우크라이나 전력망을 겨냥한 이 멀웨어 공격은 약 1시간 동안 키예프 일부 지역에 정전을 일으켰다.

[이미지=iclickart]


일 렉트럼의 멀웨어는 특정 벤더 기술만 노리는 것도 아니고 취약점만을 사용하는 것도 아니다. 대신에 산업 제어 시스템에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 설계, 조준, 공격하기 위해 설계됐다. 이 멀웨어는 프로토콜의 정상 사용 범위 내에서 움직이기 때문에, 패칭이나 안티 멀웨어 툴, 망 분리(air-gapping), 방위선내 방어 툴(perimeter defense tools)과 같은 보통의 방어 조치로는 공격을 멈출 수 없다.

ESET의 선임 멀웨어 연구원 로버트 리포브스키(Robert Lipovsky)는 “이 멀웨어의 목적은 의심할 여지없이 사이버 사보타주”라고 말한다.

그 러나 리포브스키는 우크라이나에서의 공격으로 그들이 정확히 무엇을 이루려고 했는지는 명확하지 않다고 밝혔다. 멀웨어의 정교함이나 이를 개발하기 위해 공들인 정도를 고려해볼 때, 해당 공격 자체가 끼친 영향은 다소 적었다고 할 수 있고 아마도 시험 삼아 해봤을 가능성이 있다고 리포브스키는 말한다. “이 공격의 잠재력은 훨씬 더 크다고 할 수 있습니다. 통신 프로토콜과 공격 대상인 하드웨어가 전 세계적으로 핵심적인 인프라에 사용되기 때문입니다.”

크래시오버라이드가 특정 벤더, 구성, 취약점을 이용하지 않으므로 공격자들은 멀웨어의 목적을 아주 쉽게 바꿀 수 있고, 미국을 포함한 전 세계의 거의 모든 전기 설비를 대상으로 공격을 펼칠 수 있다. 드라고스의 위협 첩보 이사 세르지오 칼타지로네(Sergio Caltagirone)는 “크래시오버라이드에서 가장 중요한 사실은 특정 벤더 등에 제한되지 않는다는 점”이라고 설명했다. 크래시오버라이드를 사용하면 공격자들은 거의 아무런 수정도 하지 않고 전 세계 전력망을 대상으로 작전을 펼칠 수 있다. “모든 사람이 공격 대상이라고 말하는 게 아니라, 전력망을 공격하는 역량에서 엄청난 진보가 있었다는 사실을 지적하는 겁니다.” 칼타지로네는 강조했다.

두 건의 기술 보고서를 통해 드라고스와 ESET은 이 멀웨어를 네 개의 모듈이나 페이로드 요소로 된 프레임워크라고 묘사했다. 이 프레임워크를 통해 공격자는 전기를 분배하는 변전소 내의 회로 차단기와 스위치를 원격 제어할 수 있다. 페이로드는 단계적으로 구성돼 있는데, 먼저 목표 네트워크를 정하기 위해 특정 ICS 프로토콜을 사용한 뒤, 네트워크 상의 ICS 기기를 제어하기 위한 명령들을 찾아내 실행한다.

공격자는 크래시오버라이드를 사용해 변전소 안의 회로 차단기를 열고 시설 관리자가 차단하려고 할 때조차 계속 열려있도록 강제한다. 이는 결국 변전소가 무전압 상태가 되도록 만들며, 관리자가 수동으로 작동할 수밖에 없게 만든다.

또 한 공격자는 멀웨어를 사용해 회로 차단기를 계속 켰다 껐다 하면서 자동화된 보호 조치가 실행될 때까지 기다린다. 이 때, 전체 전력망은 운영의 안정성을 확보하는 차원에서 해당 변전소를 나머지 망에서 고립시킨다. “최악의 경우, 전기가 전송되거나 분배되는 장소가 나머지 망에서 분리되는 사태가 발생해 정전이 일어날 수 있습니다.” 칼타지로네는 설명을 이었다.

이런 고립 사태로 발생한 정전이 얼마나 지속될지는 각 변전소의 아키텍처에 달려있다고 칼타지로네는 말한다. 2016년 12월 우크라이나 공격에서는 망 관리자가 빠르게 수동 운영으로 전환시킨 덕분에 약 75분 만에 공격 받은 지역에 전기를 복구할 수 있었다. 변전소 운영이 더 자동화된 미국에서는, 이런 수동 복구가 훨씬 더 어려울 것으로 보인다. 칼타지로네는 크래시오버라이드에 의한 정전은 대략 이틀에서 닷새까지 걸릴 수 있다고 내다봤다.

크래시오버라이드는 산업 제어 시스템과 네트워크만을 겨냥한 알려진 멀웨어 중 네 번째다. 앞서 세 가지는 스턱스넷(Stuxnet), 하벡스(Havex), 블랙에너지(BlackEnergy) 등이다. 별로 놀랍지도 않지만, 네 번째인 크래시오버라이드는 앞선 세 가지 멀웨어의 요소와 전략들을 포함하고 있다. 그러나 그것들과는 매우 다르기도 하다.

예컨대 스턱스넷 멀웨어는 우라늄을 농축하는 이란 나탄즈(Natanz)의 시설에 원심 분리기를 파괴하려는 매우 특정한 목적으로 맞춤 제작됐다. 임무를 완수하기 위해 스턱스넷은 네 개의 제로데이 취약점을 사용했다. 블랙에너지2와 하벡스는 모두 ICS 시스템과 네트워크에서 몰래 정보를 빼내려는 목적에서 설계됐다고 카탈지로네는 설명했다.

반면 크래시오버라이드는 단 하나의 목적을 갖고 있다. 전기의 운영을 방해하고 파괴하는 것이다.

이 멀웨어가 스턱스넷과 비교되는 지점은, 산업 하드웨어와 직접적으로 통신하는 능력을 갖췄다는 부분에서다. 이런 능력을 갖췄다고 알려진 멀웨어는 크래시오버라이드와 스턱스넷 밖에 없다고 리포브스키는 덧붙였다.

“이 멀웨어는 극도로 정교화한 작품이 분명합니다. 풍족한 자원을 바탕으로, 실력 있는 공격자들에 의해 만들어진 작품이요. 공격자들은 전력망 변전소 내의 아키텍처와 시스템에 대해 깊이 있는 지식을 갖고 있습니다.” 리포브스키는 말한다. “이것이야말로 이 공격이 가장 두려운 이유이기도 합니다. 해당 하드웨어와 소통 프로토콜이 우크라이나에만 국한된 것이 아니라 전 세계의 핵심적인 인프라에서 모두 사용된다는 점을 고려하면 말입니다.”

또 다른 보고서들은 우크라이나 공격을 행한 일렉트럼이 러시아와 연계하고 있다고 지적한다. 한편, 리포브스키와 카탈지로네는 한 목소리로, 지금 이 시점에 그런 연관성을 증명할 어떤 결정적인 증거도 없다고 말한다. 그러나 일렉트럼은 2014년 10월, 다수의 미국 회사를 공격한 것으로 알려진 러시아의 사이버 스파이 그룹 샌드웜 팀(Sandworm Team)과 직접적인 연관이 있는 것으로 보인다.

리포브스키는 “공격자의 신원에 대해 아무것도 알지 못하지만 전형적인 사이버 범죄자나 멀웨어 제작자가 아니라는 것만큼은 확실하다”고 강조했다.
번호 제목 닉네임 조회 등록일
6501 어도비 제품군 최신 보안취약점…악성코드 감염 위험 커 주의
[레벨:30]관리자
3 2017-06-16
6500 사이버 공격자들, Samba 취약점 악용해 시스템 공격…주의
[레벨:30]관리자
5 2017-06-16
6499 전력그리드 공격용으로 제작된 크래쉬 오버라이드 악성코드
[레벨:30]관리자
4 2017-06-16
6498 랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
[레벨:30]관리자
5 2017-06-16
6497 미국이 디도스 봇넷의 배후로 북한을 공식 지목했다
[레벨:30]관리자
3 2017-06-16
6496 CVE-2017-8551 外
[레벨:30]관리자
4 2017-06-16
6495 인터넷나야나 랜섬웨어, 또 다른 웹호스팅 업체 공격 ‘전적’
[레벨:30]관리자
3 2017-06-16
6494 인터넷나야나, 파산 각오하고 해커와 협상한다고?
[레벨:30]관리자
2 2017-06-15
6493 유로폴 공조로 지불카드 사기단 31명 검거 성공
[레벨:30]관리자
1 2017-06-15
6492 어도비 플래시 업데이트 파일 위장 ‘직소’ 랜섬웨어 유포중
[레벨:30]관리자
2 2017-06-15
6491 웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
[레벨:30]관리자
6 2017-06-14
Selected 오직 전력망만 노리는 멀웨어, 전 세계 정전 위험
[레벨:30]관리자
4 2017-06-14
6489 CVE-2017-1247 外
[레벨:30]관리자
4 2017-06-14
6488 일본 14세 소년, 랜섬웨어 만들었다가 체포
[레벨:30]관리자
3 2017-06-13
6487 러시아 해커, 카타르통신 해킹해 가짜 뉴스 업데이트…혼란 조장
[레벨:30]관리자
5 2017-06-13
6486 웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
[레벨:30]관리자
6 2017-06-13
6485 CVE-2017-9543 外
[레벨:30]관리자
4 2017-06-13
6484 유명 브랜드 URL 꼼꼼히 살펴야 피싱 공격 피한다
[레벨:30]관리자
4 2017-06-12
6483 CVE-2015-8538 外
[레벨:30]관리자
6 2017-06-12
6482 CVE-2016-9991 外
[레벨:30]관리자
3 2017-06-12
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X