물 처리 및 하수 시설 내 염소 처리 장치 겨냥한 공격 막아
하지만 ‘물리적 피해’ 가능성에 대한 구체적 증거 부족해 아쉬워
[보안뉴스 문가용 기자] 우크라이나 보안국인 SBU가 VPN필터(VPNFilter)라는 멀웨어를 활용한 사이버 공격을 탐지하고 차단시켰다고 발표했다. 이번 공격은 물 처리 및 하수 시설 내 염소(chlorine) 장치를 겨낭한 공격이었다고 한다. 이는 러시아의 뉴스 매체인 인테르팍스가 보도했다.
[이미지 = iclickart]
인테르팍스에 의하면 공격자들이 VPN필터를 이용해 LLC Aulska라는 염소 처리 시스템을 감염시켜 기능을 마비시키려고 한 것으로 보인다고 한다. 하지만 SBU가 이를 빠르게 파악해 조치를 취했다. SBU는 공식 페이스북 페이지를 통해 “침투가 있고나서 수분 후 보안 전문가들이 이를 탐지했고, 여러 신호와 증거들을 통해 러시아의 VPN필터 바이러스가 침투했음을 알게 되었다”고 발표했다. 또한 “공격이 지속됐으면 여러 기술적인 문제가 발생했을 것이고, 사고로 이어졌을 것”이라고도 썼다.
VPN필터는 사이버 공격 플랫폼 중 하나로 굉장히 은밀하고 모듈로 구성되어 있다는 특징을 가지고 있다. 또한 세 단계에 거쳐 시스템을 감염시킨다. 첫 번째 단계에서 사용되는 멀웨어는 장비에 최초 침투하는 것으로 리부트를 통해서도 없애기가 힘들다. 두 번째 단계의 공격은 ‘정찰형’ 멀웨어를 동원하며, 파일과 데이터를 훔쳐낸다. 특이한 건 자가 파괴 기능도 갖추고 있다는 것이다. 세 번째 공격은 여러 가지 모듈을 통해 이뤄지는데, 패킷을 스니핑하거나 크리덴셜을 훔치는 등이 주를 이룬다.
VPN필터는 주로 사물인터넷 장비를 노리는데, 지난 5월 시스코 탈로스 팀에 의해 처음 발견되었을 때 우크라이나가 가장 큰 피해를 입었었다. 아직도 VPN필터의 배후 세력이 정확히 드러난 건 아니지만 러시아군이 가장 유력한 후보로 꼽히고 있다. 더 분명하게는 팬시베어(Fancy Bear) 혹은 APT28이라고 알려진 그룹이 지목되고 있다. 공격자들은 VPN필터를 통해 우크라이나에 서브네트워크도 형성한 상태였으며, C&C 서버 또한 우크라이나에서 발견됐다.
산업 통제 시스템 및 SCADA 전문가이자 보안 업체 드라고스(Dragos)의 CEO인 로버트 리(Robert Lee)는 “우크라이나 정보국에서 발표한 내용만 가지고는 이번 VPN필터 공격이 물리적인 피해로까지 이어졌으리라고 보기 힘들다”는 의견이다. “현재까지 우리가 VPN필터에 대해 아는 것은, 물리적 피해로까지 이어지는 기능을 가지고 있지 않다는 것입니다. 우크라이나 보안국이 확신할 수 있는 근거를 잘 모르겠습니다.”
그렇다고 물리 공격에 대한 시나리오가 완전히 ‘0’인 것은 아니라고 로버트 리는 설명을 이어갔다. “VPN필터 공격자들이 물리적 피해를 입히고 싶었다면, VPN필터를 통해 최초 침투에 성공한 지점으로부터 곧장 물리적 피해를 입히기 위한 공격을 가했을 겁니다. 컨트롤러를 조작한다든가, 염소 처리에 필요한 수치를 조작한다든가 해서요. 그러나 SBU가 발표한 내용 중에는 그러한 부분이 언급되어 있지 않습니다.”
로버트 리는 “아직 구체적인 발표를 하기 전에 모아야 할 정보가 더 있어 보인다”고 말한다. “물론 SBU가 잘못했다는 건 아닙니다. 공격을 탐지하고 막은 건 정말 대단한 성과입니다. 다만 그것을 가지고 ‘러시아’를 직접 언급하고, ‘물리적 피해’라는 표현을 써서 발표를 자극적으로 만든 건 아쉽습니다. 공격에 대한 더 상세한 정보를 보안 커뮤니티와 공유해야 추후 공격을 막는 데에 더 용이했을 것으로 보입니다.”
하지만 VPN필터를 최초로 발견한 시스코 탈로스 팀은 지난 5월 VPN필터 내에서 블랙에너지(BlackEnergy) 멀웨어와 완전히 똑같은 복사본을 발견했다고 발표했었다. 블랙에너지는 우크라이나 일부 지역에 광범위한 정전 사태를 일으킨 멀웨어다.
[국제부 문가용 기자(globoan@boannews.com)]
하지만 ‘물리적 피해’ 가능성에 대한 구체적 증거 부족해 아쉬워
[보안뉴스 문가용 기자] 우크라이나 보안국인 SBU가 VPN필터(VPNFilter)라는 멀웨어를 활용한 사이버 공격을 탐지하고 차단시켰다고 발표했다. 이번 공격은 물 처리 및 하수 시설 내 염소(chlorine) 장치를 겨낭한 공격이었다고 한다. 이는 러시아의 뉴스 매체인 인테르팍스가 보도했다.
[이미지 = iclickart]
인테르팍스에 의하면 공격자들이 VPN필터를 이용해 LLC Aulska라는 염소 처리 시스템을 감염시켜 기능을 마비시키려고 한 것으로 보인다고 한다. 하지만 SBU가 이를 빠르게 파악해 조치를 취했다. SBU는 공식 페이스북 페이지를 통해 “침투가 있고나서 수분 후 보안 전문가들이 이를 탐지했고, 여러 신호와 증거들을 통해 러시아의 VPN필터 바이러스가 침투했음을 알게 되었다”고 발표했다. 또한 “공격이 지속됐으면 여러 기술적인 문제가 발생했을 것이고, 사고로 이어졌을 것”이라고도 썼다.
VPN필터는 사이버 공격 플랫폼 중 하나로 굉장히 은밀하고 모듈로 구성되어 있다는 특징을 가지고 있다. 또한 세 단계에 거쳐 시스템을 감염시킨다. 첫 번째 단계에서 사용되는 멀웨어는 장비에 최초 침투하는 것으로 리부트를 통해서도 없애기가 힘들다. 두 번째 단계의 공격은 ‘정찰형’ 멀웨어를 동원하며, 파일과 데이터를 훔쳐낸다. 특이한 건 자가 파괴 기능도 갖추고 있다는 것이다. 세 번째 공격은 여러 가지 모듈을 통해 이뤄지는데, 패킷을 스니핑하거나 크리덴셜을 훔치는 등이 주를 이룬다.
VPN필터는 주로 사물인터넷 장비를 노리는데, 지난 5월 시스코 탈로스 팀에 의해 처음 발견되었을 때 우크라이나가 가장 큰 피해를 입었었다. 아직도 VPN필터의 배후 세력이 정확히 드러난 건 아니지만 러시아군이 가장 유력한 후보로 꼽히고 있다. 더 분명하게는 팬시베어(Fancy Bear) 혹은 APT28이라고 알려진 그룹이 지목되고 있다. 공격자들은 VPN필터를 통해 우크라이나에 서브네트워크도 형성한 상태였으며, C&C 서버 또한 우크라이나에서 발견됐다.
산업 통제 시스템 및 SCADA 전문가이자 보안 업체 드라고스(Dragos)의 CEO인 로버트 리(Robert Lee)는 “우크라이나 정보국에서 발표한 내용만 가지고는 이번 VPN필터 공격이 물리적인 피해로까지 이어졌으리라고 보기 힘들다”는 의견이다. “현재까지 우리가 VPN필터에 대해 아는 것은, 물리적 피해로까지 이어지는 기능을 가지고 있지 않다는 것입니다. 우크라이나 보안국이 확신할 수 있는 근거를 잘 모르겠습니다.”
그렇다고 물리 공격에 대한 시나리오가 완전히 ‘0’인 것은 아니라고 로버트 리는 설명을 이어갔다. “VPN필터 공격자들이 물리적 피해를 입히고 싶었다면, VPN필터를 통해 최초 침투에 성공한 지점으로부터 곧장 물리적 피해를 입히기 위한 공격을 가했을 겁니다. 컨트롤러를 조작한다든가, 염소 처리에 필요한 수치를 조작한다든가 해서요. 그러나 SBU가 발표한 내용 중에는 그러한 부분이 언급되어 있지 않습니다.”
로버트 리는 “아직 구체적인 발표를 하기 전에 모아야 할 정보가 더 있어 보인다”고 말한다. “물론 SBU가 잘못했다는 건 아닙니다. 공격을 탐지하고 막은 건 정말 대단한 성과입니다. 다만 그것을 가지고 ‘러시아’를 직접 언급하고, ‘물리적 피해’라는 표현을 써서 발표를 자극적으로 만든 건 아쉽습니다. 공격에 대한 더 상세한 정보를 보안 커뮤니티와 공유해야 추후 공격을 막는 데에 더 용이했을 것으로 보입니다.”
하지만 VPN필터를 최초로 발견한 시스코 탈로스 팀은 지난 5월 VPN필터 내에서 블랙에너지(BlackEnergy) 멀웨어와 완전히 똑같은 복사본을 발견했다고 발표했었다. 블랙에너지는 우크라이나 일부 지역에 광범위한 정전 사태를 일으킨 멀웨어다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
