[CCTV뉴스=정환용 기자] 보안 업체 ‘파이어아이’(FireEye)는 지난 목요일(현지시간) 공장과 발전소의 안전 시스템을 방해하는 멀웨어가 중동 지역을 1개소 이상 공격했다고 발표했다.
‘트리톤’(Triton)이라 명명된 이 멀웨어는 슈나이더일렉트릭의 안전 계장 시스템 컨트롤러 ‘트리코넥스’(Triconex)를 재프로그래밍하도록 설계됐다. 이 시스템 컨트롤러는 에너지 분야를 포함해 다양한 산업에서 사용되고 있다. 파이어아이는 트리톤과의 충돌 사태를 처리하는 절차에 돌입했지만, 피해자를 확인하는 것을 거부당했다. 또다른 보안 업체 ‘드라고스’(Dragos) 역시 중동 지역에서 악성 코드를 발견했고, 적어도 하나 이상의 피해자가 발생했다고 밝혀냈다.
산업 시스템을 공격할 수 있는 멀웨어는 상당히 드물다. 그러나 보안 연구원들은 그 기세가 점점 복잡해지는 것을 발견하고 있다. 지난해 ‘Industroyer’로 알려진 멀웨어 공격이 우크라이나의 전력망을 혼란시키는 데 사용된 바 있다. 그 전에도 ‘BlackEnergy’가 같은 목적으로 사용된 전례가 있다.
트리톤 멀웨어는 산업 안전 시스템을 조작해 잠재적으로 위험할 수 있는 상황을 무시하거나 시스템을 종료하도록 설계됐다. 파이어아이는 이 악성코드가 어떻게 전파됐는지는 밝히지 않았지만, 윈도우를 실행하는 엔지니어링 워크스테이션에서 발견했다고 설명했다. 프랑스 소재의 슈나이더일렉트릭은 사이버 보안전문가와 협력해 이 사건을 조사하고 있다고 밝혔다. 현재까지는 단일 고객을 타깃 삼은 공격에 대해서만 인식하고 있는 상태다.
다행인 점은 이 멀웨어가 멈추기 어렵지 않다는 점이다. 트리톤은 안전 컨트롤러가 ‘프로그램 모드’로 설정돼 있을 때 시스템을 공격했는데, 드라고스는 이것이 업계의 관행에 위배되는 것이라고 설명했다. 곧 안전 컨트롤러를 ‘실행 모드’로 전환하면 위협 요소가 차단된다는 것. 또한, 트리톤은 가변적인 공격성을 띠고 있지 않아, 시스템마다 독창적인 프로세스를 가지고 있는 산업 안전 시스템에 대해 공격 대상마다 다른 접근 방법을 적용하기 어렵다.
다만 트리톤은 다른 해커나 크래커들에게 중요한 인프라를 공격하는 방법에 대한 가이드라인을 제시한다는 점이 관건이다. 드라고스는 보고서를 통해 “산업 제어 시스템(ICS)에 대한 공격 유형이 끊임없이 확대되고 있어 주의가 필요하다”고 밝혔다.
