보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

눈 앞에 나타난 사회기반시설 공격의 ‘실체’

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-06-03

지난 4월, 여수 시내의 한 버스 정류장에 설치된 버스정보안내 시스템에서 약 40 여분간 음란 동영상이 재생되는 사고가 발생했다. 최근 미국에서도 텍사스주의 고속도로 전광판이 해킹돼 대선 후보인 트럼프를 조롱하는 문구 등이 밤새 노출되었다. 두 사건 모두 별 다른 피해는 없었지만 교통 관련 시설이 해킹되었다는 점은 주목할 필요가 있다. 만일 교통 신호등 제어 시스템이나 공항, 철도, 발전소의 시스템이었다면? 해외에서는 공항 시스템에 대한 사이버 공격이 발생한 바 있으며, 발전소와 댐 관련 시스템의 해킹 사례도 있다. 이 글에서는 국내외 주요 사회기반시설 공격 동향을 살펴보고, 실제 사례를 통해 사회기반시설 보안의 시사점을 알아본다.

 

사회기반시설은 ‘기반 시설’, ‘기간 시설’, ‘사회 공공 기반시설’ 등으로 불리며, 사회 및 경제 활동의 기반을 형성하는 중요 시설을 의미한다. 흔히 ‘인프라(Infra, Infrastructure)’라고도 부르며, 최근에는 학교나 병원, 공원과 같은 사회 복지 및 생활 환경 관련 시설도 사회기반시설로 분류하기도 한다. 

 

사회 유지에 근간이 되는 이들 시설 또는 시스템이 사이버 공격에 피해를 입을 경우, 단순히 재산상의 피해에 그치는 것이 아니라 사회적 혼란을 야기하거나 시민들의 안전, 더 나아가 국가 안보에 심각한 위협이 될 수 있다. 실제로 지난 2012년 세계적인 석유 기업인 사우디 아람코(Saudi Aramco) 해킹, 2015년 우크라이나 정전 사태 등은 막대한 재산상의 피해는 물론 사회적 혼란까지 가져왔다. 

 

미국 국토안보국(Department of Homeland Security)은 사회기반시설을 16개 주요 분야로 나누고, 그중 식료, 농업 서비스를 제외한 14개 분야에 대한 주요 보안 리스크를 [표 1]과 같이 분류하고 있다.

 


[표 1] 미국 국토안보국의 사회기반시설 분류

 

국내·외 주요 사회기반시설 공격 사례

2000년대 초에도 특정 국가나 사회기반시설을 노린 악성코드가 존재했다. 지난 2001년 7월 발견된 코드레드(CodeRed) 웜으로 인해 미국 백악관 홈페이지에 서비스거부(DoS) 공격이 발생했다. 국내에서는 2003년 1월 25일, 슬래머(Slammer) 웜에 의한 인터넷 장애가 발생했다. 이를 ‘1.25 인터넷 대란’이라 부른다. 

 


[그림 1] 국내외 주요 사회기반시설 공격 사례

 

본격적인 사회기반시설에 대한 사이버 공격은 2000년대 중반 이후에 나타났다. 2007년 4월 27일, 에스토니아(Estonia) 공화국의 정부, 언론, 방송, 은행의 전산망이 일제히 분산서비스거부(Distribute Denial of Service, 이하 DDoS) 공격을 받았다. 이 공격으로 대통령궁을 비롯해 의회, 정부기관, 은행, 이동통신 네트워크 등 에스토니아의 국가 시스템 전체가 약 3주간 마비되는 사태가 발생했다. 

 

2008년 6월에는 조지아(Georgia, 러시아명 '그루지아')의 정부 홈페이지, 언론사, 포털 사이트 등이 대규모 DDoS 공격을 받았다. 평균 2시간 15분, 최장 6시간 동안 공격이 지속되었으며, 사흘간 이어진 공격으로 금융 시스템 장애가 발생하는 등 사회가 마비되었다. 

 

2010년부터는 단순한 서비스 장애 유발이 아닌 사회기반시설에 대한 직접적인 공격이 발생한다. 가장 대표적인 사례는 2010년 6월 발견된 스턱스넷(Stuxnet)이다. 스턱스넷은 지멘스(SIEMENS)사의 산업자동화제어시스템(PCS7)을 타깃으로 하는 악성코드로, 2010년 9월 이란의 원자력 발전소 마비 사태의 주범으로 알려졌다. 

 

에너지 분야를 노린 사이버 공격의 또 다른 사례로는 2012년 사우디에서 발생한 사우디 아람코(Saudi Aramco) 해킹이 있다. 같은 해 8월 27일에는 카타르(Qatari) 천연가스 기업인 라스가스(RasGas)도 사이버 공격을 당했다는 사실이 언론을 통해 알려졌다. 이후 2015년 우크라이나에서는 발전소 해킹에 의한 대규모 정전 사태가 발생하기도 했다. 

 

우크라이나 정전 사태와 같이 최근에는 교통 및 항공 시설, 전력 시설을 노린 사이버 공격으로 인해 일반 시민들이 생활에 불편을 겪거나 심각한 피해를 입고 있다. 최근 국내에서 발생한 사고와 유사한 일이 브라질에서도 발생한 바 있다. 브라질의 버스 정류장 안내 시스템이 해킹되어 약 15분간 음란 동영상이 노출된 것이다. 항공 시설과 관련해서는 지난 2015년 6월 폴란드 공항이 DDoS 공격을 당해 비행 계획 시스템이 5시간 동안 마비되었으며, 약 1400여 명의 승객이 공항에서 발이 묶인 사건도 있다. 

 

[그림 2] 해킹된 브라질 버스 안내 시스템(*출처: SecurityWeek) 

 

이 밖에도 프랑스 방송사 떼베생몽드(TV5Monde) 해킹 및 방송 송출 장애, 이스라엘 방송국 해킹, 지난 2013년 국내 주요 은행 및 방송국을 노린 3•20 전산망 마비, 최근 발생한 방글라데시 중앙은행 해킹, 미국 뉴욕댐 전산망 해킹, 미국 내 다수 병원의 랜섬웨어 감염 등 사회기반시설을 노리는 공격들이 다방면에서 지속적으로 발생하고 있다. 

 

사회기반시설 공격에 사용된 악성코드의 실체 

앞서 언급한 사례 중 우크라이나 발전소 해킹과 정유 회사 사우디 아람코 해킹 사례를 중심으로 실제 사회기반시설 공격에 사용된 악성코드와 공격 방식에 대해 알아보자.

 

1. 우크라이나 발전소 해킹

지난 2015년 12월 23일, 우크라이나의 키보브레네르고(Kyivoblenergo) 발전소에 문제가 발생해 이날 오후 3시 35분부터 3시간 동안 약 8만 가구에 전력 공급이 중단됐다. 또한 우크라이나 서부 지역의 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소에서도 문제가 발생해 주변 지역에 대규모 정전 사태가 발생했던 것으로 알려졌다. 전화 시스템에도 장애가 발생해 전화 통화도 정상적으로 이루어지지 않았다. 정전 직후 언론과 우크라이나 정보부(Security Service of Ukraine)는 사이버 공격의 가능성을 언급했다.

 

우크라이나의 정전이 사이버 공격에 의해 발생했다는 정황이 계속 나타남에 따라 미국 정부도 관련 조사에 착수했다. 지난 2016년 1월, 미국 국토안보국은 우크라이나 정전 사태의 원인이 사이버 공격으로 드러났다고 발표했으며, 3월 18일에는 관련 분석 보고서가 추가로 공개됐다. 이 보고서에 따르면, 공격자는 이미 6개월 전부터 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하는 등 철저한 준비 후 공격을 수행한 것으로 보인다. 

 

이와 관련해 SANS ICS팀과 해외 보안 업체 이셋(Eset)은 우크라이나 정전 사태와 블랙에너지(BlackEnergy) 악성코드가 밀접한 관계가 있다고 발표했다. 한편 우크라이나 정전 사건이 발생하기 한 달 전인 2015년 11월, 우크라이나 사이버침해대응센터(CERT, Computer Emergency Response Team)는 우크라이나 선거 기간 동안 언론사를 공격한 블랙에너지 악성코드에 관해 언급한 바 있다. 따라서 우크라이나에 대한 블랙에너지 공격은 정전 사태 이전부터 진행되었음을 예상할 수 있다. 

 

블랙에너지는 다양한 변화를 겪어온 악성코드이다. 2007년 DDoS 공격에 처음 이용되었으며, 2008년 조지아(Georgia) 공격에도 사용되었던 것으로 알려졌다. 드라이버 파일로 구성되어 있다는 것이 특징이며, 현재에도 꾸준히 변형이 나타나고 있다.

 

우크라이나 발전소를 공격한 것으로 알려져 있는 블랙에너지 악성코드는 악성코드를 떨어뜨리는 드롭퍼와 실제 악성 행위를 수행하는 난독화된 드라이버 파일로 구성되어 있으며, FONTCACHE.DAT 등의 파일이 생성된다. 

 

또한 해당 공격에서 공격자는 악성 매크로를 포함한 엑셀 파일을 이용한 것으로 알려졌다. 문서를 열어본 사용자가 보안 경고 메시지의 ‘콘텐츠 사용’을 선택하면 매크로가 실행된다. 매크로가 실행되면 %temp% 폴더에 vba_macro.exe 파일이 생성된다.

 


[그림 3] 우크라이나 발전소 공격에 사용된 엑셀 파일의 매크로 기능

 

이렇게 생성된 vba_macro.exe가 실행되면 FONTCACHE.DAT 파일이 시스템에 생성된다. 이 파일은 윈도우 패킷 캡쳐 프로그램인 WinPcap와 관련된 파일로 위장하고 있다. 내부 문자열 또한 Winpcap 관련 파일처럼 가장하고 있다.

 

[그림 4] Winpcap 관련 파일로 위장

 

익스포트(export) 함수도 모두 정상 프로그램처럼 되어 있지만, PacketAllocatePacket 코드가 실행되면 암호를 풀면서 실행되며 플러그인 파일을 다운로드하여 추가적인 기능을 수행한다. 

 

2. 사우디 아람코(Saudi Aramco) 해킹 

지난 2012년 8월 15일, 세계 최대 규모의 석유 기업 중 하나인 사우디 아람코(Saudi Aramco)가 사이버 공격으로 약 3만 대의 시스템에 장애가 발생하는 피해를 입었다. 같은 날, 자신들을 ‘정의의 검(Cutting Sword of Justice)’이라고 자칭하는 단체가 아람코 해킹이 자신들의 소행이라고 주장했다.

 


[그림 5] 아람코 해킹에 관한 ‘정의의 검(Cutting Sword of Justice)’의 주장

 

사우디 아람코 해킹에 사용된 악성코드는 '샤문(Shamoon)' 또는 '디스트트랙(Disttrack)' 등으로 불리며, 사전에 내부 시스템을 파악하고 데이터를 삭제하기 위해 제작된 악성코드이다. 공격자가 어떻게 내부 시스템에 침입했는지는 아직 알려지지 않았다.

 


[그림 6] 샤문(Shamoon) 악성코드 구조

 

샤문 악성코드의 구조는 [그림 6]과 같다. 드롭퍼(Dropper)는 하드디스크 파괴 악성코드를 시스템에 떨어뜨리는 역할을 하며, 데이터 삭제 기능과 보고 기능만 가지고 있다. 파일 속성 정보를 살펴보면 ‘Distributed Link Tracking Server’라는 설명과 함께 마이크로소프트에서 제작한 파일로 가장하고 있다.

 

[그림 7] 샤문 악성코드의 드롭퍼 등록 정보

 

데이터 파괴 파일은 ‘C:\Shamoon\ArabianGulf\wiper\release\wuper.pdb’와 같은 PDB 정보를 가지고 있다. ‘ArabianGulf’와 같은 문자열을 통해 명확한 공격 대상을 가진 악성코드임을 짐작할 수 있다. 

 

[그림 8] PDB 정보 내의 특징적인 문자열

 

데이터 삭제 파일이 실행되면 드라이버 파일(drdisk.sys)을 생성하고 파일 목록을 얻는다. 이후 시스템에 존재하는 파일을 JPEG 이미지로 덮어쓴다. 끝으로 하드디스크 MBR을 덮어써 시스템을 사용할 수 없게 하고 ‘shutdown -r -f -t 2’로 종료시킨다. 한편, 이 악성코드는 피해 시스템 수 등을 보고하는 기능도 갖고 있다. 

 

사회기반시설 보안에 관한 제언 

지난해 말, 안랩을 비롯한 국내외 보안 업체들은 2016년에 발생할 수 있는 보안 위협 중 하나로 사이버테러 및 국가기반시설 보안 위협을 꼽은 바 있다. 그리고 2016년 초부터 방글라데시 중앙은행의 해킹, 국내 버스정류장 안내 시스템 해킹 등이 발생했다. 

 

사회기반시설은 사회의 근간을 이루는 중요한 시설인 만큼 강력한 보안이 동반되어야 한다는 것은 두말할 필요도 없다. 그러나 실제로는 보안 인력이 부족한 경우나 내부 보안 인력의 전문성이 부족한 경우가 있다. 또는, 시설의 시스템 자체가 적절한 보안이 고려되지 않은 채 설계되었거나 보안에 취약한 구형 시스템으로 운영되는 경우도 있다. 

 

외부 공격으로부터 사회기반시설을 안전하게 보호하기 위해서는 우선 구성원들이 준수할 수 있는 현실성 있는 보안 정책을 수립해야 한다. 이와 함께 적절한 보안 시스템을 구축해 내부로 유입되는 위협을 모니터링 및 차단하고 내부에서 확산되는 위협을 분석 및 대응할 수 있어야 한다. 일반적으로 악성코드의 내부 시스템 침입부터 시스템 파괴 등 악의적인 결과를 가져오기까지는 어느 정도의 시간이 소요된다. 수많은 내부 시스템을 파악하고 하나씩 장악해야 하기 때문에 보통 6개월 정도가 걸린다. 따라서 공격에 의한 피해가 발생하는 것을 방지하기 위해서는 주요 시스템에 대한 정기 점검을 통해 이상 징후를 빨리 파악할 수 있어야 한다. 이를 위해 전문성을 가진 인력의 양성과 활용이 필요하다. 또한 협력 업체에 대한 강력한 보안 방안을 마련해야 한다. 공격자들은 침입이 까다로운 사회기반시설을 직접적으로 공격하는 대신 협력 업체를 해킹하는 등의 우회 공격을 시도할 수 있기 때문이다.

 

한편, 사회기반시설 공격 동향에 관한 보다 상세한 내용은 안랩 시큐리티 대응센터 분석팀에서 발표한 '사회기반시설 공격 분석 보고서'에서 확인할 수 있다.​

 

▶ '사회기반시설 공격 동향 분석 보고서' 전문 보기

 

[참고 자료]

- Data breach digest.

- Analysis of the Cyber Attack on the Ukrainian Power Grid

도시철도 안전 및 유지관리 실태 감사결과

- 감사원, '국가 사이버안전 관리 실태' 

- 강은성, ‘망분리는 만병통치약인가?’ 

- 미국 국토안보국 'Sector Risk Snapshots’

- http://www.securityweek.com/hackers-broadcast-porn-tv-screens-brazil-bus-depot

- http://africanspotlight.com/2015/08/08/hackers-broadcast-porn-on-tv-screens-at-brazil-bus-station-photos

- https://monthly.chosun.com/client/news/viw.asp?nNewsNumb=200908100021

- https://en.wikipedia.org/wiki/Cyberattacks_during_the_Russo-Georgian_War

- http://www.economist.com/node/17147818

- http://money.cnn.com/2015/08/05/technology/aramco-hack

- http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html

- SANS : https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered

- Ukraine CERT: http://cert.gov.ua/?p=2370

- http://www.mta.go.kr/policy/its/management_sign.jsp

- http://www.ittoday.co.kr/news/articleView.html?idxno=42719

https://securelist.com/blog/incidents/57854/shamoon-the-wiper-copycats-at-work

  • AhnLab 로고
  • 분석팀 차민석 책임, 이덕규 연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.