세상이 알고 있는 7번째 ICS 멀웨어, 성공적인 방어 사례 남기다

입력 : 2022-04-25 14:15

얼마 전 발견된 파이프드림 혹은 인컨트롤러는 고급 ICS 멀웨어이지만, 보안 업계에 새로운 성공 사례를 만들어 주었다. 하지만 발견되고 파악되었다고 해서 위협이 끝난 건 아니다. OT 네트워크의 고질적인 설계 문제를 파고드는 공격 기능을 가지고 있기 때문이다.

[보안뉴스 문가용 기자] 최근 미국 산업 현장에서 두 개의 ICS 멀웨어 프레임워크가 발견됐다. 파이프드림(Pipedream) 혹은 인컨트롤러(Incontroller)라고 불리는 악성 요소들로, ICS 보안 전문가들은 이 멀웨어를 실제 공격 전에 발견했다는 것이 “꽤나 커다란 보안 성공 사례”라고 입을 모으고 있다.


이전 ICS 환경에서 발생한 사고 사례와 달리 이번 파이프드림 사태에서 보안 담당자들은 멀웨어의 각종 요소들을 미리 탐지했을 뿐만 아니라 공격자의 기술을 파악하고 방어막을 적절히 세움으로써 실제 공격 행위가 발생하기 전에 막아낼 수 있었다. 파이프드림은 슈나이더와 옴론 제품들(특히 PLC)을 스캔하여 제어할 수 있다고 알려져 있지만 실제 현장에서 그러한 기능을 발휘한 적이 없다.

비록 성공적인 방어의 벽에 부딪히긴 했지만 파이프드림의 배후에는 국가 지원 해커들이 있을 것이 거의 확실해 보인다. OT 보안 전문 기업 노조미 네트웍스(Nozomi Networks)의 전략가 다니엘르 야블랑스키(Danielle Jablanski)는 “그래서 이번 조사 및 공격 차단 작전은 큰 성공”이라고 평가한다. “파이프드림은 공격을 시작도 못해보고 우리에게 많은 정보를 줬습니다. 그러니 방어 효율 측면에서 대단하다고 볼 수 있죠.”

파이프드림/인컨트롤러는 4월 14일 맨디언트(Mandiant)와 드라고스(Dragos)가 각각 관련 보고서를 발표하면서 세상에 모습을 드러냈다. 맨디언트는 이 멀웨어를 인컨트롤러로, 드라고스는 파이프드림이라고 이 프레임워크에 이름을 붙였다. 참고로 그보다 이틀 전인 4월 12일 보안 업체 이셋(ESET)은 우크라이나 에너지 공급 업체 한 곳과 협업하여 인더스트로이어 2(Industroyer 2) 멀웨어 공격을 방어했다고 발표하기도 했었다.

보안 업체 사이드(Scythe)의 CEO인 브라이슨 보트(Bryson Bort)는 “여러 정황을 봤을 때 러시아가 이런 OT 멀웨어 유포의 배후에 있을 가능성이 높다”고 말한다. “하지만 러시아 공격자들의 가장 큰 목표는 들키지 않는 것이 아닐까 합니다. 지금 상황에서 사회 기반 시설을 해킹했다는 게 알려지면, 군대의 공격을 받을 가능성이 높죠. 지금의 러시아로서는 다른 나라의 참전을 감당할 수가 없습니다. 그러니 은밀한 공격을 진행할 텐데, 이상하게 랜섬웨어를 동원하지는 않고 있네요.”

공격자들에게 있어 ICS는 쇼핑몰
파이프드림/인컨트롤러의 가장 무서운 점은 제로데이 익스플로잇이 포함되어 있다는 것만이 아니다. 세계 여러 산업 현장에서 흔히 발견되는 ICS 환경의 맞춤형 도구로서 완성이 되었다는 것이 가장 위협적인 특징이다. 크게 세 가지(맨디언트) 혹은 다섯 가지(드라고스)의 요소들로 구성되어 있으며 표적은 슈나이더와 옴론의 PLC 제품들 혹은 오픈 플랫폼 통신(OPC) 사양을 기반으로 한 통신 서버들이다. 

보트는 파이프드림 공격에 대해 “주요 제품들의 취약점을 찾아서 익스플로잇 하는 것이 아니라 보안 취약점을 야기시키는 각 요소들 간 호환성 및 구축상의 문제를 파고든다”며  “ICS의 구조 및 설계 결함을 악용하는 공격”이라고 정리해 설명한다. “결국 이런 공격이 통한다는 건 네트워크 구조가 대단히 단순하고 1차원적이라는 걸 뜻합니다. OT 네트워크가 상당히 그런 상태로 유지가 되는 게 사실이며, 그런 점이야 말로 설계상의 오류 혹은 구조적 오류이기 때문에 취약점 패치 몇 개로 해결되기가 힘듭니다. 앞으로 10~30년 동안 장비를 새것으로 교체해 가면서 서서히 해결해가야 할 문제입니다.”

슈나이더의 제품 보안 부문 부회장인 메간 샘포드(Megan Samford) 역시 “소프트웨어 취약점 문제 이상의 것”이었음을 강조했다. “공격자들은 ICS 환경에서 가장 많이 사용되는 제품을 골라 설계상 혹은 구축상의 오류를 집중 공략한 것입니다. 마치 쇼핑몰에 들어갔을 때 가장 먼저 보이는 매장에 쳐들어간 것이나 다름이 없죠. 공격자들 입장에서는 아주 간단한 과정이었을 겁니다. 이런 식의 공격은 누구나 할 수 있으며, 따라서 앞으로 비슷한 방향성의 시도는 계속해서 나타날 것으로 보입니다.”

현재까지 세상에 공개된 ICS용 공격 프레임워크는 7개 존재하며, 이는 다음과 같다.
1) 스턱스넷(Stuxnet)
2) 하벡스(Havex)
3) 블랙에너지 2(Black Energy 2)
4) 인더스트로이어(Industroyer) / 크래시오버라이드(CrashOverride)
5) 햇맨(HatMan) / 트리톤(Triton) / 트리시스(Trisys)
6) 인더스트로이어 2(Industroyer 2)
7) 파이프드림(Pipedream) / 인컨트롤러(Incontroller)

3줄 요약
1. ICS 겨냥한 멀웨어 파이프드림, 공격 한 번 못해 보고 발각됨.
2. 파이프드림은 네트워크 구조와 설계상의 오류를 공략하는 멀웨어.
3. 현재까지 발견된 ICS 공격 프레임워크는 총 7개.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 2

  국내 치과 사이트, 인도네시아 해커가 디페이...

• 3

  벤처 캐피탈 직원 사칭 피싱 공격 발견......

• 4

  Notepad++ 기본 플러그인 악용한 위키...

• 5

  사이버 보안이 사회 전체의 문제라는 걸 받아...

• 1

  벤처 캐피탈 직원 사칭 피싱 공격 발견......

• 2

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 3

  사이버 보안이 사회 전체의 문제라는 걸 받아...

• 4

  美 vs 中, 고래 싸움에 새우등 터지지 않...

• 5

  보안팀들이 보안을 강화할 때 자주 저지르는 ...

• 1

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국내 치과 사이트, 인도네시아 해커가 디페이...

• 4

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 5

  리멤버에게 온 ‘5,000P 포인트가 적립 ...