전문가 칼럼

보안 전문가들이 얘기하는 보안의 모든 것! 전문가 칼럼에서 깊이 있는 보안 정보를 만나실 수 있습니다.

우크라이나 정전 사건으로 본 사이버 공격의 현주소

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-04-04

2015년 12월 23일 우크라이나 일부 지역에서 3시간 동안 약 8만 가구에 전력 공급이 중단되는 사태가 발생했다.

 

원인은 우크라이나 키보브레네르고(Kyivoblenergo) 발전소에 문제가 생겼기 때문이다. 이 뿐만 아니라 이바노 프란키우시크(Ivano-Frankivsk)지역 프리카르파티아오블레네르고(Prykarpattyaoblenergo) 발전소 등에도 문제가 발생해 정전이 생겼음이 밝혀졌다. 또한 발전소 전화 시스템도 공격을 받아 전화 통화를 할 수 없었다고 한다.  

 

정전 직후 언론과 우크라이나 시큐리티 서비스 (Security Service of Ukraine)를 통해 사이버 공격에 의한 가능성이 언급 되었다.

 


[그림 1] 우크라이나 발전소 사이버 공격 가능성 보도

 

[그림 2] 사이버 공격을 밝힌 우크라이나 시큐리티 서비스

 

2016년 1월 산즈(SANS) ICS팀과 슬로바키아 보안 업체인 이셋(Eset)에서는 우크라이나 발전소 사이버 공격에 관련되었을 것으로 예상되는 블랙에너지(BlackEnergy) 악성코드를 공개한다. 공개된 자료에 따르면 공격 방식은 많은 표적 공격처럼 메일을 통해 이뤄졌으나 취약점을 이용한 방법이 아닌 매크로 기능을 가진 문서를 이용했다.

 

[그림 3] 공격에 사용된 문서 파일

 

블랙에너지는 2007년부터 발견된 악성코드로 2014년 우크라이나와 폴란드 표적 공격으로 유명해졌으며, 이 악성코드의 자료 파괴 기능은 2014년부터 포함되었다. 정전 사건이 발생하기 한 달 전인 2015년 11월 우크라이나 서트(CERT, Computer Emergency Response Team)는 선거 기간 동안 우크라이나 미디어를 공격한 블랙에너지 정보를 공개했다. 따라서 우크라이나에 대한 공격은 이전부터 존재했음을 예상할 수 있다.

 

우크라이나 정전이 사이버 공격에 의해 발생했다는 정황이 계속되자미국 정부도 관련 조사에 참여하게 된다. 그 결과, 미국 국토안보국(DHS, Department of Homeland Security)은 2016년 1월 12일 우크라이나 대규모 정전 원인이 사이버 공격으로 드러났다고 발표했다. 또한 3월 18일에는 관련 분석 보고서가 추가 공개됐다. 이 분석 보고서에 따르면 공격자는 이미 6개월 전에 발전소 내부 시스템에 침입해 관련 정보를 수집하고 악의적인 펌웨어(Firmware)를 개발하는 등 충분히 공격 준비를 한 후 2015년 12월 23일 공격을 수행한 것으로 보인다. 아직 일부 논란이 존재하지만 이 사건은 사이버 공격으로 인한 최초의 정전 사고로 기록되게 되었다.  

 

이렇게 사이버 공격이나 악성코드 제작은 10대•20대 남자들이 재미로 제작하는 시대와 금전적 이득을 위해 제작하는 시대를 지나 영화에서처럼 적대세력 혹은 테러리스트들에 의한 공격으로 이용될 수 있는 시대가 되었다. 이미 주요 시설들이 컴퓨터로 운영되고 있고 있지만 문제는 우리가 믿고 있는 것처럼 이들 시스템이 안전하게 관리되고 있지는 않다는 것이다.  

 

국내에서도 교통 시설, 발전소 등에 시설에 대한 공격이 발생되고 있다고 알려져 있으며, 주요 시설에 대한 감사 결과를 봤을 때 많은 일반 기업들과 같은 보안 문제에 그대로 노출되어 있음을 알 수 있다. 실제로 백신 등 기본 보안 프로그램이 제대로 설치되어 있지 않아 충분히 막을 수 있는 알려진 악성코드에 대한 대응도 제대로 되고 있지 않으며, 안전을 위해 폐쇄망으로 운영되어야 하는 시스템이 관리 소홀 혹은 사용하기 불편하다는 이유로 외부와 연결된 경우도 있다. 유지보수 업체에 대한 관리도 제대로 되지 않아 유지보수 업체 직원이 혼자 작업을 하며 정작 이를 관리 감독해야 부서에서는 어떤 작업을 하는지 알지 못하는 경우도 많다. 유지보수 업체를 통한 악성코드 감염 등의 사례는 다수 존재하고 있다. 또 직원들의 보안 수준이 낮아 보안을 위반한 사항은 반복해 발생하며, 정보보안에 대한 전문적 지식을 충분히 갖추지 않은 사람이 중요 시스템을 관리하고 있다고 한다.

 

글을 마감하는 3월 말 테러가 발생한 벨기에 지역 원전이 사이버 공격에 노출될 가능성이 있다는 보도가 있었다. 우리나라도 사이버 공격의 예외 지역이 아닌 만큼 공공의 안전을 위해 주요 시설에 대한 관리적 관점과 기술적 관점에서의 사이버 보안 강화 계획이 필요하다. 관리적 관점에서는 주요 시설의 사이버 보안에 대한 명확한 역할과 책임의 정의, 시스템별 관리, 사전 보안 정책 수립, 사전 교육의 수행 등이 수반되어야 한다. 기술적 관점에서는 침입 탐지 시스템의 설치 및 사고 모니터링 실시, 외부 연결 접점에 대한 식별 및 보호, 매체 통제, 제어 시스템에 제공되는 보안 기능 적용, 보안 프로토콜 적용 등을 고려할 수 있다. 

 

주요 시설에 대한 사이버 공격 발생 시 그 영향력은 상상을 초월한다. 특히 수많은 사람들의 안전과 막대한 경제적 손실을 초래할 수 있으므로 사전에 철저하게 대비하는 것이 필요하다.

 

차민석 프로필 사진

차민석 악성코드 분석가

안랩 시큐리티대응센터(ASEC) 책임 연구원

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.