추가 사실 몇 가지로 좁혀진 가능성 - 그러나 여전히 미궁
[보안뉴스 문가용] 지난 12월에 있었던 우크라이나 대규모 정전사태 때 사용되었던 도구들에 MS 오피스 엑셀 프로그램 내 매크로와 네트워크 스니퍼가 사용되었다는 사실이 발표되었다.
보안 전문업체인 센티넬원(SentinelOne)의 CSO인 에후드 샤미르(Ehud Shamir)는 당시 발견된 블랙에너지 3(BlackEnergy 3) 멀웨어를 리버스 엔지니어링했으며 매크로가 악용된 엑셀 스프레드시트가 네트워크 스니핑 툴이 포함된 페이로드를 피해를 입은 시스템에 다운로드시킨 것을 밝혀냈다. 현재 블랙에너지 3은 우크라이나 정전사태를 분석하는 전문가들 사이에서 ‘정찰병’ 역할을 했다는 평가를 받고 있다.
“네트워크를 스니핑 함으로써 공격자들은 많은 정보를 얻어낼 수 있었습니다. 로그인 정보는 물론이고요. 그렇게 하기 위해 패치가 되지 않은 오피스가 설치된 시스템을 찾아나선 것으로 보입니다. 그래야 매크로를 발동시켜 원하는 페이로드를 시스템에 퍼트릴 수 있으니까요.” 샤미르의 설명이다.
또한 샤미르는 블랙에너지에 감염된 엑셀 실행 파일(vba_macro.exe)이 네트워크 스니퍼 외에 또 다른 실행 파일을 드롭시킨다고 보고했다. 그러므로 공격의 시작은 스피어피싱 이메일일 가능성이 높다고 분석했다. 이는 초반부터 나왔던 공격 시나리오이기도 하다. 샤미르가 발표한 보고서에는 코드 스니펫과 스크린샷이 자세하게 공개되어 있다.
마이크로소프트는 CVE-2014-4114 업데이트를 통해 매크로의 취약점을 해결한 바 있다. 그러므로 공격자가 패치 안 된 시스템을 노렸거나 누군가 내부자 혹은 내통자가 다운그레이드를 몰래 진행하는 등 악의적인 노력을 했을 가능성도 있다.
이는 아직도 풀리지 않는 ‘도대체 어떻게 해커들이 우크라이너 전력 시설을 한 순간에 폐쇄시켰을까?’의 의문에 한 발짝 다가간 것일까? 샤미르는 “한 발짝인지 두 발짝인지, 혹은 뒷걸음인지 완전한 답을 찾을 때까지는 알 수가 없다”고 답한다. 그의 말마따나 아직 해당 사건을 일으킨 직접적인 요인은 발견되지 않은 상태다. 따라서 논란은 여전하다. 다만 가능성은 크게 두 가지로 좁혀지긴 했다. 아직 발견되지 않은 멀웨어거나 원격 조정 장치의 통제권을 공격자가 완전히 가져갔거나.
한편 아이사이트 파트너즈(iSIGHT Partners)의 연구원들은 정전사태 직전에 통신설비 27곳에 일어났던 DoS 공격을 주목해야 한다고 주장한 바 있다. 이 공격 때문에 정전사태에 대한 대처가 늦었고 따라서 피해가 확산되었다는 것. 또한 해당 공격에서는 블랙에너지 뿐만 아니라 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용되었다는 사실도 주목해야 한다고 했다. 항간에 알려진 대로 디스크를 삭제한다고 해서 정전이 일어나는 건 아니라는 의미에서였다. 다만 킬디스크가 사용되는 순간부터는 수동 통제가 강요된다는 점은 간과해서는 안 된다. 수동 통제로 전환되고 나서부터는 시스템 전체가 취약해지기 때문이다.
한편 로이터 통신은 오늘 또 다른 우크라이나의 에너지 기업이 당시 공격에 당했다는 사실을 추가로 보도하며 에어갭(air-gap, 망분리) 처리되었어야 할 시스템이 인터넷에 연결되었기 때문에 피해를 본 것이라고, 올레 사이크(Oleh Sych)라는 관계자의 말을 인용했다. 보통 망분리 처리해서 관리하는 시스템에는 특급으로 중요한 정보들이 있는데, 이 시스템이 공격을 당했다는 것이다.
산업 통제 시스템 보안 전문가인 조엘 랭일(Joel Langill)은 한 매체와의 인터뷰를 통해 “우크라이나 정전사태에서 공격을 당한 건 엔드 시스템이 아니라 네트워크”라고 밝힌 바 있다. “커뮤니케이션의 버퍼 오버플로우나, 에어갭 네트워크의 소홀한 관리, 소프트웨어 자체의 버그 등 전혀 관련이 없는 문제점들이 결국 하나로 뭉쳐져 산업 통제 시스템의 작동 불능 상태를 야기했고, 이것이 결국 대단위 정전으로 이어졌”기 때문이라는 것.
“정말로 정전을 직접 일으킬 정도로 킬디스크와 블랙에너지 멀웨어가 치명적인 작용을 했다면, 정전사태 이후 다시 전기가 복구되기까지 걸린 시간이 말도 안 되게 짧은 거라고 생각합니다. 어쩌면 아직까지 ICS/SCADA의 중요 요소들은 복구 불능 상태였을 수도 있어요. 블랙에너지 등이 영향을 미치지 않았다는 게 아니라 매체에 보도되는 것처럼 치명적인 역할을 하지는 않았다는 것이죠.” 랭일의 의견이다.
현재까지 발견된 건 블랙에너지와 킬디스크라는 멀웨어이며, 보안 전문가들 사이에선 이 두 멀웨어가 정전을 직접 일으켰다, 아니다로 의견이 팽팽히 맞서고 있다. 블랙에너지에서는 매크로 기능과 네트워크 스니핑 페이로드를 드롭시키는 기능이 발견되었고, 이는 스피어피싱 공격의 가능성을 높인다. 킬디스크는 데이터 삭제 기능을 가지고 있어, 당시 통신시설을 마비시키는 데 사용되었다. 또한 최근 로이터에 보도된 대로 관리 부실로 뜻하지 않게 피해를 본 곳도 있는 것으로 보아 정전사태가 공격자의 예상보다 크게 확대되었을 가능성도 새롭게 생겨났다.
아직 우크라이나 사건에 대한 풀스토리는 미궁 속에 남겨져 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 지난 12월에 있었던 우크라이나 대규모 정전사태 때 사용되었던 도구들에 MS 오피스 엑셀 프로그램 내 매크로와 네트워크 스니퍼가 사용되었다는 사실이 발표되었다.
보안 전문업체인 센티넬원(SentinelOne)의 CSO인 에후드 샤미르(Ehud Shamir)는 당시 발견된 블랙에너지 3(BlackEnergy 3) 멀웨어를 리버스 엔지니어링했으며 매크로가 악용된 엑셀 스프레드시트가 네트워크 스니핑 툴이 포함된 페이로드를 피해를 입은 시스템에 다운로드시킨 것을 밝혀냈다. 현재 블랙에너지 3은 우크라이나 정전사태를 분석하는 전문가들 사이에서 ‘정찰병’ 역할을 했다는 평가를 받고 있다.
“네트워크를 스니핑 함으로써 공격자들은 많은 정보를 얻어낼 수 있었습니다. 로그인 정보는 물론이고요. 그렇게 하기 위해 패치가 되지 않은 오피스가 설치된 시스템을 찾아나선 것으로 보입니다. 그래야 매크로를 발동시켜 원하는 페이로드를 시스템에 퍼트릴 수 있으니까요.” 샤미르의 설명이다.
또한 샤미르는 블랙에너지에 감염된 엑셀 실행 파일(vba_macro.exe)이 네트워크 스니퍼 외에 또 다른 실행 파일을 드롭시킨다고 보고했다. 그러므로 공격의 시작은 스피어피싱 이메일일 가능성이 높다고 분석했다. 이는 초반부터 나왔던 공격 시나리오이기도 하다. 샤미르가 발표한 보고서에는 코드 스니펫과 스크린샷이 자세하게 공개되어 있다.
마이크로소프트는 CVE-2014-4114 업데이트를 통해 매크로의 취약점을 해결한 바 있다. 그러므로 공격자가 패치 안 된 시스템을 노렸거나 누군가 내부자 혹은 내통자가 다운그레이드를 몰래 진행하는 등 악의적인 노력을 했을 가능성도 있다.
이는 아직도 풀리지 않는 ‘도대체 어떻게 해커들이 우크라이너 전력 시설을 한 순간에 폐쇄시켰을까?’의 의문에 한 발짝 다가간 것일까? 샤미르는 “한 발짝인지 두 발짝인지, 혹은 뒷걸음인지 완전한 답을 찾을 때까지는 알 수가 없다”고 답한다. 그의 말마따나 아직 해당 사건을 일으킨 직접적인 요인은 발견되지 않은 상태다. 따라서 논란은 여전하다. 다만 가능성은 크게 두 가지로 좁혀지긴 했다. 아직 발견되지 않은 멀웨어거나 원격 조정 장치의 통제권을 공격자가 완전히 가져갔거나.
한편 아이사이트 파트너즈(iSIGHT Partners)의 연구원들은 정전사태 직전에 통신설비 27곳에 일어났던 DoS 공격을 주목해야 한다고 주장한 바 있다. 이 공격 때문에 정전사태에 대한 대처가 늦었고 따라서 피해가 확산되었다는 것. 또한 해당 공격에서는 블랙에너지 뿐만 아니라 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용되었다는 사실도 주목해야 한다고 했다. 항간에 알려진 대로 디스크를 삭제한다고 해서 정전이 일어나는 건 아니라는 의미에서였다. 다만 킬디스크가 사용되는 순간부터는 수동 통제가 강요된다는 점은 간과해서는 안 된다. 수동 통제로 전환되고 나서부터는 시스템 전체가 취약해지기 때문이다.
한편 로이터 통신은 오늘 또 다른 우크라이나의 에너지 기업이 당시 공격에 당했다는 사실을 추가로 보도하며 에어갭(air-gap, 망분리) 처리되었어야 할 시스템이 인터넷에 연결되었기 때문에 피해를 본 것이라고, 올레 사이크(Oleh Sych)라는 관계자의 말을 인용했다. 보통 망분리 처리해서 관리하는 시스템에는 특급으로 중요한 정보들이 있는데, 이 시스템이 공격을 당했다는 것이다.
산업 통제 시스템 보안 전문가인 조엘 랭일(Joel Langill)은 한 매체와의 인터뷰를 통해 “우크라이나 정전사태에서 공격을 당한 건 엔드 시스템이 아니라 네트워크”라고 밝힌 바 있다. “커뮤니케이션의 버퍼 오버플로우나, 에어갭 네트워크의 소홀한 관리, 소프트웨어 자체의 버그 등 전혀 관련이 없는 문제점들이 결국 하나로 뭉쳐져 산업 통제 시스템의 작동 불능 상태를 야기했고, 이것이 결국 대단위 정전으로 이어졌”기 때문이라는 것.
“정말로 정전을 직접 일으킬 정도로 킬디스크와 블랙에너지 멀웨어가 치명적인 작용을 했다면, 정전사태 이후 다시 전기가 복구되기까지 걸린 시간이 말도 안 되게 짧은 거라고 생각합니다. 어쩌면 아직까지 ICS/SCADA의 중요 요소들은 복구 불능 상태였을 수도 있어요. 블랙에너지 등이 영향을 미치지 않았다는 게 아니라 매체에 보도되는 것처럼 치명적인 역할을 하지는 않았다는 것이죠.” 랭일의 의견이다.
현재까지 발견된 건 블랙에너지와 킬디스크라는 멀웨어이며, 보안 전문가들 사이에선 이 두 멀웨어가 정전을 직접 일으켰다, 아니다로 의견이 팽팽히 맞서고 있다. 블랙에너지에서는 매크로 기능과 네트워크 스니핑 페이로드를 드롭시키는 기능이 발견되었고, 이는 스피어피싱 공격의 가능성을 높인다. 킬디스크는 데이터 삭제 기능을 가지고 있어, 당시 통신시설을 마비시키는 데 사용되었다. 또한 최근 로이터에 보도된 대로 관리 부실로 뜻하지 않게 피해를 본 곳도 있는 것으로 보아 정전사태가 공격자의 예상보다 크게 확대되었을 가능성도 새롭게 생겨났다.
아직 우크라이나 사건에 대한 풀스토리는 미궁 속에 남겨져 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
