우크라이나 정전사태 수사 결론도 안 나왔는데...이번엔 광산 및 철도
주말 동안 비슷한 멀웨어가 미국 산업 시설에서 또 발견돼

[보안뉴스 문가용] 지난 12월 23일, 우크라이나 일부 지역에서 발생한 대규모 정전사태에서 블랙에너지(BlackEnergy)라는 멀웨어가 킬디스크(KillDisk)라는 기능을 탑재한 채 활동했음이 드러난 바 있다. 아직 이 멀웨어들이 정확히 어떤 작용을 했는지, 정전 현상에 얼마나 직접적으로 공헌(?)했는지에 대해서는 논란이 정리되지 않은 상태다. 그런 와중에 블랙에너지와 킬디스크가 다른 분야의 산업 통제 시스템에서도 활동한 사실이 밝혀졌다.



트렌드마이크로(Trend Micro)는 “우크라이나의 발전소를 공격한 자들로 보이는 해커들이 철도 통제 시스템과 광산 업체들도 공격한 것으로 보인다”고 새로운 소식을 전파했다. 오픈소스 첩보 커뮤니티에서 얻은 텔레메트리 데이터를 검토한 결과 킬디스크가 탑재된 블랙에너지가 사용된 흔적이 발견되었다는 것. “지난 12월 23일 발생한 우크라이나 정전사태 때 발견된 멀웨어와 이번 공격들에 발견된 멀웨어가 정확히 일치합니다.”

트렌드 마이크로의 수석 보안 전문가인 카일 윌호잇(Kyle Wilhoit)은 “멀웨어가 동일한 것으로 보아 정전사태를 일으킨 인물 혹은 단체가 같은 일을 저지른 것으로 보인다”라고 블로그 포스팅을 통해 밝혔다. 멀웨어 자체도 그렇지만 이름을 붙이는 방법, 내부 구조, 공격 타이밍 등까지도 정확히 일치해 “거의 확정적”인 결론이라고도 덧붙였다.

결국 공격자가 누구든 우크라이나의 전기, 운송, 광산업 등 중요 사회 기반시설에 지속적인 타격을 가하겠다는 의도를 가지고 있음도 유추가 가능하다. 이는 또한 블랙에너지라는 멀웨어가 확산되고 있다는 새로운 걱정거리로도 이어진다. 산업 통제 시스템 보안을 전문으로 하는 미션 시큐어(Mission Secure)의 최고 사이버 아키텍트인 딘 웨버(Dean Weber)가 걱정하는 것도 바로 이 점이다.

“블랙에너지의 확산이 왜 걱정되느냐 하면, 2010년 이란 핵 시설을 마비시켰던 스턱스넷(Stuxnet)의 등장 이후 ‘멀웨어가 물리적인 결과를 낳은’ 첫 사례이기 때문입니다.” 딘 웨버의 설명이다. “우크라이나의 정전사태는 누군가 HMI(인간 기계 인터페이스) 시스템을 통해 산업 통제 시스템으로 침입해 들어간 것으로 결론이 나고 있습니다. 거기서부터 차단기를 연속적으로 열어 여러 장소에서 전력이 차단되도록 한 것이죠. 가장 유력한 건 러시아의 샌드웜(Sandworm)이란 해커라고 보입니다. 이전에도 블랙에너지를 가지고 미국과 유럽의 시설들을 공격한 적이 있는 팀이죠.”

블랙에너지는 2011년 처음 발견되었고, 주로 산업 통제 시스템으로부터 정보를 추출하고 수집하는 기능을 수행해왔다. 즉 정보 수집 기능을 가진 멀웨어라는 건 스위치 차단 기능이 없다는 소리이다. 그래서 우크라이나 정전사태 당시 블랙에너지 멀웨어가 어느 정도로 중요한 역할을 했느냐에 대해서 아직도 업계 내에서 이렇다 할 결론이 나고 있지 않은 것이다.

한편 지난 주말 동안 미국의 ICS-CERT에서도 산업 통제 시스템의 HMI에 블랙에너지의 공격이 있다는 경보를 발령했다. 다만 아직 정확히 어느 부분에 어떤 식으로 활용되었는지 세부사항은 비공개로 남아있다. 또한 공격이 HMI를 넘어서까지 확장되었는지도 아직 밝혀지지 않았다.

하지만 웨버는 “블랙에너지의 사용이 점점 확대되고 있다는 건 심각한 문제입니다. 산업 통제 시스템 관리자들 혹은 유사 시스템의 보안 담당자들에게는 걱정 때문에 밤잠도 설쳐야 할 때인듯도 싶습니다. 특히 석유 및 가스 시설은 빈번한 공격 대상이니까 더욱 그렇지요. 선박, 전력 등 HMI가 사용되는 모든 산업 시설도 사정은 비슷합니다”라고 강조한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>