◇ICS를 노린 '악성코드'...최근 랜섬웨어까지 다양해져

ICS를 공격할 목적으로 만들어진 악성코드는 스턱스넷, 인더스트로이어, 트리톤 등 다양하다. 최근 침투 악성코드 뿐 아니라 류크 랜섬웨어도 등장했다.

스턱스넷은

​2010년 이란 나탄즈 핵 시설에 침투해 원심분리기를 오작동하게 만들어 핵무기 개발을 지연시켰다. 마이크로소프트(MS) 윈도 OS 제로데이 취약점을 통해 PC에 감염된다. 감염된 PC에 연결된 USB 등을 통해 추가감염이 이뤄지는 형태다. 모든 시스템을 대상으로 하는 것이 아닌 산업시설 전반적인 현황을 감시하고 제어하는 스카다(SCADA) 시스템만을 노린다. 게다가 컴퓨터 한대만 감염시키면, 네트워크에 연결된 모든 컴퓨터에 침투 가능하다. 웜(Worm) 바이러스 형태로 자기복제 한다.

인더스트로이어는

전력 공급 인프라에 공격 가하도록 설계된 악성코드다. 2016년 12월 발생한 우크라이나 수도 키예프 전력 공급 중단 사태에 사용된 것으로 추정한다. 해당 악성코드는 모듈화 형태로 공격자가 공격을 관리하는데 사용하는 백도어다. C&C 서버와 연결돼 다른 모듈을 설치·제어하고, 결과를 공격자에게 보고한다. 


트리톤은

2017년 사우디아라비아 석유화학 공장 시설 중단 원인을 조사하던 중 발견된 악성코드다. 트리톤은 스턱스넷, 인더스토리어 등과 마찬가지로 산업시설을 물리적으로 파괴한다. 최근 트립톤이 독가스 누출 등 비상사태 때 최후 방어막 역할 하는 비상안전장치까지 제어하려 한 정황을 발견하기도 했다.  


◇제로트러스트 정책 필요

전문가는 ICS보안에도 모든 것을 신뢰하지 않는 '제로 트러스트' 정책을 적용하는 것이 필요하다고 조언한다. 망분리를 통해 모든 보안을 구비했다고 생각하는 것이 아닌 각 영역별로 보안정책을 만들고 실행에 옮겨야 한다는 설명이다. 폐쇄망도 외부와 연결된 고리가 있는 만큼 이를 관리할 체계가 필요하다.

최근 엔드포인트로 다양한 공격이 시도된다. 일부 공격은 특정 목표를 정하지 않기도 한다. 엔드포인트로 내부 정보 유출 가능한 악성코드를 심어 데이터를 탈취하거나 필요에 따라 사용자 아이디, 비밀번호, 신용카드 정보, 혹은 일반 시스템에 대한 운영권을 획득하기도 한다. 해커는 이익에 따라 상황을 진단하고 공격 방법을 진화시킨다. 특정 공격을 막는 시스템구축, 보안정책 구현은 도움되지 않는다. 공격자는 더 치밀하고 교묘해졌다. 


정영일기자 jung01@etnews.com   

관련기사 원본출처 : http://www.etnews.com/20190319000090