상단여백
HOME 뉴스 해외뉴스
우쿠라이나 정전사태는 악성 코드를 이용한 사이버 공격
김명덕 | 승인2017.06.13 22:10

보안업체 ESET은 12 일 지난해 12월 발생한 우크라이나 수도 키예프 정전사태가 산업제어시스템을 노려 악성 코드를 이용한 사이버 공격이었을 가능성이 크다고 발표했다. 우크라이나 전력망은 지난해 12월 사이버 공격을 받아 수도 키예프의 일부지역이 1 시간 동안 정전된 바 있다.

13일 외신에 따르면 ESET가 분석한 악성 코드는 송전망에 심각한 손상을 발생시킬 수 있으며 작업을 통해 다른 중요 인프라를 공격 대상으로 할 가능성도 있는 것으로 밝혀졌다. 회사는이 악성 코드를 'Win32 / Industroyer'라고 명명했다.

Industroyer는 4 개의 공격 요소 외에도 공격을 마친 후 모든 흔적을 지우는 기능도 갖추고 있다 (출처 : ESET)

ESET는 Industroyer가 모듈형 악성 백도어를 통해 다른 구성 요소를 불러 원격 서버에 접속하고 명령을 수신하는 구조로되어 있었다고 분석했다.

다른 악성 코드와 다른 점은 4 개의 공격 구성 요소를 사용해 변전소의 스위치나 차단기를 직접 제어할 수 있는 기능을 탑재하고 있다는 점이다. 이 4 개의 각 구성 요소는 전력공급 인프라 및 교통 제어 시스템 등 세계 각국의 공공 인프라에 폭넓게 사용되고 있는 산업용 통신 프로토콜인 'IEC 60870-5-101' 'IEC 60870-5-104' 'IEC 61850' 'OLE for Process Control Data Access (OPC DA)'이 이용됐다.

악성 코드 'Industroyer'는 변전소 스위치나 차단기를 직접 제어 할 수있는 기능을 탑재하고있다 (출처 : ESET)

이들 프로토콜은 수십년 전에 개발된 것으로 당시의 산업시스템은 외부 세계로 부터 분리되어 있었다. 따라서 설계시 보안은 고려되지 않았으며 공격자는 프로토콜 취약점을 찾지 않고 단지 그러한 프로토콜에 악성 코드로 심는 것 만으로 공격을 끝냈다고 ESET는 설명했다.

또 Industroyer는 자신의 존재를 숨기고 잠복 공격을 마친 후 모든 흔적을 지우는 기능과 Siemens 제 장비의 취약점을 이용해 서비스 거부 (DoS) 공격을 일으키는 모듈도 장착 있었다며 "2016 년 12 월의 공격은 Industroyer가 사용됐을 공산이 매우 크다"고 ESET는 추정했다.

우크라이나에서는  2015 년 12 월에도 다른 악성 코드가 원인으로 보이는 정전이 발생해 대규모 사이버 공격 실험이 진행 중이라는 견해도 부각되고 있다. "일련의 공격은 전세계의 기간 시스템의 보안을 담당하는 담당자에게 경종 될 것"이라고 ESET는 지적했다.

김명덕  joopy2@gmail.com
<저작권자 © 보안24, 무단 전재 및 재배포 금지>

김명덕의 다른기사 보기
icon인기기사
여백
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
회사명 : 주식회사 시큐리티미디어랩  |  서울특별시 은평구 서오릉로 186, 2층  |  대표전화 : 070-4716-8107  |  팩스 : 070-4716-8108
설립일 : 2015년 7월24일  |  인터넷신문등록일자 : 2015. 7. 14   |  등록번호 : 서울 아 03822  |  발행인/편집인 : 김용욱  |  청소년보호책임자 : 김용욱
Copyright © 2017 보안24. All rights reserved.
Back to Top