보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 제2의 스턱스넷?...국내 보안USB로 망분리 무력화하는 공격 발견 [전자신문 Etnews 6월27일자_전자신문 20180628일자 본지 3면]
아이디 | admin
날  짜 | 2018-06-28
조  회 | 230

제2의 스턱스넷?...국내 보안USB로 망분리 무력화하는 공격 발견


인터넷망과 제어망이 분리된 군부대, 발전소, 공항 등 주요 시설을 표적한 사이버 공격이 발견됐다. 망 분리 환경에서 주요 자료를 전달할 때 쓰는 보안USB를 이용, 제어망(폐쇄망)에 악성코드 감염을 시도했다. 이란 원심분리기를 마비시킨 스턱스넷 악성코드처럼 망 분리 환경을 무력화하는 공격이다. 

팔로알토네트웍스 위협인텔리전스팀 유닛42는 '틱(TICK)'으로 명명한 해킹그룹이 한국 방산기업 B사의 보안USB를 활용, 제어망 공격을 시도했다고 27일 밝혔다. B사는 군과 경찰 등 국내 주요 시설에 보안USB를 공급했다. 

유닛42가 공개한 보안USB에 악성코드가 감염되는 경로.
<유닛42가 공개한 보안USB에 악성코드가 감염되는 경로.>

틱은 한국과 일본을 주로 공격하는 해킹그룹이다. 보안USB는 군이나 공공기관, 발전소와 공항 등 망 분리가 된 시설에서 쓴다. 인터넷이 분리된 폐쇄망으로 자료를 옮길 때 사용한다. 해당 기관이 쓰는 보안USB는 국제공통평가기준(CC) 인증을 받아야 한다.

팔로알토네트웍스는 보안USB 무기화는 인터넷이 연결되지 않는 시스템 감염을 목적으로 하는 특화 공격이라고 설명했다. 틱 그룹은 제어망 내부에 있는 구형 윈도 시스템 감염에 집중했다. 틱 그룹이 보안USB로 퍼뜨린 악성코드는 윈도XP, 윈도 서버2003 등 구형 시스템만 감염시킨다. 

군 전장망이나 발전소 제어망 등은 인터넷과 연결되지 않도록 폐쇄망 환경으로 운영된다. 그 가운데 보안 지원이 종료된 구형 시스템이 많다. 폐쇄망으로 운영되는 기간시설망은 멈추지 않고 가동이 지속되는 게 중요하다. 이 때문에 일반 IT 인프라와 달리 보안 패치와 실시간 보안 관리가 어렵다. 

산업제어시스템(ICS)이나 무기 체계 소프트웨어에 영향을 받는지 점검한 후 악성코드를 치료해야 한다. 보안USB로 악성코드가 전파되면 보안 패치가 되지 않는 구형 시스템이 쉽게 악성코드에 감염된다. 

팔로알토네트웍스는 방산기업 B사가 해킹 당해 보안USB가 손상됐는지 여부는 확인되지 않았다고 전했다. 틱그룹은 스토리지 장치를 모니터링하는 정상 소프트웨어에 트로이목마 악성코드를 넣어 배포했다. 표적한 기관 내부 사용자 인터넷 PC에 감염되기를 기다린다. 트로이목마는 특정 보안USB가 시스템에 접속할 때까지 잠복한다. 보안USB가 확인되면 새로운 악성코드를 USB 내부에 추가한다. 보안USB에 자료를 담아 제어망에 꽂으면 악성코드가 내부 시스템에 감염된다. 인터넷이 연결되지 않은 망 분리 환경이지만 악성코드에 감염된다.

망분리 환경을 노린 공격이 감지됐다. GettyImages
<망분리 환경을 노린 공격이 감지됐다. GettyImages>

보안 전문가는 “해당 보안USB는 국내 주요 기관이 사용하는 제품”이라면서 “인터넷이 연결된 폐쇄망 내 시스템에 피해를 주려는 공격”이라고 설명했다. 이 전문가는 “해당 보안USB 취약점인지 기업이 침해당했는지는 확인되지 않는다”면서 “공격 난이도 등을 봤을 때 국가 지원 해킹 조직으로 보인다”고 덧붙였다. 

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 297
254 북한 해커 꼬리 잡기 [전자신문 Etnews 9월 13일자_전자신문 201.. 관리자 2018-09-14 30
253 끝나지 않은 랜섬웨어 '공포' [전자신문 Etnews 9월 1.. 관리자 2018-09-14 28
252 세상을 변혁시키는 원동력, 사물인터넷 [전자신문 Etnews 9월 11.. 관리자 2018-09-12 35
251 "한국인터넷진흥원(KISA)을 해킹하라" [전자신문 Etnews 9월 2.. 관리자 2018-09-03 68
250 게놈 정보의 민주화 [ET단상] [전자신문 Etnews 8월28일자_전자.. 관리자 2018-08-29 77
249 KISA, 온라인광고 관련 피해예방 나선다 [전자신문 Etnews 8월2.. 관리자 2018-08-29 74
248 과기정통부, 양자정보통신 등 고위험기술 투자 강화 [전자신문 .. 관리자 2018-08-29 73
247 “해킹-변조 걱정 사라졌네” 은행 공동 블록체인 인증서 나왔.. 관리자 2018-08-28 82
246 일감몰아주기 규제 강화에 대형 IT서비스업계도 촉각...매출 구.. 관리자 2018-08-28 77
245 北 라자루스...암호화폐거래소 '맥' 사용자 노렸다 [.. 관리자 2018-08-27 78
244 ICT코리아, 5년 뒤가 두렵다 [벼랑 끝 ICT코리아] [전자신문 Etn.. 관리자 2018-08-27 79
243 소프트웨어 보안, '왼쪽'으로 옮겨야 [전자신문 Etne.. 관리자 2018-08-22 84
242 기승전'암호화폐', 오픈소스 취약점마저 '암호화.. 관리자 2018-08-22 77
241 中 게임패드...동의 없이 과도한 개인정보 유출 [전자신문 Etnew.. 관리자 2018-08-22 88
240 양방향 고객 참여 지능형 AMI 미래 [전자신문 Etnews 8월20일자.. 관리자 2018-08-21 95
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265