워싱턴포스트(WP)가 지난 12일(현지시간) 보도한 전력망을 마비시킬 수 있는 사이버 무기인 크래시오버라이드(CrashOverride) 혹은 인더스트로이어(Industroyer)로 불리는 '멀웨어'는 전력망만을 노리는 악성코드로 알려져 있다.
이 중 크래시오버라이드는 산업제어시스템과 그 네트워크만을 겨냥한 알려진 멀웨어 중 네 번째다. 앞서 세 가지는 스턱스넷(Stuxnet), 하벡스(Havex), 블랙에너지(BlackEnergy)이다.
이 악성코드는 지난 2015년 12월 한 차례 우크라이나의 전력망을 마비시킨 것으로 알려졌으며, 당시 러시아인들로 추정되는 해커들은 우크라이나 수도 키예프에서 생성되는 전력의 5분의 1을 중단시켜 악명을 떨친 바 있다.
최근 미국 산업계가 해커들이 시스템에 침입하는 것을 막는 방법을 찾고 있는 가운데 이스라엘의 산업제어분야 전문 사이버 보안업체인 클라로티사의 패트릭 맥브라이드 연구원은 6월 20일자로 회사 홈페이지의 블로그를 통해 이 악성코드에 대한 자체 분석 결과와 자체 ICS 위협분석솔루션인 클라로티(Claroty) 솔루션이 크래시오버라이드 멀웨어를 어떻게 탐지하고 대응할 수 있는지를 공개했다.
공개한 내용에 따르면 클라로티 솔루션은 크래시오버라이드 멀웨어가 가지고 있는 다양한 모듈들(백도어 모듈, 페이로드 탑재/실행 모듈, 삭제 모듈, RTU(원격 단말 장치) 및 차단기의 설정 변경 페이로드 모듈 등)을 통한 산업제어망에서의 다양한 침입 및 공격 시도 행위들을 모든 단계에서 탐지해 낼 수 있다고 한다.
패트릭 연구원은 블로그를 통해 크래시오버라이드 멀웨어가 우크라이나 전력망을 지원하는 특정 ICS 시스템들을 대상으로 했지만 멀웨어 키트(kit)의 모듈 특성과 전기 설비에 사용되는 주요 프로토콜에 대한 이해도로 볼 때 다른 국가의 다른 전력망에도 대해 쉽게 수정 사용이 가능하며, 심지어는 다른 산업 분야의 산업제어 환경에 맞도록 응용될 수 있다는 사실도 밝혔다.
한편 클라로티 솔루션의 한국 총판인 스템소프트(대표 한상의)의 이상만 연구소장에 따르면 클라로티 솔루션은 바로 이런 류의 악성코드의 산업제어망 침입과 공격 시도를 탐지하고 대응할 뿐만 아니라 산업제어시스템에 대한 조작 실수, 구성 오류, 장애, 일반적인 보안 위협 등의 다양한 위협까지 분석하고 탐지할 수 있다고 한다.
클라로티 솔루션은 산업제어망의 모든 통신내용을 해석하여 베이스라인(Baseline, 기준선) 정보를 수집하고 이를 머신러닝 기반으로 자동화된 화이트리스트 구성을 통해 베이스라인에서 벗어난 변화(Change)를 집중 분석, 관리함으로써 다양한 위협을 실시간으로 감시해 줄 수 있는 종합 ICS 위협분석시스템으로, 이스라엘 전력(IEC, Israel Electric Corporation)이 사용 중인 핵심 보안솔루션이다.
전자신문인터넷 이종민 기자 (jongmin1@etnews.com)
