12월의 우크라이나 정전사태, 일부는 멀웨어로 인한 첫 정전
일부 전문가, “발견된 멀웨어만으로 정전 직접 일으킬 수 없어”
[보안뉴스 문가용] 지난 12월 23일, 우크라이나에서 대규모 정전사태가 일어났고 보안 전문업체인 ESET의 조사 결과 블랙에너지(BlackEnergy)라는 멀웨어가 사용된 것이 드러났다. 그럼에도 이번 공격이 어떻게 발생할 수 있었는가에 대한 의문은 여전히 남아 있다. ESET에 따르면 블랙에너지라는 백도어 멀웨어는 이전에도 발견된 바가 있으며, 주로 데이터 탈취용으로 활용되었다고 하는데, 데이터 탈취용 멀웨어가 어떻게 정전을 일으키는 멀웨어로 둔갑했는지에 대해서도 의구심을 표하는 전문가들이 있는 상태다.
.jpg)
정전
먼저 정전사태를 복기해보자. 해당 사건은 우크라이나 서부지역에서 광범위하게 발생했다. 해킹 공격을 직접 받은 건 Prykarpattya Oblenergo라는 전기공급소였다. 우크라이나는 공식적으로 러시아 해커들의 소행이라고 비판했으며 로이터 통신을 통해 “멀웨어가 제대로 공격을 실행했다면 정전 지속 시간이 더 늘어났을 것”이라고 말했다.
아이사이트(iSIGHT)의 사회인프라 수석분석가인 션 맥브라이드(Sean McBride)는 “내가 알기로 정전을 의도하고 만들어진 멀웨어가 정전을 실제로 일으킨 첫 사건”이라고 말했는데, 이 말이 임팩트가 커서 그런지 일파만파 퍼졌다. 실제 해당 사건을 다룬 해외 매체 대부분은 “멀웨어로 인한 첫 정전사태”라고 제목을 뽑았다.
“물론 일반적인 멀웨어가 정전사태에 연루된 사건은 많습니다. 다만 ‘정전시킬 목적’으로 제작된 멀웨어들은 아니었죠. 여태껏 일어난 해킹에 의한 정전은 해커들이 의도 바깥에서 일어난 사건이라는 겁니다. 이번 우크라이나의 정전사태는 여태까지 드러난 것이 사실이라는 전제 하에 비슷해 보여도 매우 새롭고 다른 사건입니다.”
블랙에너지
ESET의 연구원들은 지난 일요일 해당 사건에 블랙에너지라는 멀웨어가 사용되었다고 발표했다. 그리고 월요일에는 이것이 단독 사건이 아니며 같은 멀에어가 2015년 초기에 다른 전기회사에서 발견된 적이 있다고 밝혔다. 최초 공격 경로는 MS의 워드 매크로로 보이며 우크라이나 정치 지도부 등에서 보낸 것처럼 위장한 스피어피싱 공격 기법이 활용된 것으로 보인다는 내용도 포함되었다.
블랙에너지는 이전에도 에너지 산업에서 발견된 바 있는 멀웨어다. 특히 러시아의 해킹 단체인 샌드웜 팀(Sandworm Team)이 2011년부터 미국과 유럽의 에너지 관련 시설을 공격하는 데에 적극 활용했다. 하지만 당시 멀웨어의 주요 기능은 데이터를 탈취하는 것이었지 정전을 일으키는 건 아니었다.
그때의 블랙에너지와 지금의 블랙에너지에는 분명한 차이가 있다. 킬디스크(KillDisk)라는 요소가 덧붙여진 것이다. ESET은 블로그를 통해 “킬디스크의 주요 목적은 컴퓨터에 저장된 데이터에 손상을 가하는 것”이라고 밝혔다. “무작위 데이터를 덮어쓰거나 OS의 부팅이 불가능하도록 만듭니다”라고 설명하기도 했다.
블랙에너지가 킬디스크를 장착한채로 처음 발견된 건 지난 11월. 발견자는 우크라이나의 CERT 기관이었고, 발견된 곳은 우크라이나의 매체들이었다. 그러나 그 멀웨어조차 이번에 발견된 멀웨어와는 조금 다르다고 한다.
ESET에 의하면 이번에 발견된 샘플은 시간 지연, 윈도우스 이벤트 로그 삭제를 위한 명령줄 인수(argument)를 실행할 수 있다고 한다. 또한 매체들에서 발견된 멀웨어와 비교했을 때 문서를 지우는 쪽에 덜 치중되어 있으며 산업 시스템을 파괴하기 위한 특수 기능을 추가로 장착한 것처럼 보인다고 한다. 특히 komut.exe와 sec_service.exe라는 비표준 프로세스를 종료시키는 기능이 눈에 띈다고 설명했다.
그에 이어 지난 월요일 ESET의 전문가들은 “우크라이나의 전기 공급 회사들 다수에서 발견한 킬디스크 멀웨어를 분석한 결과 치명적인 시스템을 셧다운 시킬 수 있는 기능을 발견했다”고 발표했는데 이는 즉 블랙에너지와 킬디스크가 정전을 일으킬 목적으로 제작되었음을 의미한다. 이에 더해 아이사이트의 전문가들은 샌드웜 팀(Sandworm Team)이 한 짓이 분명하다고 주장하고 있다.
블랙에너지와 킬디스크만으로 정전이 가능한가?
SANS의 전문가 로버트 리(Robert M Lee)는 여전히 고개를 갸웃거리는 쪽이다. 이번 공격에 블랙에너지 멀웨어나 샌드웜 팀이 개입했을 거라고 믿을만한 증거가 충분치 못하다는 것. “여러 정황상 의심하는 건 타당해보이지만, 그들을 공식적으로 지목하기에는 아직 증거가 불충분합니다.”
또한 블랙에너지가 아무리 킬디스크를 탑재했다고 해도 그토록 큰 정전사태를 일으키기에도 역부족이라는 의견이다. “블랙에너지는 백도어입니다. 공격자들에 주요 시스템에 접근하도록 돕는 역할을 하죠. 킬디스크는 그런 주요 시스템을 파괴하는 걸 목적으로 한다기보다 포렌식을 통한 추적을 방해하기 위해 덧붙여진 것으로 저는 분석했습니다.”
그의 설명은 계속된다. “즉, 블랙에너지와 킬디스크가 가진 본연의 기능을 응용해 특정 시스템에 침투해 문서를 지웠을 가능성도 있습니다. 하지만 시스템의 주요 문서를 지운다고 정전이 일어나지는 않아요. 침투해서 주요 문서를 지우고 나서 다시 한 번 추가적인 공격을 가해야 하죠.” 그 추가적인 공격이 무엇이었을까? 보통 사이버-물리 공격을 할 때 해당 시설을 샅샅이 아는 내부자의 가담이 많이 발견되는데, 이 역시 이번 사태에 해당되는 것일까? “확실하지 않습니다. 아마, 지금 저희로서는 영원히 모를 수도 있습니다.”
ESET은 블랙에너지와 같은 백도어로 두 번째 공격에 대한 접근로를 확보하고 킬디스크로 여러 주요 데이터를 삭제한 후 정전을 직접 일으킬 공격을 가하는 시나리오가 충분히 예상 가능하다며 로버트 리의 말을 일부분 인정했다. 그럼에도 “블랙에너지와 킬디스크만으로도 정전을 일으키기 충분하다고 확신”함에는 변함이 없다고 밝혔다.
한편 그 동안 미국의 전기 시설 및 공급망에 대한 사이버 공격으로 발생한 피해는 대략 1조 달러라고 한다. 보험 청구로만 발생한 비용이 7백 11억 달러다. 또한 비슷한 사례로, 지난 7월 캠브리지대학에서 발표한 보고서에 따르면 미국 북동부의 50개 발전기가 멀웨어에 감염되면서 15개 주에 정전사태가 발생한 바 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
일부 전문가, “발견된 멀웨어만으로 정전 직접 일으킬 수 없어”
[보안뉴스 문가용] 지난 12월 23일, 우크라이나에서 대규모 정전사태가 일어났고 보안 전문업체인 ESET의 조사 결과 블랙에너지(BlackEnergy)라는 멀웨어가 사용된 것이 드러났다. 그럼에도 이번 공격이 어떻게 발생할 수 있었는가에 대한 의문은 여전히 남아 있다. ESET에 따르면 블랙에너지라는 백도어 멀웨어는 이전에도 발견된 바가 있으며, 주로 데이터 탈취용으로 활용되었다고 하는데, 데이터 탈취용 멀웨어가 어떻게 정전을 일으키는 멀웨어로 둔갑했는지에 대해서도 의구심을 표하는 전문가들이 있는 상태다.
정전
먼저 정전사태를 복기해보자. 해당 사건은 우크라이나 서부지역에서 광범위하게 발생했다. 해킹 공격을 직접 받은 건 Prykarpattya Oblenergo라는 전기공급소였다. 우크라이나는 공식적으로 러시아 해커들의 소행이라고 비판했으며 로이터 통신을 통해 “멀웨어가 제대로 공격을 실행했다면 정전 지속 시간이 더 늘어났을 것”이라고 말했다.
아이사이트(iSIGHT)의 사회인프라 수석분석가인 션 맥브라이드(Sean McBride)는 “내가 알기로 정전을 의도하고 만들어진 멀웨어가 정전을 실제로 일으킨 첫 사건”이라고 말했는데, 이 말이 임팩트가 커서 그런지 일파만파 퍼졌다. 실제 해당 사건을 다룬 해외 매체 대부분은 “멀웨어로 인한 첫 정전사태”라고 제목을 뽑았다.
“물론 일반적인 멀웨어가 정전사태에 연루된 사건은 많습니다. 다만 ‘정전시킬 목적’으로 제작된 멀웨어들은 아니었죠. 여태껏 일어난 해킹에 의한 정전은 해커들이 의도 바깥에서 일어난 사건이라는 겁니다. 이번 우크라이나의 정전사태는 여태까지 드러난 것이 사실이라는 전제 하에 비슷해 보여도 매우 새롭고 다른 사건입니다.”
블랙에너지
ESET의 연구원들은 지난 일요일 해당 사건에 블랙에너지라는 멀웨어가 사용되었다고 발표했다. 그리고 월요일에는 이것이 단독 사건이 아니며 같은 멀에어가 2015년 초기에 다른 전기회사에서 발견된 적이 있다고 밝혔다. 최초 공격 경로는 MS의 워드 매크로로 보이며 우크라이나 정치 지도부 등에서 보낸 것처럼 위장한 스피어피싱 공격 기법이 활용된 것으로 보인다는 내용도 포함되었다.
블랙에너지는 이전에도 에너지 산업에서 발견된 바 있는 멀웨어다. 특히 러시아의 해킹 단체인 샌드웜 팀(Sandworm Team)이 2011년부터 미국과 유럽의 에너지 관련 시설을 공격하는 데에 적극 활용했다. 하지만 당시 멀웨어의 주요 기능은 데이터를 탈취하는 것이었지 정전을 일으키는 건 아니었다.
그때의 블랙에너지와 지금의 블랙에너지에는 분명한 차이가 있다. 킬디스크(KillDisk)라는 요소가 덧붙여진 것이다. ESET은 블로그를 통해 “킬디스크의 주요 목적은 컴퓨터에 저장된 데이터에 손상을 가하는 것”이라고 밝혔다. “무작위 데이터를 덮어쓰거나 OS의 부팅이 불가능하도록 만듭니다”라고 설명하기도 했다.
블랙에너지가 킬디스크를 장착한채로 처음 발견된 건 지난 11월. 발견자는 우크라이나의 CERT 기관이었고, 발견된 곳은 우크라이나의 매체들이었다. 그러나 그 멀웨어조차 이번에 발견된 멀웨어와는 조금 다르다고 한다.
ESET에 의하면 이번에 발견된 샘플은 시간 지연, 윈도우스 이벤트 로그 삭제를 위한 명령줄 인수(argument)를 실행할 수 있다고 한다. 또한 매체들에서 발견된 멀웨어와 비교했을 때 문서를 지우는 쪽에 덜 치중되어 있으며 산업 시스템을 파괴하기 위한 특수 기능을 추가로 장착한 것처럼 보인다고 한다. 특히 komut.exe와 sec_service.exe라는 비표준 프로세스를 종료시키는 기능이 눈에 띈다고 설명했다.
그에 이어 지난 월요일 ESET의 전문가들은 “우크라이나의 전기 공급 회사들 다수에서 발견한 킬디스크 멀웨어를 분석한 결과 치명적인 시스템을 셧다운 시킬 수 있는 기능을 발견했다”고 발표했는데 이는 즉 블랙에너지와 킬디스크가 정전을 일으킬 목적으로 제작되었음을 의미한다. 이에 더해 아이사이트의 전문가들은 샌드웜 팀(Sandworm Team)이 한 짓이 분명하다고 주장하고 있다.
블랙에너지와 킬디스크만으로 정전이 가능한가?
SANS의 전문가 로버트 리(Robert M Lee)는 여전히 고개를 갸웃거리는 쪽이다. 이번 공격에 블랙에너지 멀웨어나 샌드웜 팀이 개입했을 거라고 믿을만한 증거가 충분치 못하다는 것. “여러 정황상 의심하는 건 타당해보이지만, 그들을 공식적으로 지목하기에는 아직 증거가 불충분합니다.”
또한 블랙에너지가 아무리 킬디스크를 탑재했다고 해도 그토록 큰 정전사태를 일으키기에도 역부족이라는 의견이다. “블랙에너지는 백도어입니다. 공격자들에 주요 시스템에 접근하도록 돕는 역할을 하죠. 킬디스크는 그런 주요 시스템을 파괴하는 걸 목적으로 한다기보다 포렌식을 통한 추적을 방해하기 위해 덧붙여진 것으로 저는 분석했습니다.”
그의 설명은 계속된다. “즉, 블랙에너지와 킬디스크가 가진 본연의 기능을 응용해 특정 시스템에 침투해 문서를 지웠을 가능성도 있습니다. 하지만 시스템의 주요 문서를 지운다고 정전이 일어나지는 않아요. 침투해서 주요 문서를 지우고 나서 다시 한 번 추가적인 공격을 가해야 하죠.” 그 추가적인 공격이 무엇이었을까? 보통 사이버-물리 공격을 할 때 해당 시설을 샅샅이 아는 내부자의 가담이 많이 발견되는데, 이 역시 이번 사태에 해당되는 것일까? “확실하지 않습니다. 아마, 지금 저희로서는 영원히 모를 수도 있습니다.”
ESET은 블랙에너지와 같은 백도어로 두 번째 공격에 대한 접근로를 확보하고 킬디스크로 여러 주요 데이터를 삭제한 후 정전을 직접 일으킬 공격을 가하는 시나리오가 충분히 예상 가능하다며 로버트 리의 말을 일부분 인정했다. 그럼에도 “블랙에너지와 킬디스크만으로도 정전을 일으키기 충분하다고 확신”함에는 변함이 없다고 밝혔다.
한편 그 동안 미국의 전기 시설 및 공급망에 대한 사이버 공격으로 발생한 피해는 대략 1조 달러라고 한다. 보험 청구로만 발생한 비용이 7백 11억 달러다. 또한 비슷한 사례로, 지난 7월 캠브리지대학에서 발표한 보고서에 따르면 미국 북동부의 50개 발전기가 멀웨어에 감염되면서 15개 주에 정전사태가 발생한 바 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
