ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장

 

ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장

 

- 기사 본문 : https://www.boannews.com/media/view.asp?idx=86150&page=1&mkind=1&kind=1

ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장

 

- 기사 요약

주요 기반 시설 보안 전문 업체인 드라고스(Dragos)가 그리 고급스럽지 않은 랜섬웨어 공격에 대한 보고서를 발표했다.

 

이 랜섬웨어에는 에칸스(EKANS)라는 이름이 붙었다. 드라고스의 보안 전문가인 조 슬로윅(Joe Slowik)에 의하면 에칸스는 “원시적이라고 묘사해도 될 만큼 기초적인 뼈대만 가지고 있는 랜섬웨어”라고 한다. “다만 ICS 시스템에서 흔히 발견되는 몇 가지 요소들을 집중적으로 노리면서 피해를 일으키고 있다는 특징이 있어 무시할 수 없습니다.”

 

그러나 아직까지 심대한 위협 요소인 것은 아니라고 슬로윅은 설명한다. “랜섬웨어로서의 기본 기능은 갖추고 있습니다. 산업 제어 시스템을 잠시 중단시키거나 방해할 수 있습니다. 하지만 프로세스 로직을 변경시키거나 조작할 수는 없습니다. 사실 파일 암호화보다 더 문제가 되는 게 프로세스 로직에 대한 변경과 조작이거든요. 그럴 때 진짜 심각한 일이 일어나죠.”

에칸스는 GE사의 데이터 히스토리 관리 시스템인 프로피시(Proficy)의 프로세스부터 표적으로 삼기 시작한다. 그런 다음 GE사의 라이선싱 서버 서비스인 파눅(Fanuc), 하니웰(Honeywell)의 HMIWeb 애플리케이션을 공격한다고 한다. “이렇게 ICS 프로세스들을 노리는 건 메가코텍스(MegaCortex)라는 랜섬웨어 때도 봤던 것이죠. 메가코텍스는 피해자들에게 2만 달러에서 580만 달러까지 요구했었습니다.”

 

슬로윅이 에칸스에 대해 ‘초보적인 수준의 멀웨어’라고 말하는 건, 메가코텍스에 비해 셧다운 시키는 프로세스가 훨씬 적기 때문이기도 하지만, 프로피시와 같은 프로세스를 중단시켜봐야 큰 피해가 일어나지 않기 때문이기도 하다. “물론 불편을 초래하긴 합니다만, 그게 공장 가동 중단까지 이어질 피해는 아니라는 겁니다. 그 외 다른 프로세스들이 중단되면 피해가 커지긴 합니다만...”

 

그렇다면 에칸스에 대해 방비해야 하는가, 아니면 무시해도 되는가? 슬로윅은 “ICS 관리자나 소유자들은 그 무엇보다 프로세스들에 대한 가시성을 확보해야 한다”고 말한다. “이건 비단 에칸스 때문만이 아니더라도 필요한 작업입니다. 메가코텍스도 그렇고, 프로세스를 중단시킴으로써 협박을 가하려는 공격이 유행하고 있기 때문이죠.”

에칸스는 스네이크(Snake)라는 이름으로도 불리고 있다. 에칸스의 영어식 철자를 거꾸로 쓰면 ‘스네이크’가 되기 때문이다.

 

 

- 개인 의견

국가의 주요 기반 시설을 공격할 수 있는 에칸스 랜섬웨어가 발견되었다. 에칸스는 이전에 발견된 메가코텍스 램섬웨어 보다 파급효과가 현저히 낮은 랜섬웨어 이지만, 방심하면 안될 것 같다. 간단한 랜섬웨어의 공격 흔적이 발견된다는 것은 주요 기반 시설에 대한 공격도 점점 웹(WEB)처럼 보편화 되고 있다는 것이 아닐까? 라는 생각도 해본다.

보안장비를 이용하여 시스템, 네트워크 공격에 대해 대비해야 하고, 보안 인식 제고를 위한 보안 교육을 철저히 하여 발생할 수 있는 위협에 대비해야할 것이다.

 

 

- 관련 기사

· 사회 기반 시설 보안, 복구가 아니라 예방을 우선시 해야 한다

· 남아공 요하네스버그, 랜섬웨어 공격으로 곳곳이 정전

---