2021년 봄, 랜섬웨어가 바이오 제조 시설을 공격했을 당시 사이버 보안 대응팀은 해커 세력의 요구에 동의하지 않았다. 해커 세력은 다소 미온적인 랜섬 노트만 남겼으며, 실제 데이터 비용을 요구하면서 경제적 이익을 취하는 데 그리 관심이 없는 듯한 모습을 보였다. 그리고, 해커 세력이 사용한 멀웨어가 발견되었다. 바로 놀라울 정도로 교묘하게 조작된 ‘타디그레이드(Tardigrade)’의 일종이었다.
생체 의학 및 사이버 보안 기업 바이오브라이트(BioBright) 연구팀이 랜섬웨어를 더 깊이 연구할수록 타디그레이드가 단순히 시설을 통해 네트워크를 암호화하는 공격 이상으로 심각한 손해를 입힌 사실을 발견하게 되었다. 연구팀은 타디그레이드 멀웨어가 환경에 적응하면서 스스로 자취를 감추고는 명령 및 제어 서버에서 차단될 때도 스스로 공격을 개시한다는 사실을 발견했다. 이전에는 발견된 적이 없는 공격 유형이다.
11월 22일(현지 시각), 바이오브라이트가 회원사로 가입한 사이버보안 비영리 단체 바이오이코노믹 정보 공유 분석 센터(BIO-ISAC)가 타디그레이드 관련 발견 사항을 공개했다. 타디그레이드 개발 세력을 공개하지는 않았으나 정교한 여러 디지털 포렌식 단서가 자금이 탄탄하면서 공격 동기를 지닌 지능형 지속 공격(APT) 단체가 배후에 있다는 점을 시사한다고 밝혔다. 게다가 타디그레이드가 지금도 바이오 제조 업계를 중심으로 확산되고 있다.
[사진=Pixabay]
바이오브라이트 CEO 찰스 프라치아(Charles Fracchia)는 “공격이 감시 활동부터 시작된 것이 거의 확실하다. 그러나 심각한 장애와 파괴, 감시 등 모든 부분에서 타격을 준 것이 분명하다. 지금까지 바이오 제조 업계에서 발생한 사이버 공격 중 가장 교묘한 멀웨어이다. 다른 여러 업계에 타격을 가한 사이버 공격과 국가 단위의 지능형 지속 공격과 소름 끼칠 정도로 비슷하다”라고 설명했다.
세계가 코로나19 퇴치를 위해 서둘러 가장 뛰어난 백신과 치료법 개발, 생산, 배포에 나서면서 바이오 제조 업계의 중요성에 모든 관심이 집중되었다. 프라치아는 피해 기업이 코로나19 백신 및 치료제 개발 작업과 관련이 있는지 밝히는 것을 거부했으나 중요한 역할을 진행 중이었다는 점만 강조했다.
연구팀은 타디그레이드가 악명 높은 멀웨어 다운로더인 스모크 로더(Smoke Loader)와 어느 정도 비슷하다는 점을 발견했다. 도포일(Dofoil)이라는 이름으로도 알려진 스모크 로더는 2011년 혹은 그 전부터 멀웨어 데이터를 유포하는 데 동원되었다. 2018년, 마이크로소프트는 스모크 로더를 이용한 대규모 암호화폐 채굴 과정 확산을 막았다. 보안 기업 프루프포인트(Proofpoint)는 2021년 7월 자로 정상적인 프라이버시 툴로 위장한 스모크 로더 툴이 사용자를 속여 설치를 유도한 데이터 탈취 공격 사례를 발견했다고 발표했다. 해커 세력은 멀웨어의 즉시 적용할 수 있는 플러그인 흡수 기능을 변형할 수 있다. 이 외에 여러 가지 교묘한 기술적 속임수를 동원해 자취를 감춘다는 사실도 알려졌다.
바이오브라이트 연구팀은 스모크 로더와 유사한 점이 있으나 타디그레이드는 더 지능적인 공격을 개시하고 광범위한 맞춤형 옵션을 제공한다는 점을 확인했다. 게다가 트로이 목마 공격과 같은 특성을 추가했다. 다시 말해, 피해자의 네트워크에 한 번 설치되면, 네트워크에 저장된 패스워드를 검색해 키로거를 배포하고는 데이터 추출 작업을 시작한 뒤 공격 세력을 위한 백도어를 설치해 피해자의 네트워크에 적합한 공격을 개시한다는 의미이다.
바이오브라이트의 멀웨어 애널리스트인 칼리 처치웰(Callie Churchwell)은 “타디그레이드는 다른 환경에 따라 스스로 다른 형태로 구축하도록 설계돼, 고유한 패턴이 달라 다른 멀웨어보다 감지하기 어렵다. 지금까지 100번 가까이 타디그레이드 감지 테스트를 진행했으나 매번 네트워크 내 구축 형태와 소통 형태가 다르다는 사실을 확인했다. 게다가 명령 및 제어 서버와 연결할 수 없을 때는 자동으로 독자적 공격을 더 개시할 역량을 갖춘다. 이는 전혀 예상하지 못한 부분이다”라고 설명했다.
타디그레이드를 배포한 해커를 차단하더라도 타디그레이드가 피해자 네트워크에 공격을 확산할 방법을 자체적으로 판단할 수 있다는 의미이다. 연구팀은 타디그레이드가 주로 피싱 공격을 통해 유포되도록 설계되었다고 추정하나 멀웨어에 감염된 USB 스틱이나 감염된 네트워크와 연결된 다른 네트워크에도 제대로 된 상호 연결과 함께 감염될 수도 있다고 언급했다. 연구팀은 이번 멀웨어의 이름을 극한의 고온과 저온, 방사선 노출 환경, 심지어 달 착륙 후에도 살아남는 물곰(water bear)이라고 알려진 미세 동물인 타디그레이드의 이름을 따라 정했다. 멀웨어가 타디그레이드처럼 찾기 매우 어렵고, 모습을 변형하기도 하면서 끈질긴 생명력을 지녔기 때문이다.
사이버보안 기업 맨디언트(Mandiant) 부사장 겸 최고 기술 관리자인 찰스 카마칼(Charles Carmakal)은 바이오 테크 기업과 제약사를 겨냥한 국가 단위 디지털 감시 활동이 갈수록 보편적으로 발생한다고 말한다. 카마칼 부사장은 BIO-ISAC가 정보를 공개하기 전까지 타디그레이드 멀웨어 연구를 검토한 적이 없다. 그러나 중국과 러시아 등 일부 국가의 해커 조직이 효소와 약물, 제조 과정의 지식 재산권을 손에 넣으려는 끊임없는 감시 행위가 광범위하게 이루어졌다는 점에 주목한다. 모두 국가 차원에서 수십억 달러 상당의 큰돈과 함께 수년간의 연구·개발 성과를 손에 넣을 수 있기 때문이다. 이어, 카마칼 부사장은 코로나19 때문에 국가 단위 사이버 공격 세력이 얻을 이익이 더 커졌다고 덧붙였다.
카마칼 부사장은 “바이오 테크 기업과 제조사의 지식 재산권 탈취 사례 상당수가 공개되지 않았다. IP 탈취가 발생하면, 법적으로 공개할 수 없기 때문이다. 다만, 금전적 이익 때문에 헬스케어 기업을 겨냥한 심각한 사이버 공격과 바이오 테크 기업 및 제약사를 상대로 한 감시 목적의 각종 사이버 공격 발생 사례를 발견했다”라고 언급했다.
카마칼 부사장은 간혹 네트워크 감염 피해를 악성 USB 드라이브로 추적할 수 있다는 점을 추가로 전했다.
프라치아는 타디그레이드의 공격 상황과 목표와 관련된 부분 상당수가 여전히 확실히 밝혀지지 않았다는 사실을 강조한다. 일례로, 해커 세력이 교묘하게 변형된 툴을 동원해 랜섬웨어만큼 정체를 감추면서도 눈에 띄는 랜섬웨어 공격을 펼친 이유를 아직 정확히 알 수 없다. 러시아가 악용한 악명 높은 수법을 포함해 과거의 악용 사례가 발견된 전략이기도 한 랜섬웨어 공격 세력의 다른 공격 활동을 감추려는 시도일 수도 있다. 다만, 연구팀은 공격 원인을 확실히 결론짓지 못했다고 밝혔다.
프란치아는 생산 과정에 사용하는 산업 네트워크가 개방성과 효율성을 위해 구축돼, 바이오 제조 업계의 피해 위험성이 크다고 말한다. 추가 보안과 분리는 고도로 통제된 제조 과정을 더 복잡하게 만들 수 있다. BIO-ISAC은 대대적인 공개 협력을 우선시하므로 타디그레이드의 피해가 발생할 수 있는 기업은 감염 징조를 찾고, 광범위한 보안 업계가 문제를 경고할 수 있다. 연구팀이 처음 타디그레이드 멀웨어 조사를 시작했을 때, 단 두 가지 바이러스 스캔 프로그램만 멀웨어를 감지했다. 그러나 이제는 수십 개 프로그램이 멀웨어 감염 위험성을 분류해, 연구팀은 타디그레이드 감염 보호 과정이 추가되리라 기대한다.
프란치아는 “바이오 제조 분야에서 사용하는 다수 네트워크의 기본 설계는 이전부터 계속 존재한 사이버 보안 문제를 지녔다. 따라서 보안 문제를 공개한다면, 보안 전문가는 단순히 사이버 공격 예방 작업을 하라고만 말하지 않는다. 이는 사이버 보안 측면에서 ‘공격 예방 작업을 하지 않으면 피해를 겪게 될 것이다’라고 말하는 것과 다를 바 없다”라고 설명했다.
만약, 다른 업계에서 공격 피해 사실을 시사한다면, 전반적으로 조직적인 변화가 하루아침에 발생하는 원인이 될 단 한 가지 공격만 존재하지 않는다. 그러나 타디그레이드는 코로나 시대에 그 어느 때보다 더 중요해진 바이오 제조 업계에 매우 중대한 경각심을 일깨우는 역할을 할 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202111/3556_4665_2148.jpg)
뉴스레터 신청