By ANDY GREENBERG, WIRED US

미국 전력 그리드를 겨냥하거나 성공적으로 미국 전력 시설을 공격한 모든 국가 기관 소속 해커 집단 중, 샌드웜(Sandworm)이라는 이름으로 알려진 러시아 군사 정보 집단만이 유일하게 우크라이나에서 2015년과 2016년, 실제 정전을 일으키고 전력 공급을 막으면서 충격을 주었다. 이제, 그리드를 집중적으로 연구하는 보안 기업 드라고스(Dragos)가 샌드웜의 독보적으로 위험한 해커와 관련이 있는 세력이 지난 몇 년간 미국의 에너지 시스템을 적극적으로 겨냥해온 사실을 경고했다.

2월 24일(현지 시각), 드라고스는 주요 기반 시설 시스템을 집중적으로 겨냥하는 산업 관리 시스템 보안 발표를 위한 연례 보고서를 게재해, 새로운 해외 해커 집단 네 곳을 지목했다. 그중 세 집단은 미국 산업 관리 시스템을 겨냥했다. 그러나 가장 주목할 만한 부분은 드라고스가 지목한 해커 집단 중, GRU의 샌드웜과 협력 관계인 해커 단체 카마사이트(Kamacite)이다. 드라고스 연구팀이 작성한 보고서에 따르면, 카마사이트는 과거 샌드웜의 액세스 팀으로 활동하면서 간혹 파괴적인 공격을 개시하려 한 다른 샌드웜 해커 집단에 접근 권한을 넘겨주기 전, 공격 대상이 되는 네트워크 기반 확보에 중점을 두었다. 드라고스는 카마사이트가 2017년 초부터 반복적으로 미국 전력 시설과 원유, 가스 등 여러 산업 기업을 공격 대상으로 삼았다고 밝혔다.

드라고스 위협 정보 부사장 겸 전직 NSA 애널리스트인 세르지오 칼타지론(Sergio Caltagirone)은 “카마사이트는 IT 네트워크 내에서 지속성을 유지하기 위해 미국 전력 기관을 겨냥한 작전을 개시했다”라고 말했다. 지난 4년간 발생한 몇 차례의 사건에서 카마사이트의 미국 네트워크 침입 시도가 성공했으며, 결과적으로 지속적이지는 않더라도 간헐적인 미국의 기반 시설 접근으로 이어졌다.

드라고스는 카마사이트가 2017년 초부터 반복적으로 미국 전력 시설과 원유, 가스 등 여러 산업 기업을 공격 대상으로 삼았다고 밝혔다.

칼타지론 부사장은 드라고스가 미국 네트워크에 대한 카마사이트의 공격만 확인했을 뿐이며, 파괴적인 데이터 유출로 이어지는 미국 내 침입은 발견하지 못했다고 밝혔다. 그러나 2015년 말에 우크라이나 주민 25만 명에게 공급될 전력을 차단하고, 2016년 말에는 수도 키예프를 공격하는 등 우크라이나 정전 사태를 일으킨 샌드웜의 해킹 작전에 카마사이트가 한 번이 아닌 두 번이나 가담해, 공격 대상으로 삼은 미국 그리드의 보안에도 경종을 울리게 되었다. 칼타지론 부사장은 “산업 네트워크나 공격 대상이 된 산업 기관 내부에서 카마사이트를 발견한다면, 정보만 수집한다고 확신할 수는 없을 것이다. 그 이후 다른 피해도 발생하리라 짐작해야 한다. 공격을 개시할 때, 막대한 피해를 줄 수 있는 해킹 작전 방법을 알고 있는 집단과 연결됐기 때문에 카마사이트는 산업 관리 시설에 위험한 존재이다”라고 말했다.
 
드라고스는 카마사이트가 미국뿐만 아니라 이미 널리 알려진 우크라이나 공격 사태를 훨씬 넘어 유럽의 전력 그리드도 공격 대상으로 보고 있다고 연결시킨다. 그중에는 2017년, 독일의 전기 부문을 겨냥한 해킹도 포함됐다. 칼타지론 부사장은 “카마사이트는 2017년부터 2018년까지 여러 차례 서유럽의 산업 시설을 성공적으로 침입했다”라고 밝혔다.

드라고스는 카마사이트의 주된 침입 수단이 악성코드 페이로드가 포함된 스피어 피싱 이메일과 오피스365, 액티브 디렉토리와 같은 마이크로소프트 서비스의 클라우드 기반 로그인은 물론이고 VPN까지 무차별적으로 공격하는 것이라고 경고했다. 해커 집단은 초기 접근 기반을 확보하면, 유효한 사용자 계정을 악용해 접근 권한을 유지한 뒤 자격증명 탈취 툴 미미카츠(Mimikatz)를 이용해 피해자의 네트워크에 더 큰 피해를 준다.

미국 국가안전보장국(NSA)과 미국 법무부가 74455부대라고 정체를 확인한 샌드웜 소속 해커와 카마사이트의 관계는 정확히 밝혀지지 않았다. GRU와 같은 음지의 정보기관 내 해커 조직의 정체를 구분하려는 위협 정보 기업의 노력은 항상 미궁 속으로 빠져들었다. 카마사이트가 명백히 구분되는 한 집단으로 밝혀지면서 드라고스는 과거, 또 다른 샌드웜 관련 기관인 일렉트럼(Electrum)의 활동과 카마사이트를 별도로 구분하고 샌드웜의 활동을 확인하고자 한다. 드라고스는 일렉트럼을 크래쉬 오버라이드(Crash Override)나 인더스트로이어(Industroyer)라는 이름으로 알려진 멀웨어와 같이 막대한 금전적 피해를 일으키는 활동을 담당한 ‘효과팀’이라고 칭했다. 일렉트럼은 2016년 키예프 대규모 정전 사태를 일으키고, 안전 시스템을 마비시키면서 그리드 장비를 파괴하려 했다.

다시 말해, 드라고스가 설명한 카마사이트와 일렉트럼이라는 집단 모두 다른 연구원과 정부 기관을 구성해, 모두 샌드웜을 구성한 것이다. 칼타지론 부사장은 “샌드웜 내 여러 조직 중, 한 조직이 사이버 공격에 가담하면 다른 조직은 나중에 개입할 때, 무엇을 해야 하는지 알고 있다. 그리고, 드라고스 연구팀이 조사한 바와 같이 각자 활동을 개시하면서 샌드웜 산하 여러 조직은 다른 조직의 역할을 능숙하게 하지 못한다는 사실을 분명히 확인했다”라고 설명했다.

와이어드가 파이어아이(FireEye), 크라우드스트라이크(CrowdStrike) 등 다른 위협 정보 기업에 문의했을 때, 드라고스만큼 미국을 겨냥한 샌드웜과 관련된 침입 행위를 제대로 파악한 기업은 없었다. 다만, 파이어아이는 과거, APT28 혹은 팬시베어(Fancy Bear)라는 이름으로 알려진 GRU와 관련된 또 다른 해커 집단이 미국을 겨냥한 대대적인 공격을 확인한 적이 있다. 이와 관련, 와이어드도 2020년, 미국 기관을 겨냥한 팬시베어의 공격과 관련된 FBI의 안내 이메일을 받았다. 드라고스는 미국 에너지부를 인용, 당시 APT28의 공격은 명령 및 제어 기반 시설을 2019년, 미국 에너지 기관을 겨냥한 다른 공격 시도를 위해 명령 및 제어 기반 시설을 겨냥했다고 설명했다. APT28과 샌드웜이 과거 협력한 적이 있기 때문에 드라고스는 미국을 겨냥한 더 큰 규모의 해킹을 위해 카마사이트가 2019년에 에너지 부문도 겨냥한 적이 있다고 지목했다.

한편, 드라고스의 보고서에는 미국 산업 제어 시스템을 겨냥한 또 다른 해커 집단 두 곳의 이름이 새로이 밝혀졌다. 그중 하나는 윈티(Winnit)라는 이름으로 알려진 중국 해커 조직과 관련이 있는 해커 집단인 배너디나이트(Vanadinite)이다. 드라고스는 콜드락(ColdLock)을 이용해, 국영 에너지 기업 등 대만의 기관을 파괴시킨 랜섬웨어가 배너디나이트의 소행이라고 주장한다. 그러나 드라고스는 배너디나이트가 유럽과 북미, 호주를 포함한 전 세계 에너지 기관과 제조 시설, 대중교통 체계 등도 공격 대상으로 삼았으며, 간혹 VPN의 취약점을 악용한 사례도 있다고 추가로 전했다.

드라고스가 새로 밝힌 두 번째 해커 집단은 탈로나이트(Talonite)이다. 탈로나이트는 약간의 멀웨어를 추가한 스피어 피싱 메일을 이용해, 북미의 여러 에너지 기관을 겨냥했다. 탈로나이트가 이미 알려진 해커 집단과 관련이 있는지는 확실히 밝혀지지 않았다. 그리고, 드라고스가 발견한 또 다른 해커 집단인 스티브나이트(Stibnite)는 피싱 웹사이트와 악성 이메일 첨부 파일로 아제르바이잔 전력 기관과 풍력 발전소 등을 공격하고자 했다. 그러나 드라고스는 스티브나이트가 미국에 타격을 입힌 적은 없는 것으로 확인했다.

전 세계적으로 그 어느 때보다 증가하고 있는 산업 관리 시스템을 겨냥한 해커 집단 중, 2020년에 실제 치명적인 영향을 촉발하기 위해 산업 관리 시스템을 공격한 적이 없는 것으로 보인다. 그러나 드라고스는 산업 관리 시스템을 겨냥하는 해커 집단의 수치 자체가 불안한 추세를 나타낸다고 경고한다. 칼타지론 부사장은 2021년 2월 초, 플로리다주 올즈마의 소규모 수처리 기관을 겨냥한 비교적 드물지만 조잡한 사이버 공격을 언급했다. 당시 의문의 해커가 주민 1만 5,000여 명에게 공급되는 수도의 수산화나트륨 농도를 인간에게 치명적인 수준으로 높이려 했다. 이와 관련, 칼타지론 부사장은 소규모 기반 시설을 겨냥한 공격에 대한 보호 조치가 없다는 점을 고려했을 때, 카마사이트와 같은 해커 집단이 일렉트럼과 같은 산업 제어 시스템 전문 집단의 도움 없이도 손쉽게 광범위하면서 치명적인 영향을 미칠 수 있다고 주장한다.

즉, 비교적 해킹 공격 수준이 높지 않은 집단까지도 실질적인 위협이 될 수 있다는 의미이다. 칼타지론 부사장은 10여년 전, 물리적 피해를 주는 산업 시설 해킹이 발생할 수 있다는 사실을 보여준 멀웨어 스턱스넷(Stuxnet)이 등장한 뒤, 산업 관리 시스템을 겨냥한 해커 집단이 갈수록 증가하고 있다고 말한다. 칼타지론 부교수는 “많은 해커 집단이 등장하고 있지만, 사라지는 집단은 많지 않다. 3~4년 뒤면 해커 집단의 수가 최고치를 기록할 것으로 보이며, 이는 재앙임이 틀림없다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Hackers Tied to Russia's GRU Targeted the US Grid for Years, Researchers Warn