러시아 샌드웜 그룹, 우크라이나 에너지 설비 사이버 공격 감행

우크라이나 정부 컴퓨터 비상 대응 팀(CERT-UA)이 러시아의 정부 후원을 받는 위협 그룹 샌드웜(Sandworm)이 우크라이나 모 에너지 설비를 대상으로 두 차례 사이버 공격을 감행했다고 발표했다. 공격자는 고전압 변전소, 윈도우 컴퓨터, 리눅스 서버, 네트워크 장비를 포함, IT와 운영 기술 전반 설비 중단을 목표로 공격했다.
 
CERT-UA는 초기 침해는 2022년 2월 이전에 실행됐다고 밝혔지만 침해가 어떻게 발생했는지에 관해서 구체적으로 언급하지는 않았다. 전기 변전소의 연결을 끊어 설비 가동을 중단시키려는 작전은 2022년 4월 8일 저녁에 예정되어 있었지만 이 “악의적 계획의 실행”은 사전에 차단됐다.
 
우크라이나 팀은 마이크로소프트와 ESET의 도움을 받아 공격을 피했다. ESET은 공격을 분석한 보고서에서 CERT-UA와의 협력으로 새로운 인더스트로이어(Industroyer) 맬웨어 변종을 발견했다고 밝혔다. 샌드웜 그룹은 2016년 우크라이나 전력망 가동을 중단시킨 공격에서도 인더스트로이어 맬웨어를 사용한 적이 있다.
 

인더스트로이어2 맬웨어, IT와 OT 시스템 모두 공격

ESET과 CERT-UA가 인더스트로이어2로 명명한 이 맬웨어는 108_100.exe라는 하나의 윈도우 실행 파일로 배포됐으며 2022년 4월 8일 UTC 16:00:00에 예약된 작업을 사용해 실행됐다. PE 타임스탬프에 따르면 컴파일된 시점은 2022년 3월 23일로, 이는 공격자들이 최소 2주 전에 공격을 계획했음을 시사한다. 인더스트로이어2는 인더스트로이어와 달리 산업용 장비와 통신하기 위한 IEC-104라는 하나의 산업용 제어 시스템 프로토콜로만 동작한다.
 
ESET은 분석된 샘플에 8개의 다른 디바이스 IP 주소가 포함되는 등 인더스트로이어2가 여러 디바이스와 동시에 통신할 수 있다고 밝혔다. 공격자들은 ICS 네트워크에 인더스트로이어2를 배포한 동시에 캐디와이퍼(CaddyWiper)라는 파괴적인 맬웨어의 새 버전도 배포했다. 목적은 복구 프로세스의 속도를 저하시키고 에너지 회사 운영자가 ICS 콘솔에 대한 제어 권한을 회복하지 못하는 것으로 추정된다.
 
ESET이 우크라이나에서 캐디와이퍼를 처음 발견한 시점은 3월 14일로, 당시에는 은행 네트워크에 배포된 상태였다. 또한 ESET은 이번에 공격을 받은 에너지 회사의 네트워크에서 오크슈레드(ORCSHRED), 솔로슈레드(SOLOSHRED), 오풀슈레드(AWFULSHRED)라는 리눅스 및 솔라리스 맬웨어도 발견했다.
 
SOC 프라임(SOC Prime)의 창업자이며 CEO인 안드리 베즈베르키이는 우크라이나인으로, 전쟁이 시작된 이후 15명으로 구성된 팀과 함께 우크라이나에 머물면서 여러 조직을 대상으로 사이버 보안과 관련한 도움을 무료로 제공하고 있다. 베즈베르키이는 CSO와의 인터뷰에서 인더스트로이어와 인더스트로이어2의 중요한 차이점에 대해 “기능이 이제 성숙 단계에 이르렀다. ICS 시스템 중 하나를 붙잡고 씨름하는 대신 이제 산업용 제어 시스템 자체와 윈도우 시스템, 네트워크 장비 등 여러 레벨에서 공격한다”라고 말했다.
 
그동안 러시아는 많은 사이버 사건에서 관련성을 부정해왔지만 두 차례의 우크라이나 공격은 워낙 비슷해서 부정하거나 모호한 태도를 취할 여지가 거의 없다. 베즈베르키이는 “러시아가 이미 지상과 공중에서 우크라이나를 공격하고 있으므로 사이버 공격의 배후로 지목되든 말든 이제 전혀 신경 쓰지 않는 것으로 보인다. 이들이 사이버 공간에서 공격을 해오면 우리가 할 수 있는 일은 무엇인가?”라고 말했다.
 

9개 변전소 가동 중단을 알린 TLP 경보

CERT-UA의 공식 발표문을 보면 샌드웜 공격이 성공하지 못한 것처럼 보인다. 그러나 CERT-UA가 국제 파트너를 상대로 발행한 이전 TLP 앰버(TLP Amber) 경보를 보면 악의적 사이버 활동은 격퇴됐다 해도 최소 두 차례의 공격이 “성공적”이었던 것으로 보인다. 또한 이 경보는 공격자들이 한 지역에서 9개의 전력망 변전소 가동을 일시적으로 중단시켰다고 전했다.
 
베즈베르키이는 그건 중요하지 않다면서 “오늘 아침에 키이우에 있었던 동료들을 포함해서 누구도 정전을 보고하지 않았다. 이들은 모두 전원이 정상 작동했다고 말했다. 9개의 변전소라고 하면 큰 사건일 수도 있지만 그렇지 않을 수도 있다. 그 변전소들이 작은 마을에 있었다면 미디어에 대대적으로 보도되지도 않았을 사건”이라고 말했다.
 
맨디언트(Mandiant)의 ICS/OT 컨설팅 사업부 기술 관리자인 크리스 시스트렁크는 CSO와의 인터뷰에서 “샌드웜이 9개의 변전소에 타격을 가한 것은 무의미하다. 이러한 상황을 분석하는 데는 시간이 걸리고 정보도 부정확할 수 있기 때문이다. 더 중요한 점은 실제 전쟁이 진행 중이라는 것이다. 러시아 군인들이 원자력 발전소를 장악하고 거기서 건물에 발포하고 송전선을 해체하고 있다”라고 말했다. 
 
시스트렁크는 이어 “전쟁 상황에서는 불확실한 것이 많으므로 분석을 기다려봐야 한다. 9개의 변전소가 공격을 받았는가, 아니면 받지 않았는가? 그중 일부가 폭격으로 인해 물리적으로 파괴된 지금 그 질문은 중요하지 않다”라고 말했다.
 

해외 에너지 기업, 주의 필요

베즈베르키이는 미국 기업을 포함한 모든 에너지 공급업체가 이 공격에 주의를 기울여야 한다면서 “이들이 미국이나 다른 국가의 인프라도 공격할 수 있을까? 가능하다고 본다. 발전소용 ICS 장비를 우크라이나가 만들어 사용하는 것이 아니기 때문이다. 우크라이나는 미국과 유럽에서 제조된 장비를 사용한다. 러시아는 몇 년, 어쩌면 수십 년 동안 ICS 장비에 침투하기 위한 온갖 종류의 수법을 입증해왔다”라고 말했다.
 
시스트렁크는 “샌드웜은 전에도 같은 행위를 한 적이 있고, 지금은 실제 전시이므로 우크라이나 사람들의 삶을 더 힘들게 하기 위한 또 다른 행위일 뿐”이라고 말했다. 시스트렁크는 인더스트로이어2 맬웨어가 미국에서 그다지 사용되지 않는 IEC-104 외에 다른 여러 프로토콜도 표적으로 삼을 수 있도록 재가공될 개연성이 충분하다면서 “지금의 인더스트로이어2 그대로는 IEC-104를 사용하는 소수 설비를 제외하면 미국이나 북미의 변전소에 타격을 줄 수 없다”라고 말했다.
 
게다가 미국 유틸리티 업계는 러시아의 우크라이나 침공이 시작되고 사이버 보안 및 인프라 보안국(CISA)이 “경계 상향” 경보를 발령한 이후 경계심을 늦추지 않고 있다. 그러나 시스트렁크는 지방 자치 정부가 소유한 설비와 같은 소규모 전기 설비는 주된 우려 대상이라고 말했다.
 

우크라이나, 사이버 방어 강화

노조미 네트웍스(Nozomi Networks)의 사이버 전략가인 크리스 그로브는 “우크라이나 전력망을 방어하는 이들은 건물 바깥에서 폭탄과 미사일과 총알이 날아다니는 소리를 들으면서 일한다. 전력망이 파괴되면 전쟁에서 지고 병원에 들어가는 전력도 끊어지게 된다는 것을 알고 있으므로 전력을 다해 방어하고 있다”라고 말했다.
 
이전에 우크라이나 전력망에 대한 사이버 공격이 발생한 이후 많은 기업이 시간을 투자해 우크라이나의 사이버 방어력 증강을 도왔다. 그로브는 “이번 공격은 실질적인 피해가 발생하기 전에 조기에 차단됐다. 대비하지 않았다면 훨씬 더 심각한 상황을 맞이할 수 있었다. 대규모 정전이 발생했던 2016년의 상황이 재연되거나 방어를 담당하는 사람들이 공격을 정확히 파악하지 못했을 수도 있다”라고 말했다.
 
그로브는 인더스트로이어2 맬웨어의 모듈형 특성을 언급하면서 “다른 프로토콜을 쉽게 추가할 수 있으므로 다른 시스템에서도 작동하도록 손쉽게 개조가 가능하다. 따라서 미국 전력 회사들도 인더스트로이어2 공격을 경계해야 한다”라고 말했다. 
 
그로브는 미국의 경우 전체적으로 러시아 사이버 위협에 잘 대비돼 있다면서 노조미가 클래로티(Claroty), 포스카우트(Forescout), 허니웰(Honeywell), 테네이블(Tenable)과 함께 발표한 “운영 기술 사이버 보안 연합(Operational Technology Cybersecurity Coalition)”을 가리키며 “항상 개선의 여지는 있지만 진전되고 있다”라고 말했다.
editor@itworld.co.kr