보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

오직 전력망만 노리는 멀웨어, 전 세계 정전 위험

작년 우크라이나 전력망 공격한 위협 그룹 ‘일렉트럼’

특정 벤더나 취약점 사용 않고, 통신 프로토콜 이용
전 세계 전력망 대상으로 공격 가능... 대규모 정전 우려


오직 전력망을 겨냥한 멀웨어가 최초로 등장했다. 사이버 보안 전문업체 드라고스(Dragos)와 ESET는 이런 사실을 발견해 이번 주 경고했다.

해당 멀웨어 공격은 스스로 ‘일렉트럼(ELECTRUM)’이라 칭한 위협 그룹에 의해 벌어졌다. 드라고스는 이 멀웨어를 ‘크래시오버라이드(CrashOverride)’, ESET는 ‘인더스트로이어(Industroyer)’라고 이름 붙였다. 2016년 12월 우크라이나 전력망을 겨냥한 이 멀웨어 공격은 약 1시간 동안 키예프 일부 지역에 정전을 일으켰다.

일렉트럼의 멀웨어는 특정 벤더 기술만 노리는 것도 아니고 취약점만을 사용하는 것도 아니다. 대신에 산업 제어 시스템에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 설계, 조준, 공격하기 위해 설계됐다. 이 멀웨어는 프로토콜의 정상 사용 범위 내에서 움직이기 때문에, 패칭이나 안티 멀웨어 툴, 망 분리(air-gapping), 방위선내 방어 툴(perimeter defense tools)과 같은 보통의 방어 조치로는 공격을 멈출 수 없다.

ESET의 선임 멀웨어 연구원 로버트 리포브스키(Robert Lipovsky)는 “이 멀웨어의 목적은 의심할 여지없이 사이버 사보타주”라고 말한다.

그러나 리포브스키는 우크라이나에서의 공격으로 그들이 정확히 무엇을 이루려고 했는지는 명확하지 않다고 밝혔다. 멀웨어의 정교함이나 이를 개발하기 위해 공들인 정도를 고려해볼 때, 해당 공격 자체가 끼친 영향은 다소 적었다고 할 수 있고 아마도 시험 삼아 해봤을 가능성이 있다고 리포브스키는 말한다. “이 공격의 잠재력은 훨씬 더 크다고 할 수 있습니다. 통신 프로토콜과 공격 대상인 하드웨어가 전 세계적으로 핵심적인 인프라에 사용되기 때문입니다.”

크래시오버라이드가 특정 벤더, 구성, 취약점을 이용하지 않으므로 공격자들은 멀웨어의 목적을 아주 쉽게 바꿀 수 있고, 미국을 포함한 전 세계의 거의 모든 전기 설비를 대상으로 공격을 펼칠 수 있다. 드라고스의 위협 첩보 이사 세르지오 칼타지로네(Sergio Caltagirone)는 “크래시오버라이드에서 가장 중요한 사실은 특정 벤더 등에 제한되지 않는다는 점”이라고 설명했다. 크래시오버라이드를 사용하면 공격자들은 거의 아무런 수정도 하지 않고 전 세계 전력망을 대상으로 작전을 펼칠 수 있다. “모든 사람이 공격 대상이라고 말하는 게 아니라, 전력망을 공격하는 역량에서 엄청난 진보가 있었다는 사실을 지적하는 겁니다.” 칼타지로네는 강조했다.

두 건의 기술 보고서를 통해 드라고스와 ESET은 이 멀웨어를 네 개의 모듈이나 페이로드 요소로 된 프레임워크라고 묘사했다. 이 프레임워크를 통해 공격자는 전기를 분배하는 변전소 내의 회로 차단기와 스위치를 원격 제어할 수 있다. 페이로드는 단계적으로 구성돼 있는데, 먼저 목표 네트워크를 정하기 위해 특정 ICS 프로토콜을 사용한 뒤, 네트워크 상의 ICS 기기를 제어하기 위한 명령들을 찾아내 실행한다.

공격자는 크래시오버라이드를 사용해 변전소 안의 회로 차단기를 열고 시설 관리자가 차단하려고 할 때조차 계속 열려있도록 강제한다. 이는 결국 변전소가 무전압 상태가 되도록 만들며, 관리자가 수동으로 작동할 수밖에 없게 만든다.

또한 공격자는 멀웨어를 사용해 회로 차단기를 계속 켰다 껐다 하면서 자동화된 보호 조치가 실행될 때까지 기다린다. 이 때, 전체 전력망은 운영의 안정성을 확보하는 차원에서 해당 변전소를 나머지 망에서 고립시킨다. “최악의 경우, 전기가 전송되거나 분배되는 장소가 나머지 망에서 분리되는 사태가 발생해 정전이 일어날 수 있습니다.” 칼타지로네는 설명을 이었다.

이런 고립 사태로 발생한 정전이 얼마나 지속될지는 각 변전소의 아키텍처에 달려있다고 칼타지로네는 말한다. 2016년 12월 우크라이나 공격에서는 망 관리자가 빠르게 수동 운영으로 전환시킨 덕분에 약 75분 만에 공격 받은 지역에 전기를 복구할 수 있었다. 변전소 운영이 더 자동화된 미국에서는, 이런 수동 복구가 훨씬 더 어려울 것으로 보인다. 칼타지로네는 크래시오버라이드에 의한 정전은 대략 이틀에서 닷새까지 걸릴 수 있다고 내다봤다.

크래시오버라이드는 산업 제어 시스템과 네트워크만을 겨냥한 알려진 멀웨어 중 네 번째다. 앞서 세 가지는 스턱스넷(Stuxnet), 하벡스(Havex), 블랙에너지(BlackEnergy) 등이다. 별로 놀랍지도 않지만, 네 번째인 크래시오버라이드는 앞선 세 가지 멀웨어의 요소와 전략들을 포함하고 있다. 그러나 그것들과는 매우 다르기도 하다.

예컨대 스턱스넷 멀웨어는 우라늄을 농축하는 이란 나탄즈(Natanz)의 시설에 원심 분리기를 파괴하려는 매우 특정한 목적으로 맞춤 제작됐다. 임무를 완수하기 위해 스턱스넷은 네 개의 제로데이 취약점을 사용했다. 블랙에너지2와 하벡스는 모두 ICS 시스템과 네트워크에서 몰래 정보를 빼내려는 목적에서 설계됐다고 카탈지로네는 설명했다.

반면 크래시오버라이드는 단 하나의 목적을 갖고 있다. 전기의 운영을 방해하고 파괴하는 것이다.

이 멀웨어가 스턱스넷과 비교되는 지점은, 산업 하드웨어와 직접적으로 통신하는 능력을 갖췄다는 부분에서다. 이런 능력을 갖췄다고 알려진 멀웨어는 크래시오버라이드와 스턱스넷 밖에 없다고 리포브스키는 덧붙였다.

“이 멀웨어는 극도로 정교화한 작품이 분명합니다. 풍족한 자원을 바탕으로, 실력 있는 공격자들에 의해 만들어진 작품이요. 공격자들은 전력망 변전소 내의 아키텍처와 시스템에 대해 깊이 있는 지식을 갖고 있습니다.” 리포브스키는 말한다. “이것이야말로 이 공격이 가장 두려운 이유이기도 합니다. 해당 하드웨어와 소통 프로토콜이 우크라이나에만 국한된 것이 아니라 전 세계의 핵심적인 인프라에서 모두 사용된다는 점을 고려하면 말입니다.”

또 다른 보고서들은 우크라이나 공격을 행한 일렉트럼이 러시아와 연계하고 있다고 지적한다. 한편, 리포브스키와 카탈지로네는 한 목소리로, 지금 이 시점에 그런 연관성을 증명할 어떤 결정적인 증거도 없다고 말한다. 그러나 일렉트럼은 2014년 10월, 다수의 미국 회사를 공격한 것으로 알려진 러시아의 사이버 스파이 그룹 샌드웜 팀(Sandworm Team)과 직접적인 연관이 있는 것으로 보인다.

리포브스키는 “공격자의 신원에 대해 아무것도 알지 못하지만 전형적인 사이버 범죄자나 멀웨어 제작자가 아니라는 것만큼은 확실하다”고 강조했다.