전 세계가 끔직한 테러로 큰 몸살을 앓고 있다. 하루가 멀다 하고 미디어에 등장하는 테러소식을 접할 때면 죄 없는 사람들의 고통에 가슴이 저며온다. 그러면서 동시에 테러의 안전지대가 없다는 걱정도 밀려온다. 안전지대로 여겨졌던 서유럽 국가에서도 연이어 테러 피해를 당하고 있어 불안함이 엄습해오기도 한다.
대형 테러 조직들은 대규모 자금을 확보하고 있으며 전 세계에 영향력을 행세하고 있고, 국가 기간 시설을 제어하는 산업제어망 시스템도 언제든지 자행할 수 있다. 특히 산업제어망 시스템에 대한 사이버 공격은 보안인들이 반드시 관심을 갖고 막아내야 하는 영역이다.
국가 기간시설 파괴 목적으로 진행된 ‘스턱스넷’
산업 제어망 공격 사례로 가장 유명한 ‘스턱스넷’ 사건을 되새겨보자. 2010년 발견된 스턱스넷은 전 세계에 충격을 안겨줬는데, 이란 원전시스템을 파괴하도록 설계된 악성코드가 원전 제어망에 숨어들어간 사실이 알려졌기 때문이다.
이 사고는 국가의 주요 기간 산업 시설을 파괴할 목적으로 설계됐으며, 실제로 공격이 진행되고 있었다는 점에서 충격의 크기가 더해졌다. 이는 이전까지 위협과 전혀 다른 차원의 극도로 위험하고 거대한 형태의 보안 위협이었다.
스턱스넷은 하나의 시스템만을 노리지 않았으며, 일반 기업 네트워크망을 통해 침투했다. 이들이 선택한 방법은 4가지로, 기존 보안 정책으로는 탐지하지 못하는 교묘한 방법으로 새로운 디바이스를 감염시켰다.
스턱스넷의 공격 방식은 교묘하고 지능적인 것으로, 보안 시스템이나 보안 전문가들이 미리 공격을 탐지하기 어려웠다. 그러나 다크트레이스의 관점에서 봤을 때는 분명한 공격 정황을 발견할 수 있다.
멀웨어에 감염되는 과정에 기기간의 커넥션이 필수적으로 발생된다. 이렇게 발생돼 맺어지는 새로운 커넥션이나 포트의 사용, 서비스되는 프로토콜은 일반적인 범주에서 벗어난 새롭고 이상하며 일반적이지 않은 연결 형태를 보인다.
더불어 인터넷으로 넓은 범위의 연결이 같이 발견됐는데, 명령을 실행시키기 위한 컨트롤 서버(C&C) 들이 외부 주소들과 평범하고 일반적이며, 정상을 가장한 패턴으로 연결된다. 이러한 변화를 탐지 솔루션 입장에서 보면 ‘공격의 취약점’이라고 할 수 있다.
물리적으로 분리된 제어망까지 감염
스턱스넷 사례에서 눈여겨 볼만한 또 다른 내용은 감염된 디바이스가 ‘에어갭’을 건너 물리적으로 분리된 제어망까지 감염을 시켰다는 점이다. 가장 많이 사용하는 공격 방법인 USB를 사용해 감염시키거나, 분리망 전용으로 사용하는 전송 프로그램을 사용해 감염됐다는 사실이다.
물리 제어망까지 들어온 멀웨어는 PLCs(Programmable logic Controllers) 중에서도 원심 분리기 모터를 관장하는 ‘WinCC’ 관리 서버의 제어권을 가져가게 된다. 공격자는 영악하게 프로그램을 재 프로그래밍해 PLC가 피해를 받도록 했으며, 동시에 연결된 원심 분리기의 운동이 모니터링 시스템에서 확인되지 않도록 했다. 당시 제어 서버는 모니터링 시스템을 통해 15분 간격으로 변경 검사를 받았으나, 이상 없는 상태로 나타났다.
그러나 머신러닝 기반 방어 시스템의 입장에서 보면, 물리적으로 분리된 폐쇄망에서 PLC를 재 프로그래밍하기 위해 서버와 통신을 시도한 네트워크 트래픽은 새롭고 독특한 변화이다. 분리망에서는 이러한 통신은 발생하지 않기 때문에 작은 변화도 민감하고 두드러지게 드러나게 된다. 이같은 사소한 변화는 큰 위협의 전조가 될 수 있다.
스턱스넷은 다크트레이스가 설립되기 전 발생한 사고로, 다크트레이스가 실제 경험하지 못했지만, 현재 글로벌하게 산업 제어망에 적용된 다크트레이스 솔루션에게서 이러한 형태의 위협이 매일 탐지, 분석이 되고 있다.
산업 제어망은 노리는 공격자는 사실 아주 강력한 공격자는 아니다. 그들은 국가·정부 차원의 지원과 보호를 받고 있다. 고도화된 공격 기업을 만들고 시도를 하며 산업 제어망 시스템을 노리고 있지만, 머신러닝 기반 모니터링 시스템은 이러한 공격의 기회를 사전에 감지하고 차단한다. 이를 통해 중요한 기기를 공격할 기회를 공격자에게 빼앗을 수 있다.
<글: 김형우 다크트레이스코리아 수석 컨설턴트>
