미국 사이버 보안 및 인프라 보안국(CISA)이 산업제어 시스템(ICS)을 겨냥한 APT 공격자에 대한 경고를 발표한 가운데, 맨디언트가 ‘인컨트롤러(INCONTROLLER)’라고 불리는 매우 드물고 위험한 새로운 사이버 공격 툴에 대한 최신 보고서를 공개했다.

‘인컨트롤러’는 공격자가 발전소·밀링머신·제조 부문에서 사용되는 산업용 프레스 머신 등 많은 주요 산업 내 다양한 유형의 기계에 내장된 여러가지 ICS 기기에 악성 명령을 실행시킬 수 있는 세 가지 툴을 포함한다. 

공격자는 각 툴을 단독으로 혹은 함께 사용해 보안환경을 공격할 수 있다. 인컨트롤러의 툴은 ▲중요한 기계 가동 중지 ▲산업 프로세스 방해 ▲안전 제어기 비활성화로 잠재적 인명 손실을 야기할 수 있는 기계 파괴 등의 용도로 사용될 수 있다.

맨디언트는 인컨트롤러의 기능이 러시아가 이전 사이버 공격에 사용한 멀웨어와 일치한다고 발표하며 결과적으로 "인컨트롤러는 우크라이나와 북대서양조약기구(NATO) 회원국, 그리고 러시아의 우크라이나 침공에 적극적으로 대응하는 다른 국가들에게 가장 큰 위협이 될 것"이라고 경고했다.

이번 보고서와 관련해 맨디언트 인텔리전스 분석 담당 전문가 네이선 브루베이커(Nathan Brubaker)는 “맨디언트는 최근 슈나이더 일렉트릭(Schneider Electric)과 협력하여 새로운 ICS 공격 툴 세트인 인컨트롤러를 분석했다. 이 멀웨어는 여러 산업에 걸쳐 활용되는 다양한 유형의 기계에 내장된 특정 슈나이더 일렉트릭 및 오므론(Omron) 기기를 타깃으로 삼고 있다”고 전했다. 

인컨트롤러는 스턱스넷(STUXENT), 인더스트로이어(INDUSTROYER), 트리톤(TRITON)를 잇는 네 번째 공격 지향 ICS 멀웨어로, 매우 드물고 위험한 사이버 공격 능력을 가지고 있다.

인컨트롤러는 국가 지원 차원의 멀웨어일 가능성이 매우 높으며 기계 가동 중단, 프로세스 방해, 기계 파괴와 관련된 기능을 포함한다. 맨디언트는 이 멀웨어의 배후를 명확하게 밝힐 순 없지만, 이 공격 활동이 ICS를 겨냥한 러시아의 과거 활동과 일치한다는 점에 주목한다. 인컨트롤러는 목표 대상이나 침해당한 기기를 활용하는 조직에 중대한 위험을 초래한다. 따라서 조직은 즉각적인 조치를 취하고 타깃이 된 ICS 기기가 보안환경에 있는지 확인한 다음, 공급업체별 대응 방법, 탐지 방법 및 추적 툴을 적용해야 한다고 강조했다. 

추가적인 맨디언트 보고서 주요 내용은 다음과 같다.

△맨디언트는 2022년 초에 슈나이더 일렉트릭과 협력하여 인컨트롤러에 대한 분석을 시작했다.

△인컨트롤러는 2017년 산업 안전 시스템 조작 및 가동 중단을 시도한 트리톤, 2016년 우크라이나 정전사태를 일으킨 인더스트로이어와 2010년경 이란 핵개발 프로그램을 방해한 스턱스넷에 버금가는 영향력을 가지고 있다.

△맨디언트는 윈도우 기반 시스템에 영향을 미치는 이러한 위협 활동과 관련이 있다고 의심되는 두 가지 추가적인 툴을 추적하고 있다. 이 툴들은 IT나 OT 환경에서 윈도우 기반 시스템을 악용한 인컨트롤러 공격 시 전체 공격 라이프사이클을 지원하는 데 사용될 수 있다.

★정보보안 대표 미디어 데일리시큐!★