[데이터넷] 지난해 우크라이나 정전사태를 일으키는 러시아 배후 공격그룹 샌드웜은 SCADA 시스템을 호스트하는 서버의 하이퍼바이저를 통해 OT 환경에 접근하는 등 OT 환경에 존재하는 도구를 활용하는 LotL(Living Off the Land) 공격 방식을 사용한 것으로 나타났다. 이는 공격에 필요한 시간과 자원을 줄이면서도 효과적으로 피해를 입힐 수 있는 방식이다.

맨디언트가 10일 공개한 샌드웜 공격 분석 보고서에 따르면 이들은 대규모 미사일 공격에 때를 맞춰 전력을 차단하고, 피해조직의 IT 시스템에 ‘캐디와이퍼(CADDYWIPER)'라는 파괴적인 멀웨어의 새로운 변종을 퍼뜨려 피해를 극대화했다. 이 방식은 전 세계에 걸쳐 활용되는 다양한 OT OEM 시스템에 동일하게 진행될 수 있어 OT/ICS 운영조직의 각별한 주의가 요구된다.

자체 개발 멀웨어 대신 OT 내부 도구 이용

보고서에 따르면 샌드웜은 피해자 환경에 있는 기존 운영 체제, 서드파티 애플리케이션을 무기화해 정상적인 네트워크 활동과 혼합하는 OT 레벨의 LotL 공격을 진행, 변전소 차단기에 접근해 계획되지 않은 정전을 일으켰다. 이들은 2022년 6월 혹은 그 이전에 시작됐으며, 10월 10일과 12일 공격에 성공했다.

러시아의 주요 정보기관인 정보총국(GRU)이 배후에 있는 것으로 알려진 샌드웜은 최대 3개월 동안 SCADA 시스템에 접근할 수 있었으며, 'a.iso'라는 파일로 변전소 시스템을 조작하려고 시도하고, 전력을 차단시켰다. 그리고 캐디와이퍼라는 멀웨어를 배포해 공격 증거를 삭제했다.

우크라이나 전력망 마비 사건은 2015년과 2016년에도 발생했으며, 인더스트로이어(INDUSTROYER) 멀웨어가 사용됐다. 샌드웜은 이번에 IT 환경에 국한된 와이퍼 활동과 함께 ICS 시스템에 대한 제어권 획득 후 허가되지 않은 명령을 실행하면서 더 빠르게 공격활동을 전개하고 있다.

샌드웜은 이전에는 자체 개발 멀웨어를 이용했지만, 이번에는 OT 시스템 내부 도구인 LotLBin(Living off the Land Binaries)을 사용해 더 은밀하고 효율적으로 공격을 시도했다. 보고서는 “이미 설치된 애플리케이션과 서비스도 경계 대상”이라고 경고하며 “합법적인 도구를 사용하는 쪽으로 바뀐 전술은 탐지가 더 어렵다”고 설명했다.

샌드웜의 새로운 공격 기술은 새로운 OT 위협 벡터 인식, 기능 개발, 다양한 유형의 OT 인프라를 활용한 공격 실행 능력을 비롯해 러시아의 OT 공격형 무기고의 성숙도가 높아지고 있음을 시사한다.

김선애 기자 다른기사 보기