| 내용 |
최근 고도화된 말웨어를 사용해 사우디의 석유화학공장을 폭파시키려는 우수한 능력을 지닌 해커그룹의 흔적을 한 보안 연구진들이 발견하였다고 주장하여 말웨어의 위험성과 심각성을 상세히 조사해보기로 한다. 보안업체인 FireEye社는 최근 러시아 정부가 이끄는 기술연구단체와 연관이 있는 것으로 추정되는 Triton Group이 이름없는 주요 기반설비 시설을 감염시켰다는 증거를 발견하였다고 주장하고 있으며, 해당 해커그룹은 발전소나 석유공장에서 주로 사용되는 산업용 제어시스템을 방해하기위한 목적으로 피해자의 네트워크를 감염시키는 말웨어를 만들었다는 내용을 언급하였다고 한다. 연구진들은 Triton 프레임워크 그 자체와 침입툴들을 살펴본 결과 침입을 위한 운영에 필요한 최적의 툴로서 관찰가능한 인간의 전략적인 특징과 선호도, 그리고 관습들을 지니고 있음이 발견되었으며, 사고 대응 담당자들이 새로운 유형의 침입용 툴셋을 포함해 위협적인 행위를 유발하는 행위자로부터 추가적인 침입활동들을 발견할 수 있다는 점도 언급한 것으로 나타났다. 위와 같은 사용자 정의형 침입툴들은 종종 공격 대상의 정보기술이나 운여익술 네트워크들에 대한 접근권한을 취득하고 유지하는 목적으로 사용되며, 사용자 환경에 최적화된 침입툴들은 범용적으로 사용되는 툴들의 기능을 반영하고 더 나아가 안티바이러스를 회피하는데 주 목적을 두고 개발된 것으로 볼 수 있다는 점에 주목해야 할 것이라고 한다. 이러한 사용자 환경에 최적화된 툴들이 공격 대상의 침입과정에 있어 중요한 단계에 있을 경우, 사용자 지정형태의 도구로 활용되어왔다 볼 수 있다. 또한 FireEye社는 해커그룹이 공격을 개시하기 위해 최장 1년의 시간에 걸쳐 네트워크를 장악하기 위한 시간에 공을 들이고 있음도 밝혀냈는데, 네트워크의 동작에 대해 장기간에 걸쳐 면밀히 분석하기 위함일 뿐 아니라 공격목표의 안전계기시스템을 손상시키면서 공격대상에 어떠한 자각없이 공격을 수행할 수 있게 만드는 것이 주된 목표라 볼 수 있다. 이처럼 정교한 산업용 제어시스템에 대한사이버공격의 순환주기는 종종 수 년에 걸쳐 측정되는 경우가 많으며, 이는 공격목표에 대한 프로세스를 해커가 인지하고 이에 걸맞는 사용자 정의용 툴을 만들어 보다 효과적인 사이버공격을 준비하는데 많은 시간이 소요되기 때문이라고 한다. 결국 산업용시스템에 대한 공격을 즉시성을 띄기 보다는 긴급한 조작이 필요한 경우를 대비한 공격양상을 지니고 있는 경우가 많다고 한다. 위와 같은 최신의 해킹공격과 관련해 보안전문가들은 이러한 공격이 아마추어에 의해 수행되지 않을 것이기에 주의가 필요하며, 일반적인 산업제어시스템과 같은 주요 기반설비에 대한 위험관리는 가능할지라도 발전소나 석유산업에 대한 위협은 완전히 차단되기 어려울 수 있어 보다 세심한 주의와 관리가 필요한 시점임을 기억해야 할 것이다. |
