보안

우크라이나 정전 사태, 악성코드에서 시작됐다...SANS ICS팀

Jeremy Kirk  | IDG News Service 2016.01.21
해커들이 우크라이나에서 정전 사태를 발생시켰던 원인이 되는 차단기를 여는데 물리적으로 개입한 것으로 알려졌다.

지난해 12월 우크라이나의 전력회사들에 대한 사이버공격이 있었으며 여기서 악성코드가 직접 정전을 일으킨 것은 아니라는 조사 보고서가 발표됐다. 우크라이나의 정전으로 최소 8만 명이 영향을 받은 것으로 파악됐다.

9일 SANS 산업용 제어시스템(ICS)팀이 공개한 정보에 따르면, 악성코드는 전원을 끄는 회로 차단기를 해커들이 열 수 있도록 네트워크 접근 키를 위한 발판을 제공했다.

전문가들은 수년 동안 유틸리티 회사가 사용하는 산업용 제어시스템이 사이버 공격에 취약하다고 경고했었다. 지난 12월 23일 우크라이나에서 발생한 정전은 바로 그 경고가 현실이 됐음을 보여주는 사례다.

SANS ICS는 이 공격 계획이 실행됐다고 밝혔다. 2014년 러시아가 크림을 합병한 이후 우크라이나와 러시아간의 긴장감이 높아졌다. 네트워크 접근권한을 얻는데 악성코드가 이용됐으며 공격자는 전력 시스템 사업자에게 자신들의 행동을 감추기 위해 직접적인 개입을 사용했다고 SANS ICS는 전했다.

이밖에도 정전 영향을 받은 고객들의 항의 전화를 유틸리티 회사가 받지 못하도록 전화시스템에 서비스 거부 공격을 실행하기도 했다고 SANS ICS는 밝혔다. 이 공격은 2개의 서비스 회사(Prykarpattyaoblenergo과 Kyivoblenergo)에 영향을 끼쳤으며 30곳의 변전소가 오프라인 상태가 된 후에 8만 고객들에게 서비스를 업데이트했다고 설명했다.

일부 보안업체들은 이 공격에 악용된 블랙 에너지 3라는 악성코드 프로그램과 킬디스크(KillDisk)라는 컴포넌트를 분석했다.

지난 7일 미국 달라스에 있는 보안업체인 아이사이트파트너(iSight Partners)는 ‘샌드웜팀(Sandworm Team)이라는 별명을 사용하며 강한 러시아에 관심을 갖고 있는 집단이 지난 번에도 이 악성코드를 사용했다고 밝혔다.

SANS ICS는 아이사이트의 주장을 인용해 해당 악성코드가 정전 사태를 일으키는데 기여할 수 있다고 경고했다. "단순히 말해 공격의 악성코드 부분의 특정 컴포넌트에 이의를 제기할 가능성이 있는지 밝힐 증가가 아직 있다"고 SANS ICS 이사 마이클 아산테는 밝혔다.

킬디스크는 마스터 부트 레코드(MBR)를 덮어 씀으로써 컴퓨터가 운영체제를 실행하기 전에 볼 수 있는 PC 하드 드라이브의 첫번째 섹터부터 막히게 해 컴퓨터를 사용할 수 없게 만드는 것을 목적으로 한다. 시만텍에 따르면, 킬디스크는 정크 데이터로 파일을 덮어쓸 수도 있다.

아산테는 킬디스크가 SCADA 유형(감시 제어 및 데이터 수집) 프로그램에서 사용되는 시스템과 호환되지 않을 것이라고 말했다. 하지만 시스템을 복원하는 데 도움이 되며 다른 파일을 삭제하는 데 사용될 수 있다.

전력 회사는 회로 차단기를 닫고 3~6시간 이내에 수동으로 서비스를 복구했다고 아산테는 말했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.