보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

스턱스넷과 비슷하지만 더 쉽고 효과적이 된 PLC 멀웨어가 실험실에서 탄생하다

입력 : 2024-03-06 16:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
PLC를 공략하기 위한 멀웨어가 새롭게 개발됐다. 스턱스넷과 비슷한데 더 간편하고 가볍고 효과적이라고 한다. 다행이라면 이 멀웨어가 연구자들 손에서, 실험실 환경에서 탄생했다는 것이다.

[보안뉴스 = 자이 비자얀 IT 칼럼니스트] 산업 현장에서 사용되는 ‘프로그래밍 가능한 논리 제어 장치’인 PLC에 웹 서버를 임베드하는 경우들이 빠르게 증가하고 있으며, 이 때문에 공격자들이 찔러볼 곳이 숨가쁘게 늘어나는 중이다. 그러면서 특히 사회 기반 시설들을 구성하고 있는 OT와 ICS가 위험해지고 있다.

[이미지 = gettyimagesbank]


이 문제를 보다 ‘가시적으로’ 드러내기 위해 최근 조지아공과대학의 연구원들이 멀웨어를 하나 개발했다. PLC에 임베드 된 웹 서버에 원격에서부터 접근할 수 있게 해 주는 웹 기반 멀웨어로, 침투 후 PLC의 근간에 있는 물리적인 시스템들까지 공격을 할 수 있었다고 한다. 액추에이터에 전달되는 신호를 바꾸고, 센서로 측정되는 값을 변경하고, 안전 관련 시스템을 비활성화시키는 등 큰 혼란을 야기할 수 있는 공격들이 죄다 성공했다고 연구원들은 밝혔다.

참고로 PLC는 공장이나 시설물의 ‘물리적 작업 공정’을 제어하는 역할을 담당하는 요소다. 공장이나 시설물 곳곳에 설치된 센서들로부터 데이터를 받아들이고, 그 데이터를 처리해서 물리적 공정에 활용되는 시스템들에 명령을 보낸다. 인공지능처럼 그때 그때 상황에 맞는 명령을 보내는 건 아니다. 미리 프로그래밍 된 로직에 따라 움직일 뿐이다. 관리자가 프로그래밍을 통해 설정을 변경하는 건 가능하다. 이런 PLC를 멀웨어로 감염시킬 경우 물리적 공정에 관여하는 각종 장비와 시스템들에 전달하는 명령을 조작할 수 있게 되고, 그럼으로써 큰 피해를 입히는 게 가능하다.

스턱스넷과 비슷한 PLC 멀웨어
PLC를 공략하는 멀웨어는 이전부터 꾸준히 개발되어 왔었다. 하지만 대부분 한 가지를 전제 조건으로 깔고 있다. 공격자가 공격하려는 PLC 시스템에 물리적으로 접근이 가능하다든가, 원격에서 이미 침투해 놓은 상태여야 한다는 것이다. 어떤 식으로든 피해자 시스템에 이미 침투해 있는 상황에서 사용 가능한 PLC 멀웨어들이 주로 개발됐었다. 그게 아니라도 특정 PLC 제품에 맞춰진 멀웨어가 대부분이었다. 그런 점에서 이번 멀웨어는 차별성을 가지고 있다.

“또한 대부분의 PLC 멀웨어들은 컨트롤러의 펌웨어나 제어 로직을 건드립니다. 이번에 개발된 웹 기반 멀웨어는 자바스크립트를 기반으로 하고 있으며, PLC의 프론트엔드를 공격한다는 점에서 차별성이 있습니다. 그렇기 때문에 기존 멀웨어들이 충족시켜야 했던 전제 조건들이 대부분 사라집니다.” 연구원들의 설명이다. “특정 플랫폼에 대한 의존도도 낮아지고, 공격 지속성도 높아집니다.”

그러나 그 어떤 PLC 멀웨어를 사용하더라도 공격에 성공할 경우 피해자가 입는 피해는 비슷하다. 전설처럼 남아있는 스턱스넷(Stuxnet) 사건의 경우 공격자들(이스라엘과 미국으로 알려져 있다)은 피해자(이란)의 핵 시설 내에 설치되어 있던 지멘스의 PLC 시스템을 침해했었다. 그 결과 고속 원심 분리기의 속도를 높일 수 있었고, 결국 해당 부품은 과열되어 파괴됐다. 따라서 해당 시설에서는 당분간 핵 원료의 순도를 높이는 작업을 할 수 없었다. 물리적인 피해가 있었던 것이다.

또 다른 사례로는 블랙에너지(BlackEnergy) 사건이 있다. 러시아의 공격자들이 우크라이나의 전력 시스템을 마비시키기 위해 사용한 멀웨어가 블랙에너지인데, 이 경우에도 광범위한 지역에 전력이 끊기는 물리적 공간에서의 피해로 이어졌다. 사우디아라비아의 한 화학 시설 내 슈나이더 시스템을 공략했던 트리톤(Triton) 사건도 마찬가지다. 전부 물리적 사건으로 발전했다.

더 쉬운 활용, 더 끈끈한 공격
이번에 고안된 웹 기반 공격 기법은 상기한 스턱스넷 공격과 여러 면에서 비슷하다. 연구원들도 우라늄 농축도를 높이는 시설에 설치된 PLC를 공격한다는 시나리오를 설정해 실험을 진행했다. 이 실험에 사용된 PLC는 실제 핵 관련 시설들에서 널리 사용되는 것이며, 현대 PLC들이 다 그렇듯 원격 모니터링과 프로그래밍, 설정 변경이 가능한 제품이었다. 실험을 위한 시나리오상 표적이 될 PLC는 기업용 네트워크와 산업 시설 네트워크 모두와 연결되어 있는 것으로 설정되었다. IT와 OT 모두와 연결되어 있었다는 뜻이다. 또한 공격자들이 PLC에 대해 잘 알고 있는 상태라고도 설정했다.

실험을 위한 공격을 실행했을 때 연구원들은 원격에서 PLC 내 웹 서버에 악성코드를 주입하는 데 성공했고, 이를 통해 최초 접근에 성공할 수 있었다. 악성코드를 주입하는 방법은 워낙 다양해서 따로 언급하지 않았다. 접근한 후에는 API를 사용해 PLC가 설치된 장비를 마비시킬 수 있었다. 공격자의 의도에 따라 장비를 마비시키는 건, 특정 장비를 과열시키거나 오작동을 일으키는 것으로도 대체될 수 있다. 즉, 물리적 피해로 연결시키는 게 어렵지 않았다는 뜻이다. IT망으로 넘어가 각종 정보를 빼돌리는 것도 가능했다.

“이번에 개발된 웹 기반 PLC 멀웨어는 PLC의 메모리 내에서 작동합니다. ICS 환경에 연결된 클라이언트 장비들 다수에 영향을 줄 수 있었습니다. 그러므로 사이버 공간에서만의 피해가 아니라 물리 공간에 존재하는 실제 장비들에도 닿을 수 있었고, 그러므로 실질적인 피해를 유발하는 게 가능했습니다. 공격 난이도는 높다고 하기 힘들며, 전제 조건들을 성립시키는 것도 마찬가지로 그리 어렵지 않았습니다. PLC를 공략하는 일이 점점 쉬워지고 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)