Home > 전체기사

우크라이나 정전사태, 의외의 전개로 흐르나?

  |  입력 : 2016-01-28 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
추가 사실 몇 가지로 좁혀진 가능성 - 그러나 여전히 미궁

[보안뉴스 문가용] 지난 12월에 있었던 우크라이나 대규모 정전사태 때 사용되었던 도구들에 MS 오피스 엑셀 프로그램 내 매크로와 네트워크 스니퍼가 사용되었다는 사실이 발표되었다.


보안 전문업체인 센티넬원(SentinelOne)의 CSO인 에후드 샤미르(Ehud Shamir)는 당시 발견된 블랙에너지 3(BlackEnergy 3) 멀웨어를 리버스 엔지니어링했으며 매크로가 악용된 엑셀 스프레드시트가 네트워크 스니핑 툴이 포함된 페이로드를 피해를 입은 시스템에 다운로드시킨 것을 밝혀냈다. 현재 블랙에너지 3은 우크라이나 정전사태를 분석하는 전문가들 사이에서 ‘정찰병’ 역할을 했다는 평가를 받고 있다.

“네트워크를 스니핑 함으로써 공격자들은 많은 정보를 얻어낼 수 있었습니다. 로그인 정보는 물론이고요. 그렇게 하기 위해 패치가 되지 않은 오피스가 설치된 시스템을 찾아나선 것으로 보입니다. 그래야 매크로를 발동시켜 원하는 페이로드를 시스템에 퍼트릴 수 있으니까요.” 샤미르의 설명이다.

또한 샤미르는 블랙에너지에 감염된 엑셀 실행 파일(vba_macro.exe)이 네트워크 스니퍼 외에 또 다른 실행 파일을 드롭시킨다고 보고했다. 그러므로 공격의 시작은 스피어피싱 이메일일 가능성이 높다고 분석했다. 이는 초반부터 나왔던 공격 시나리오이기도 하다. 샤미르가 발표한 보고서에는 코드 스니펫과 스크린샷이 자세하게 공개되어 있다.

마이크로소프트는 CVE-2014-4114 업데이트를 통해 매크로의 취약점을 해결한 바 있다. 그러므로 공격자가 패치 안 된 시스템을 노렸거나 누군가 내부자 혹은 내통자가 다운그레이드를 몰래 진행하는 등 악의적인 노력을 했을 가능성도 있다.

이는 아직도 풀리지 않는 ‘도대체 어떻게 해커들이 우크라이너 전력 시설을 한 순간에 폐쇄시켰을까?’의 의문에 한 발짝 다가간 것일까? 샤미르는 “한 발짝인지 두 발짝인지, 혹은 뒷걸음인지 완전한 답을 찾을 때까지는 알 수가 없다”고 답한다. 그의 말마따나 아직 해당 사건을 일으킨 직접적인 요인은 발견되지 않은 상태다. 따라서 논란은 여전하다. 다만 가능성은 크게 두 가지로 좁혀지긴 했다. 아직 발견되지 않은 멀웨어거나 원격 조정 장치의 통제권을 공격자가 완전히 가져갔거나.

한편 아이사이트 파트너즈(iSIGHT Partners)의 연구원들은 정전사태 직전에 통신설비 27곳에 일어났던 DoS 공격을 주목해야 한다고 주장한 바 있다. 이 공격 때문에 정전사태에 대한 대처가 늦었고 따라서 피해가 확산되었다는 것. 또한 해당 공격에서는 블랙에너지 뿐만 아니라 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용되었다는 사실도 주목해야 한다고 했다. 항간에 알려진 대로 디스크를 삭제한다고 해서 정전이 일어나는 건 아니라는 의미에서였다. 다만 킬디스크가 사용되는 순간부터는 수동 통제가 강요된다는 점은 간과해서는 안 된다. 수동 통제로 전환되고 나서부터는 시스템 전체가 취약해지기 때문이다.

한편 로이터 통신은 오늘 또 다른 우크라이나의 에너지 기업이 당시 공격에 당했다는 사실을 추가로 보도하며 에어갭(air-gap, 망분리) 처리되었어야 할 시스템이 인터넷에 연결되었기 때문에 피해를 본 것이라고, 올레 사이크(Oleh Sych)라는 관계자의 말을 인용했다. 보통 망분리 처리해서 관리하는 시스템에는 특급으로 중요한 정보들이 있는데, 이 시스템이 공격을 당했다는 것이다.

산업 통제 시스템 보안 전문가인 조엘 랭일(Joel Langill)은 한 매체와의 인터뷰를 통해 “우크라이나 정전사태에서 공격을 당한 건 엔드 시스템이 아니라 네트워크”라고 밝힌 바 있다. “커뮤니케이션의 버퍼 오버플로우나, 에어갭 네트워크의 소홀한 관리, 소프트웨어 자체의 버그 등 전혀 관련이 없는 문제점들이 결국 하나로 뭉쳐져 산업 통제 시스템의 작동 불능 상태를 야기했고, 이것이 결국 대단위 정전으로 이어졌”기 때문이라는 것.

“정말로 정전을 직접 일으킬 정도로 킬디스크와 블랙에너지 멀웨어가 치명적인 작용을 했다면, 정전사태 이후 다시 전기가 복구되기까지 걸린 시간이 말도 안 되게 짧은 거라고 생각합니다. 어쩌면 아직까지 ICS/SCADA의 중요 요소들은 복구 불능 상태였을 수도 있어요. 블랙에너지 등이 영향을 미치지 않았다는 게 아니라 매체에 보도되는 것처럼 치명적인 역할을 하지는 않았다는 것이죠.” 랭일의 의견이다.

현재까지 발견된 건 블랙에너지와 킬디스크라는 멀웨어이며, 보안 전문가들 사이에선 이 두 멀웨어가 정전을 직접 일으켰다, 아니다로 의견이 팽팽히 맞서고 있다. 블랙에너지에서는 매크로 기능과 네트워크 스니핑 페이로드를 드롭시키는 기능이 발견되었고, 이는 스피어피싱 공격의 가능성을 높인다. 킬디스크는 데이터 삭제 기능을 가지고 있어, 당시 통신시설을 마비시키는 데 사용되었다. 또한 최근 로이터에 보도된 대로 관리 부실로 뜻하지 않게 피해를 본 곳도 있는 것으로 보아 정전사태가 공격자의 예상보다 크게 확대되었을 가능성도 새롭게 생겨났다.

아직 우크라이나 사건에 대한 풀스토리는 미궁 속에 남겨져 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화