산업 시스템 노리는 멀웨어 분석해주는 무료 툴 공개 |
|
2017-07-28 | |
ESET의 전문가 둘, 안전하게 산업 멀웨어 분석해주는 툴 배포
사이버전 심화된다는 건 산업 시스템 위험하다는 것 [보안뉴스 문가용 기자] 지난 2016년 우크라이나 키에브 지역에서 한 시간 정도의 정전 사태를 일으킨 건 전력망을 침투한 멀웨어였다. 그런데 그 툴이 블랙햇을 통해 공개됐다. 그리고 청중들이 지켜보는 가운데 악성 코드가 낱낱이 공개됐다. [이미지 = iclickart] 실제 사건 현장에서 이 멀웨어를 발견하고 블랙햇에 들고 온 건 바로 보안 업체 ESET의 전문가 로버트 리포프스키(Robert Lipovsky)와 안톤 체레파노프(Anton Cherepanov)였다. 그리고 주인공 멀웨어의 이름은 크래시오버라이드/인더스트로이어(CrashOverride/Industroyer)다. 이 멀웨어는 하벡스(Havex)라는 원격 접근 툴과 함께 사용된다고 ESET의 전문가들은 소개했다. 하벡스가 정찰을 하고 크래시오버라이드/인더스트로이어가 파괴 행위를 하는 식이다. 그런데 이 멀웨어의 샘플은 조심히 다뤄야 한다. 자칫 잘못하면 실험과 분석을 하는 시스템의 데이터를 지울 수 있기 때문이다. 그래서 이 두 전문가는 IDAPython 스크립트를 하나 작성해 보안 전문가들이 바이너리를 안전하게 리버스엔지니어링 하도록 했다고 한다. 이 스크립트는 깃허브를 통해 공유되고 있는데, 여기를 누르면 연결된다. 이처럼 산업 시설, 특히 ICS/SCADA를 대규모로 노린 멀웨어가 대중에게 공개된 것은 이번이 네 번째다. 첫 번째는 스턱스넷(Stuxnet), 두 번째는 하벡스(Havex), 세 번째는 블랙에너지(BlackEnergy)였다. “위 스크립트를 능숙하게 다룰 수 있다면 앞으로 나타나는 산업용 멀웨어를 찾아내고 분석하기가 훨씬 쉬워질 것입니다.” “이 툴은 멀웨어가 가진 근본적인 목적을 이해하는 데 도움을 주도록 만들어졌습니다. 멀웨어를 탐지하고 무력화시키는 것도 물론 중요한 일이지만 공격자들이 노린 것이 무엇인지 더 자세히 이해할 수 있게 된다면, 생각지도 못한 다른 위협이나 또 다른 위험거리들을 찾아낼 수도 있습니다. 더 시야를 넓게 해주는 것이죠.” 산업 시설의 보안을 전문으로 하는 사이버엑스(CyberX)의 부회장 필 너레이(Phi Neray)는 이 무료 툴을 보고 극찬을 아끼지 않았다. “ESET의 리버스 엔지니어링 툴은 보안 분석가라면 반드시 가지고 있어야 할 것이라고 봅니다. 현재 ICS 시스템에 대한 지식이 부족하여 방어가 어려워지고 있는 게 현실이거든요. 이 툴은 멀웨어가 정찰용인지, 파괴용인지도 알려주기 때문에 여러 수사나 분석 과정을 단축시켜주는 효과도 가지고 있습니다.” 너레이는 “인더스트로이어/크래시오버라이드는 모듈로 구성되어 있다”며 “그러므로 다양한 산업과 조직에 따라 알맞게 변형되어 공격을 가할 수 있다”고 설명한다. 또 “정찰용 포트 스캐너와 공격 모듈을 따로 가지고 있기도 하다”고 자신들의 분석 결과를 풀어놨다. 리포프스키와 체레파노프는 “이 멀웨어는 너무나 정교하게 만들어진 것으로, 상당한 실력자가 배후에 있는 것이 분명하다”고 주장한다. 하지만 그 배후 세력으로 짐작되는 나라나 단체에 대해서는 아무런 말도 하지 않았다. 하지만 현재 우크라이나를 무차별적으로 공격할 동기를 가진 것이 러시아밖에 없기 때문에 업계 전문가들은 러시아를 잠정적으로 지목하고 있다. 리포프스키는 “사이버전이 늘어나고 있다는 건 ICS/SCADA 시스템에 대한 위기가 늘어난다는 것”이라며 “미리미리 준비를 해놔야 한다”고 주장한다. “하지만 많은 사람들이 산업 시설에서부터 멀리 떨어진 곳에서 생활하고 있고, 그렇기에 산업 시설에 닥친 위험들에 대해 아무런 인지도 못하고 있는 게 현실입니다. 아직 이 멀웨어들을 탐지해낼 수 있을 때 미리미리 대비해놓는 것이 현명한 처사일 겁니다.” 이번에 ESET이 무료로 공개한 툴의 목적은 이런 사이버 스파이를 완전히 잡는 것이라기보다 더 깊은 곳으로 침투하지 못하도록 하는 것이라고 체레파노프는 설명했다. “대규모 공격이 실제 일어나기 전에는 분명히 정찰 행위와 같은 일들이 선행됩니다. 보통 ‘정찰용’ 혹은 ‘정보 수집용’ 멀웨어라고 하면 얕보고 ‘별다른 피해가 없었다’고 결론을 내리는데, 그건 뒤에 오는 일들을 전혀 못 보기 때문에 하는 생각입니다.” |
[출처] http://www.boannews.com/media/view.asp?idx=56025&page=2&mkind=2&kind=1#