사이버 공격 가능성 높지만 핵심 멀웨어 아직도 안 나타나
공격 규모와 정황상 멀웨어 개입 가능성 높아 찾고 있는 중

[보안뉴스 문가용] 아직도 12월 23일의 우크라이나 정전 사태를 직접 일으킨 멀웨어가 발견되지 않은 상태다. 사이버 공격으로 인한 것이라는 주장이 여전하지만 아직도 딱 거기까지다. 사이버 공격이 맞긴 한지, 그렇다면 멀웨어가 사용되었는지, 혹은 내부자가 통제 시스템을 조작했는지, 그 상세한 방법에 대해서는 모른다. 사이버 공격으로 인한 첫 번째 정전사태로 통상 불리고는 있지만, 아직 단정 짓기 이르다는 목소리도 있다.



보안 전문업체인 아이사이트 파트너즈(iSIGHT Partners)의 션 맥브라이드(Sean McBride)는 “우크라이나의 정전 사태가 사이버 공격으로 인한 것이냐고 묻는다면 ‘네’라고 답할 겁니다. 하지만 이는 매우 모호한 표현이며, 이로부터 어떤 의미를 도출하려면 알아내야 할 것이 한참 더 많습니다”라는 의견이다.

지난 해 12월 23일에 발생한 우크라이나 대규모 정전 사태에 대해 우크라이나 정부는 러시아 해커들의 짓이라고 발표했고 일부 보안 전문가들은 에너지 산업 분야에서 이미 악명이 높았던 블랙에너지(BlackEnergy)를 거론하기 시작했다. 몇 년 전부터 두각을 나타낸 블랙에너지가 새로운 기능을 탑재한 채 등장했다는 설명과 함께 말이다.

“사이버 공격으로 인한 정전 사태라고 볼 수 있는 이유는 정전의 규모가 광범위하기 때문입니다. 순식간에 넓은 지역에 퍼져 있는 수십 개의 발전소가 정지했습니다. 이걸 사이버 공격이 아니라 물리 공격으로 한다? 그러려면 굉장히 많은 사람을 동원해야 했겠죠. 그렇게나 많은 인원이 한 번에 움직였다면 포착하지 못했을까요?”

ICS/SCADA 보안 전문가들 역시 아이사이트의 이런 의견에 어느 정도 동조는 한다. 그럼에도 가장 직접적인 타격을 준 바로 그 멀웨어 하나가 아직도 나오지 않은 상태라는 게 개운치 않다는 입장이다. 사이버 공격일 가능성이 매우 높긴 하나 ‘어떻게?’, ‘무엇으로?’ 등의 질문이 여전히 해결되지 않은 상태라는 것.

더 랭그너 그룹(The Langner Group)의 랄프 랭그너(Ralph Langner)가 바로 이런 부류다. “아직 사이버 공격과 정전 사태 사이의 관계성이 확실히 증명된 건 아닙니다. 우크라이나 편에서는 ‘러시아 해커’, ‘사이버 공격’이라는 표현을 사용해 발표하는 게 얼마나 좋은 상황인지 우리는 잘 알고 있지요. 그렇기 때문에 확증도 없는데도 이미 ‘사이버 공격으로 인한 첫 정전 사태’로 일파만파 퍼졌잖아요? 그런 외부적인 요소도 잊지 말아야죠.”

그러나 랭그너는 이번 사태가 정말 사이버 공격으로 이뤄진 것이라면 원격에서 공격하는 수법보다 멀웨어가 사용되었을 가능성이 높다는 의견이다. “HMI(human machine interface(인간 기계간 인터페이스)를 원격에서 통제하는 방법으로는 한 번에 그 많은 발전소를 마비시키지 못했을 겁니다.”

내부자 소행일 가능성도 적다. 아이사이트의 헐트퀴스트(Hultquist)는 한 인터뷰를 통해 “이번 공격에 사용된 스피어피싱 이메일을 분석했을 때 매우 높은 수준의 기법을 발견할 수 있었다”며 “자세히 밝히긴 어렵지만 내부자와 공동으로 작업했다고 보기 힘든 성질의 것”이었다고 말한 바 있다.

아이사이트 파트너즈는 최근 또 다른 사실에 주목했다. 바로 우크라이나 통신시설과 공익시설에 가해진DoS 공격이 바로 그것이다. 이 때문에 정전 발생 직후 대응이 어려워졌다. 27개의 전력 공급 센터가 공격을 받았고, 그로 인해 세 군데의 공익시설에 영향이 미쳤다고 아이사이트는 밝혔다. 또한 이번 공격 속에 발견된 멀웨어인 킬디스크(KillDisk)가 정전을 일으킨 게 아니라(지난 번에는 킬디스크 멀웨어가 일으켰을지도 모른다는 입장이었다) 공익시설에 장애를 일으켜 수동통제 모드를 강제했다는 설명을 덧붙였다.

그리고 이 때문에 아직도 발견되지 않는 멀웨어를 계속해서 찾고 있는 것이기도 하다. SANS의 전문가인 로버트 리(Robert M. Lee)는 “당시 통신 시스템에 DoS 공격이 일어났다”며 “이는 멀웨어가 사용되었을 가능성이 매우 높다는 걸 시사한다”고 분석한다. “발전소 내부자가 한 짓이라면 굳이 통신망에 디도스 공격을 할 필요가 없죠. 할 수도 없고요. 통신사에도 내부자를 심었던 것일까요? 글쎄요. 아닐 가능성이 더 높죠.”

이처럼 거의 모든 상황이 ‘멀웨어를 사용한 사이버 공격에 의한 정전 사태’를 가리키고는 있지만 결정적인 물증 하나가 아쉬운 상황이다. “모르는 게 너무 많아요. 킬디스크가 어떻게 표적 시스템에 도달했는지, 어떤 코드가 직접적인 타격을 입혔는지, 누가 왜 발전소를 노렸는지, 사건의 기본적인 내용 중 아는 게 없어요.”

그렇다면 알고 있는 건 무엇인가? “우크라이나와 러시아 사이 긴장관계의 핵심은 에너지입니다. 우크라이나에서 사용되는 천연가스 중 80%가 러시아로부터 오죠. 또 우크라이나는 크리미아의 전력 70%를 책임지고 있고요. 그런데 러시아는 현재 크리미아 해변에 매장되어 있는 천연가스에 눈독을 들이고 있죠.”

또 다른 보안 업체인 ESET은 처음에 블랙에너지가 개입되었다는 쪽으로 손을 들어주었다. 하지만 그 후에도 추가로 사건을 조사하면서 생각이 조금 바뀌었다고 한다. 이유는 로버트의 그것과 같다. 확실하다고 장담할 만큼의 자료가 없다는 것. “지금 가지고 있는 정보로 판단을 한다는 게 어불성설입니다. 당연히 결론도 내릴 수 없죠.”

“멀웨어로 인한 첫 정전 사태라는 문구가 주는 임팩트가 너무 커서 언론들이 앞 다투어 그렇게 발표하긴 했지만 굉장히 성급한 태도였다고 봅니다.” ESET의 수석 멀웨어 분석가인 로버트 리포프스키(Robert Lipovsky)의 말이다. “아직까지 우리가 알고 있는 건 블랙에너지라는 백도어가 업그레이드 되어 사용되었다는 것, 여기에 킬디스크라는 데이터 삭제 기능을 가진 요소가 동원되었다는 것 뿐입니다. 이 둘은 누군가에게 원격 통제 기능을 부여할 수는 있지만, 공격의 규모로 봤을 때 원격 공격이나 내부자 동원으로 인한 정전으로 보기는 힘들기 때문에 수사가 잠시 막혀 있는 상황입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>