지난 3월 5일(현지시각) 미국 MIT가 발간하는 ‘MIT Technology Review’에서는 2017년 사우디의 한 석유화학공장에서 발견된 ‘Triton(트리톤)’이라는 멀웨어(malware)의 확산을 주의해야할 필요가 있다고 경고했다.
◆ 물리적 손상에 제한되던 사이버 공격경향이 대규모 인명 살상으로 확대
멀웨어란 사이버 시스템, 네트워크를 파괴하거나 내부에 있는 데이터를 탈취하는 등의 악의적인 목적을 위해 특별히 개발된 악성코드, 악성소프트웨어라고 불리기도 한다.
리뷰는 공장의 Triconex 안전 컨트롤러 모델을 목표로 하는 멜웨어인 트리톤을 발견했는데 이제까지 사이버 공격경향이 핵시설의 원심분리기, 발전소 등을 타겟으로 하여 시설의 파괴에 주안점을 주었던 것과 달리, 이번 멀웨어는 석유화학공장의 안전시스템을 목표로 하여 대규모 인명살상을 직접 꾀하고 있었던 점에서 차이가 크다고 밝혔다.
보안 전문가들이 해당 멀웨어를 일부 분석한 결과 최악의 상황을 가정한다면 유독가스인 황화수소(H2S)의 대규모 누출이나 폭발을 일으킬 수도 있어 공장 주위의 시설이나 인명에 치명적인 피해를 줄 수 있을 것으로 전망됐다.
또한 2017년 12월에서야 같은 해 6월에 발생한 이 사고의 존재가 일반에 알려졌으나 사이버 보안 회사들의 분석 결과 해커들은 2017년 6월의 사고 발생 수 년 전인 2014년에 이미 시스템에 침입하여 보안시스템을 무력화하는 등의 활동을 개시했던 것으로 알려졌다.
한편 2018년 10월 30일 보안회사 ‘파이어아이(FireEye)’는 트리톤 공격의 배후로 사이버 공격 조직인 템프벨레스(TEMP.Veles)와 러시아 정부소속 연구기관인 중앙역학화학연구소(Central Scientific Research Institute of Chemistry and Mechanics)가 의심된다고 밝혔다.
이와 관련하여 파이어아이는 템프벨레스의 다른 활동에서 트리톤 공격 때 사용된 일부 악성코드가 발견되었으며 중앙역학화학연구소의 IP 주소가 트리톤 공격에 활용된 것 등을 근거로 템프벨레스와 연구소가 이번 공격에 대해 관련성이 높을 것으로 추정했다.
리뷰는 대규모 인명살상을 목적으로 하는 트리톤과 같은 멀웨어의 활동이 중동과 같은 일부지역에 국한될 것으로 보지 않으며, IT 기술이 발전된 북미, 유럽에까지 확산될 가능성이 높아 이에 대한 대비가 필요하다고 덧붙였다.
◆ ICS(산업제어 시스템)에 대한 사이버 공격 드물지 않아
ICS(Industry Control System)은 변전소의 회로차단기와 같은 산업장비를 조종, 제어하는 시스템으로 통신 네트워크로 연결될 경우 원격으로 장비를 조종, 제어할 수 있으며 자동 프로그램과 연동되면 인간의 개입 없이 장비를 조종, 제어할 수 있다.
해커들은 원격 혹은 프로그램에 의해 장비를 조종, 제어할 수 있는 ICS의 특징을 노리고 악성 코드 등으로 ICS의 파괴 혹은 정보 탈취를 종종 시도하기도 한다.
ICS가 사이버 공격을 받은 대표적인 예로는 ‘스턱스넷’에 의해 이란의 우라늄 농축 시설이 공격받은 것과 ‘크래시오버라이드’에 의해 우크라이나의 전력망이 공격 받은 것을 꼽을 수 있다.
2010년 11월 이란의 나탄즈에 위치한 우라늄 농축시설이 여러 차례에 걸쳐 정지한 사실이 일반에 공개되었는데, ISIS(Institute for Science and International Security, 과학국제안보연구소)는 2009년 11월에서 2010년 1월 사이에 나탄즈 시설의 우라늄 농축에 사용되는 원심분리기가 최대 1000대 가량 파괴된 것이 그 원인으로 보인다고 밝혔다.
보안전문가들에 의해 나탄즈 시설에 사이버공격에 이용된 멀웨어로 지목되는 것은 ‘스턱스넷(Stuxnet)’으로 스턱스넷은 원심분리기의 회전속도를 급격하게 올렸다가 감소하는 등의 무리한 작동을 계속해서 실행하는 방법으로 우라늄 농축 원심분리기를 고장 혹은 파괴한 것으로 추정된다.
보안업계에서는 스턱스넷이 무차별적으로 감염되는 특성을 가지고 있지만 다른 악성코드와 달리 우라늄 농축에 많이 활용되는 특정 회사의 프로그램이 설치되어 있지 않은 컴퓨터에서는 휴면상태에 들어가며 2012년 6월말 이후에는 스스로 삭제되도록 하는 기능 등이 있는 점으로 볼 때 타겟 시스템만을 파괴하고 다른 시스템에는 해가 없도록 고도로 주의를 기울였다고 평가하고 있다.
또한 스턱스넷이 보여준 높은 기술적 완성도와 이란의 핵시설만을 정밀 타격하도록 프로그램을 제작했던 점으로 인해, 보안업계에서는 현재까지도 개인 해커가 아닌 미국, 이스라엘 정부가 해당 사이버공격에 주도적인 역할을 한 것이 아닌가하는 의심을 거두지 않고 있다.
한편 2016년 우크라이나 키에프 지역에서는 약 1시간 동안 대규모 정전이 발생했는데 사이버 보안회사인 Dragos(드라고스)는 이 정전이 ‘크래시오버라이드(Crashoverride)’라는 멀웨어를 이용한 사이버 공격에서 비롯되었다고 밝혔다.
특히 드라고스에 따르면 해당 사건에서 발견된 크래시오버라이드란 멀웨어는 특정 회사의 시스템이나 취약점을 목표로 하는 것이 아니라 ICS에 사용되는 특정 통신프로토콜을 이용해서 시스템을 공격하는 것으로 알려졌다.
드라고스의 분석대로라면 특정 회사의 시스템을 노리던 스턱스넷과는 달리, 크래시오버라이드는 특정 통신프로토콜을 사용하는 산업제어 시스템이라면 제한을 두지 않고 무차별적인 공격을 가하는 것이 가능하다는 점에서 위험도가 훨씬 크다고 평가된다.
◆ 평상시 보안 관리로 상당한 보안 위협 줄일 수 있어
보안업계는 나날이 커지고 있는 사이버 공격 위협에서 ICS를 보호하기 위해 평상시에 시스템 보안 관리를 철저히 할 필요가 있다고 조언했다.
파이어아이는 ICS의 보안에 치명적 위험을 줄 수 있는 취약점을 조사했는데 1위는 ICS관련 패치와 업데이트 관리 부실(32%), ID와 접근제어 관리 부실(25%)로 조사되어 평상시 보안 관리에 조금만 신경을 쓰면 시스템에 대한 잠재위험을 상당수 줄일 수 있는 것으로 나타났다.
구체적으로 파이어아이는 ICS 운용 기업이 패치와 업데이트 관련해서 일관된 절차를 확립하고 정기적으로 패치와 업데이트 절차를 수행해야 하며 주요 시스템에 관한 패치나 업데이트가 더 이상 제공되지 않는다면 추가적인 방화벽 설치 등으로 접근제어와 트래픽을 필터링해야 한다고 조언했다.
또한 ID와 접근제어 관리는 중요관리자에게만 이중 인증을 도입해도 위험을 상당히 줄일 수 있으며 현장에서 흔히 보이는 시설의 선반이나 장치에 비밀번호를 포스트잇에 써서 붙여놓는 행위, 계정을 공유하는 행위 등과 같은 보안에 무신경한 행위만 금지해도 외부로부터의 부정침입 가능성을 상당히 줄일 수 있다고 덧붙였다.
이와 같은 보안 관리만으로 보안 취약점을 100% 해소했다고 보기는 어렵지만 적어도 보안 불감증에 젖어 무신경하게 산업제어 시스템을 운용하는 것보다 위험을 현저히 낮출 수 있는 것은 사실이기 때문에 다소 불편하더라도 보안 확보에 관리자들이 신경을 더욱 쓸 필요는 있다고 볼 수 있다.