[데이터넷] 러시아가 우크라이나 전력망에 대한 사이버 공격을 단행하는 등 우크라이나에 대한 사이버전쟁도 계속 이어가고 있다. 이에 OT/ICS를 노리는 공격에 대한 경고가 이어지는 가운데, 맨디언트가 러시아가 배후에 있을 것으로 의심되는 ICS 타깃 ‘인컨트롤러(INCONTROLLER)’ 멀웨어 분석 보고서를 발표해 주목된다.
인컨트롤러는 발전소·제조 부문에서 사용되는 산업용 프레스 머신 등 많은 주요 산업 내 다양한 유형의 기계에 내장된 여러가지 ICS 기기에 악성 명령을 실행시킬 수 있으며, ▲중요한 기계 가동 중지 ▲산업 프로세스 방해 ▲안전 제어기 비활성화로 잠재적 인명 손실을 야기할 수 있는 기계 파괴 등의 용도로 사용될 수 있다.
맨디언트 조사 결과 인컨트롤러는 러시아가 이전의 사이버 공격에서 사용한 멀웨어와 일치하며, 우크라이나, NATO 회원국, 러시아의 우크라이나 침공에 대응하는 국가를 위협하는 것으로 알려진다.
슈나이더·오므론 노리는 컨트롤러
보고서에 따르면 맨디언트는 올해 초 슈나이더 일렉트릭과 함께 기계 자동화 장치를 목표로 제작된 인컨트롤러에 대한 분석을 시작했다.
인컨트롤러는 산업 네트워크 프로토콜을 사용해 ICS 장치에 공격 명령을 전송할 수 있는 태그런(Tagrun), 코드콜(Codecall), 옴셸(Omshell) 등 세 가지 요소로 구성된다. 공격자는 주로 밀링머신, 프레스 등 자동화 기계를 목표로 하고 있으며, 사용자의 지식 없이도 다양한 산업 분야와 프로세스에 영향을 미칠 수 있다.
태그런은 OPC 프로토콜을 통해 전송되는 데이터에 액세스 해 프로덕션 시스템과 제어 프로세스를 분석하는 정찰용 도구로 보이며, 전송 데이터를 수정하는데 사용될 수도 있다. 코드콜은 모드버스 프로토콜을 사용해 ICS와 통신하며, 다른 제조업체의 장치와 상호작용할 수 있게 한다. 옴셸은 스캔과 장치 식별을 위해 사용되며, 공격자가 이 도구에 추가 기능을 개발하고 배포할 수 있다. 맨디언트는 이외에도 윈도우 기반 시스템에 영향을 미치는 추가 도구를 추적하고 있다.
맨디언트는 윈도우 기반 시스템에 영향을 미치는 이러한 위협 활동과 관련이 있다고 의심되는 두 가지 추가적인 툴을 추적하고 있다. 이 툴들은 IT나 OT 환경에서 윈도우 기반 시스템을 악용한 인컨트롤러 공격 시 전체 공격 라이프사이클을 지원하는 데 사용될 수 있다.
맨디언트는 인컨트롤러가 악성프로그램의 복잡성, 구축하는데 필요한 전문성과 자원, 재정적 동기 등을 고려해 국가 지원 악성 프로그램일 가능성이 매우 높다고 강조한다. 또한 러시아의 파괴적인 사이버 공격 역사, 우크라이나 침공, 유럽·북미국가와의 관계 등을 감안하면 러시아 배후 공격으로 의심된다고 설명했다.
네이선 브루베이커(Nathan Brubaker) 맨디언트 인텔리전스 분석 담당 전문가는 “인컨트롤러멀웨어는 여러 산업에 걸쳐 활용되는 다양한 유형의 기계에 내장된 특정 슈나이더 일렉트릭, 오므론(Omron) 기기를 타깃으로 삼고 있다. 인컨트롤러는 스턱스넷(STUXENT), 인더스트로이어(INDUSTROYER), 트리톤(TRITON)를 잇는 네 번째 공격 지향 ICS 멀웨어로, 매우 드물고 위험한 사이버 공격 능력을 가지고 있다”고 밝혔다.
