독일 보안 연구원들은 시설의 네트워크를 통해 유포되는 웜을 통해 기간구조와 시설 제공자들을 위협하는 새로운 공격방법을 발견해냈고, 이 발견을 블랙햇 아시아(BlackHat Asia)에서 발표했다.
 
독일 보안 컨설팅 회사인 OepnSource Security의 Ralf Spenneberg, Maik Brüggeman과 Hendrik Schwartke가 발견한 이 공격은 웜을 퍼트리기 위해 데스크탑이나 랩탑 같은 디바이스를 감염시킬 필요 없이 오직 프로그래머블 로직 컨트롤러(PLC)에서 동작하는 웜이다. PLC는 반복작업의 기계화를 회로기판에 프로그램하는 제어장치로 주요 기반시설에 사용되고 있다.
 
그들은 “PLC 웜은 Siemens Simatic S7-1200 PLCs 버전1부터 3까지 외부 지원없이 스캔하고 공격할 수 있다. 다른 PC나 하드웨어가 필요하지 않다. 이 웜은 자족적으로 감염된 S7-1200 PLC를 찾아 발견해 스스로 해당 기기에 업로드해 감염될 수 있다. 또한 CnC기능도 갖고 있어 웜으로써 동작할 수 있다”라고 그들은 밝혔다.
 
이전 스턱스넷(Stuxnet)과 같은 PLC 공격은 퍼지기 위해 감염된 컴퓨터에 PLC 취약점에 대한 익스플로잇이 필요했다. 스턱스넷은 감염된 후 지멘스사의 PLC 제어용 소프트웨어가 설치되어 있는지 확인 후 발견되면 다른 취약점을 이용해 PLC데이터를 고쳤다. 그러나 이번 연구원들이 발견한 방법은 PLX데이터를 고치거나 무한루프를 이용해 PLC를 멎게 할 수 있다.
 
또 그들은 “이 웜은 지멘스 TIA-Portal로 위장하고, 지맨스의 프로토콜을 구현하고 있기에 기존의 백신이나 침입탐지 시스템으로는 탐지가 어렵다”라고 ICS 사이버보안 회사 CEO인 Barak Perelman은 말했다. 그는 또한 “적절한 OT 밴더 프로토콜을 모니터링하는 것이 중요하지만, 이 프로토콜들은 문서화가 잘 되어있지 않아 어려움이 있다.”라고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>