시만텍, ICS를 보호하기 위한 USB 보안 솔루션 개발 2018.12.06

보통 망분리 통해 보호되는 ICS...USB 활용한 공격이 가장 큰 위협
USB를 통해 멀웨어 심는 것 외에 USB 장비의 무기화도 이어지고 있어


[보안뉴스 문가용 기자] USB를 통한 멀웨어 감염은 무시할 수 없는 보안 위협이다. 특히 산업 통제 시스템에서는 스턱스넷(Stuxnet) 이후로 아직까지도 완전히 해결하지 못한 문젯거리로 남아있다. 이에 보안 업체 시만텍(Symantec)이 USB의 위협을 감소시킬 만한 새로운 제품을 발표했다.

[이미지 = iclickart]


이 제품은 ICSP 뉴럴(Industrial Control System Protection Neural)이라고 하며, ICS 운영자들이 설치해 사용할 수 있는 USB 스캐닝 툴이다. 실제 USB를 장비에 꽂아 사용하기 전에 ICSP 뉴럴을 통해 검사를 받을 수 있다.

ICSP 뉴럴이 활용하는 건 시만텍의 위협 첩보 네트워크를 통해 제공되는 정보들이다. 이 정보를 바탕으로 USB 내에서 멀웨어 혹은 위험할 수 있는 파일들을 찾아내는 것이다. 또한 스크립트, 파일 등 여러 실행 가능한 것들을 시험적으로 돌려볼 수 있는 샌드박스 기능도 포함되어 있다.

이렇게 파일 명성을 기반으로 한 스캐닝도 가능하지만, 자가 학습을 통해 멀웨어를 가려내는 기능도 ICSP이 가지고 있다고 시만텍은 설명한다. 알려진 멀웨어와 그렇지 않은 것들을 모두 잡아낼 수 있다는 설명이다. 검사가 끝나고 안전하다는 판명이 나면 ICSP는 해당 USB에 워터마크를 붙인다. 작은 용량의 파일이 서명에 사용된다.

그 외에도 ICSP에는 사용자가 사용 여부를 선택할 수 있는 ‘강화 드라이버’도 있다. 사용자가 선별적으로 워크스테이션 및 여러 OS에 설치할 수 있는 가벼운 드라이버로(5MB 이하), ICSP로 스캔되고 워터마크까지 받은 USB만을 해당 기기에서 사용할 수 있도록 해주는 장치다. 현재 윈도우 XP~윈도우 10까지와 호환되며, 내년 안에 리눅스에 대한 호환성도 추가할 예정이다.

이는 ICS 보안 전문 업체인 하니웰(Honeywell)이 2017년 발표한 시큐어 미디어 익스체인지(Secure Media Exchange, SMX)와 비슷한 툴이기도 하다. ICSP나 SMX 모두 제어 시스템을 USB의 위협으로부터 막는 것을 목적으로 하고 있으며, 공장이나 발전소 등의 관리자들을 위한 툴이다. 즉, 기존의 백신이 제대로 기능을 발휘하지 못하는 틈새를 파고든 제품들이라는 것이다.

시만텍의 IoT 보안 총괄인 쿠날 아가르왈(Kunal Agarwal)은 “ICS 관리자들 사이에 분명한 수요가 있고, 그러한 필요를 충족시켜줄 것”이라고 장담하기도 했다. “ICS는 대단히 중요한 장치라 대부분의 환경에서 망분리 되어 있습니다. 그렇기 때문에 USB를 통한 공격 시도가 자주 이뤄지는 편이고, 실제 ICS 시스템은 그런 공격에 취약합니다. 망분리가 되어 있어 소프트웨어 업데이트를 하거나 설정을 변경하려면 USB가 자주 활용된다는 특징도 있습니다.”

그렇다는 건 USB를 통한 위협만 제거할 수 있다면 ICS가 상당히 안전해질 수 있다는 뜻이다. 최근 하니웰도 석유 가스, 에너지, 화학, 종이 펄프 네 개 산업군의 50개 조직들에서 수집한 데이터들을 분석한 결과를 발표했는데, 44%의 조직들이 USB로부터 이상한 파일을 최소 한 번 이상 탐지한 바 있다는 결과가 나왔다. 이 중 26%는 대규모 사건을 일으킬 수 있을 만한 공격이었다고 한다.

게다가 멀웨어를 옮길 수 있다는 것만이 USB의 문제는 아니라고 하니웰은 설명한다. “최근 무기화 시킨 USB를 판매하는 자들이 늘어나고 있습니다. 이런 걸 배드USB(BadUSB)라고 하는데, USB로 돌아가는 선풍기나 충전기 같은 장비를 통해 공격하는 기법을 말합니다.”

3줄 요약
1. 시만텍, ICS 환경의 가장 큰 위협인 USB 문제 해결해주는 제품 출시.
2. 이름은 ICSP 뉴럴, 하니웰의 SMX와 시장에서 경쟁할 듯.
3. 스턱스넷부터 장구한 역사를 자랑한 USB 공격, 최근 기발한 방법들로 응용되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


도요타, 새로운 자동차 해킹 툴 오픈소스로 공개

BEC 공격 전문 갱단 vs. 이메일 보안 전문 기업