ICS/SCADA 노리는 새로운 멀웨어, 스턱스넷과 닮은 점 있으나
공격 기능 포함하고 있지 않아 전문가들은 더 찜찜
[보안뉴스 문가용] 산업 통제 시스템을 겨냥한 새로운 멀웨어가 발견되었다. 보안 전문업체인 파이어아이(FireEye)는이 멀웨어를 아이언게이트(Irongate)라고 명명하고 분석결과를 발표했다. 이 멀웨어는 특히 지멘스의 PLC 시뮬레이터 환경을 노리는 것으로 판명되었으며 특정 PLC SIM 코드를 ‘중간자 공격’을 통해 공격한다고 한다.
지멘스의 PLC 시뮬레이터 환경은 PLC 코드를 실험하기 위한 공간으로 실제 산업 시설물의 통제가 이뤄지는 것은 아니다. 그러므로 아이언게이트가 아직까지 산업 통제 시스템에 막대한 위협이 되는 것은 아니라고 볼 수 있다고 파이어아이는 결론부터 말했다.
“아이언게이트를 처음 발견한 건 작년 말이었고, 실제로 아이언게이트가 등장한 건 2012년이라고 보입니다. 아직 실험과정 중에 있는 멀웨어로 생각되며, 그래서 계속 감시 중에 있었습니다.” 하지만 샘플을 분석했을 때 SCADA 시스템과 관련이 있는 부분을 발견해, 파이어아이는 리버스 엔지니어링을 시도했다.
ICS/SCADA 관련자들은 아직 ‘스턱스넷(Stuxnet)’의 충격에서 벗어나지 못하고 있다. 엄청난 기능을 가진 최강의 멀웨어인 스턱스넷이 2010년 완전히 해제되었음에도 ICS/SCADA 관련 커뮤니티에서는 “스턱스넷은 전조였을 뿐, 더 크고 무서운 것이 나타날 것”이라는 예측이 지금도 팽배하다. 그런 맥락에서 아이언게이트가 발견된 것.
그리고 아이언게이트에서 스턱스넷과 비슷한 점이 발견되기도 했다. “스턱스넷과 마찬가지로 지멘스사에서 만든 특정 통제 시스템을 겨냥하고 있다는 것, 특정 프로세스를 조작하기 위해 고유의 DLL 파일을 만들어 사용한다는 것에서 공통점을 발견할 수 있습니다.” 하지만 탐지 회피에 있어서 둘의 접근은 다르다. “스턱스넷은 백신 소프트웨어를 찾아 피해갔고, 아이언게이트는 샌드박스 등의 가상 환경을 피해가는 모습을 보여줍니다.”
코드에 있어서 아이언게이트와 스턱스넷은 완연한 차이를 드러낸다. “아이언게이트에는 웜처럼 퍼져가는 기능이 없어요. 스턱스넷처럼 국가가 뒤를 봐주고 있는 흔적도 없고요. 그리고 아이언게이트는 아직 ‘무기’ 단계로까지 발전하지 못한 상태입니다.” 실제 아직 아이언게이트에 의해 실제 공격을 당하고 피해를 입은 사례는 단 한 건도 없다. “취약점을 익스플로잇하지도 않고, PLC를 공격하지도 않습니다.”
파이어아이에서 ICS를 담당하고 있는 롭 칼드웰(Rob Caldwell)은 “은근히 제2의 스턱스넷이 출현하기를 기다려온 사람들이 많고, 아이언게이트가 처음 등장했을 때 많은 기대가 있었다”고 설명하지만 “결국 스턱스넷의 후예라고 볼 수는 없는 듯 하다”고 결론을 내렸다. “스턱스넷처럼 놀라운 기술력으로 무장된 것도 아니고, 첨단 기술이 빛나는 것도 아닙니다. 다만 샌드박스를 우회할 수 있다는 것이 스턱스넷보다 나은 점이긴 합니다.”
그렇다고 안심할 수 있는 것도 아니다. “일단 아이언게이트에 이렇다할 공격 기능이 없다는 것 자체가 찜찜합니다. 스턱스넷이 지나간 후 ‘더 큰 게 올 것이다’라는 불안한 예감이 더 짙어지는 것 같으니까요. 누군가 더 심한 공격을 위해 아이언게이트로 시험해보는 건 아닐까, 하는 생각이 드는 게 사실입니다. 그렇다면 누가? 혹은 어떤 나라가? 아이언게이트 때문에 사람들 마음 속에 조용히 묻혀 있던 질문들이 오히려 수면 위로 올라왔어요.”
SANS에서 ICS/SCADA 전문가로서 활동하고 있는 로버트 리(Robert Lee) 역시 아이언게이트와 스턱스넷을 연관 짓는 건 무리라는 의견이다. “하지만 ICS/SCADA 시스템을 노리는 세력들이 어딘가에 분명히 존재한다는 기본적인 사실은 다시 한 번 증명되었다고 봅니다. 아직 ICS/SCADA 등에 대한 위협을 먼 나라 이야기로 여기는 게 대부분인데, 이런 해이는 고쳐져야 하죠. 두 번째 스턱스넷이 현재 활동하고 있어도 지금의 상태로는 모를 수밖에 없어요. 당장 공격이 발생한다 해도 대응이 가능한 지도 개인적으론 의문이고요. 지금 ICS/SCADA 보안은 작동불능의 상태라고 해도 과언이 아닙니다.”
파이어아이가 발표한 분석결과 보고서는 여기서 열람이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
공격 기능 포함하고 있지 않아 전문가들은 더 찜찜
[보안뉴스 문가용] 산업 통제 시스템을 겨냥한 새로운 멀웨어가 발견되었다. 보안 전문업체인 파이어아이(FireEye)는이 멀웨어를 아이언게이트(Irongate)라고 명명하고 분석결과를 발표했다. 이 멀웨어는 특히 지멘스의 PLC 시뮬레이터 환경을 노리는 것으로 판명되었으며 특정 PLC SIM 코드를 ‘중간자 공격’을 통해 공격한다고 한다.
지멘스의 PLC 시뮬레이터 환경은 PLC 코드를 실험하기 위한 공간으로 실제 산업 시설물의 통제가 이뤄지는 것은 아니다. 그러므로 아이언게이트가 아직까지 산업 통제 시스템에 막대한 위협이 되는 것은 아니라고 볼 수 있다고 파이어아이는 결론부터 말했다.
“아이언게이트를 처음 발견한 건 작년 말이었고, 실제로 아이언게이트가 등장한 건 2012년이라고 보입니다. 아직 실험과정 중에 있는 멀웨어로 생각되며, 그래서 계속 감시 중에 있었습니다.” 하지만 샘플을 분석했을 때 SCADA 시스템과 관련이 있는 부분을 발견해, 파이어아이는 리버스 엔지니어링을 시도했다.
ICS/SCADA 관련자들은 아직 ‘스턱스넷(Stuxnet)’의 충격에서 벗어나지 못하고 있다. 엄청난 기능을 가진 최강의 멀웨어인 스턱스넷이 2010년 완전히 해제되었음에도 ICS/SCADA 관련 커뮤니티에서는 “스턱스넷은 전조였을 뿐, 더 크고 무서운 것이 나타날 것”이라는 예측이 지금도 팽배하다. 그런 맥락에서 아이언게이트가 발견된 것.
그리고 아이언게이트에서 스턱스넷과 비슷한 점이 발견되기도 했다. “스턱스넷과 마찬가지로 지멘스사에서 만든 특정 통제 시스템을 겨냥하고 있다는 것, 특정 프로세스를 조작하기 위해 고유의 DLL 파일을 만들어 사용한다는 것에서 공통점을 발견할 수 있습니다.” 하지만 탐지 회피에 있어서 둘의 접근은 다르다. “스턱스넷은 백신 소프트웨어를 찾아 피해갔고, 아이언게이트는 샌드박스 등의 가상 환경을 피해가는 모습을 보여줍니다.”
코드에 있어서 아이언게이트와 스턱스넷은 완연한 차이를 드러낸다. “아이언게이트에는 웜처럼 퍼져가는 기능이 없어요. 스턱스넷처럼 국가가 뒤를 봐주고 있는 흔적도 없고요. 그리고 아이언게이트는 아직 ‘무기’ 단계로까지 발전하지 못한 상태입니다.” 실제 아직 아이언게이트에 의해 실제 공격을 당하고 피해를 입은 사례는 단 한 건도 없다. “취약점을 익스플로잇하지도 않고, PLC를 공격하지도 않습니다.”
파이어아이에서 ICS를 담당하고 있는 롭 칼드웰(Rob Caldwell)은 “은근히 제2의 스턱스넷이 출현하기를 기다려온 사람들이 많고, 아이언게이트가 처음 등장했을 때 많은 기대가 있었다”고 설명하지만 “결국 스턱스넷의 후예라고 볼 수는 없는 듯 하다”고 결론을 내렸다. “스턱스넷처럼 놀라운 기술력으로 무장된 것도 아니고, 첨단 기술이 빛나는 것도 아닙니다. 다만 샌드박스를 우회할 수 있다는 것이 스턱스넷보다 나은 점이긴 합니다.”
그렇다고 안심할 수 있는 것도 아니다. “일단 아이언게이트에 이렇다할 공격 기능이 없다는 것 자체가 찜찜합니다. 스턱스넷이 지나간 후 ‘더 큰 게 올 것이다’라는 불안한 예감이 더 짙어지는 것 같으니까요. 누군가 더 심한 공격을 위해 아이언게이트로 시험해보는 건 아닐까, 하는 생각이 드는 게 사실입니다. 그렇다면 누가? 혹은 어떤 나라가? 아이언게이트 때문에 사람들 마음 속에 조용히 묻혀 있던 질문들이 오히려 수면 위로 올라왔어요.”
SANS에서 ICS/SCADA 전문가로서 활동하고 있는 로버트 리(Robert Lee) 역시 아이언게이트와 스턱스넷을 연관 짓는 건 무리라는 의견이다. “하지만 ICS/SCADA 시스템을 노리는 세력들이 어딘가에 분명히 존재한다는 기본적인 사실은 다시 한 번 증명되었다고 봅니다. 아직 ICS/SCADA 등에 대한 위협을 먼 나라 이야기로 여기는 게 대부분인데, 이런 해이는 고쳐져야 하죠. 두 번째 스턱스넷이 현재 활동하고 있어도 지금의 상태로는 모를 수밖에 없어요. 당장 공격이 발생한다 해도 대응이 가능한 지도 개인적으론 의문이고요. 지금 ICS/SCADA 보안은 작동불능의 상태라고 해도 과언이 아닙니다.”
파이어아이가 발표한 분석결과 보고서는 여기서 열람이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
