[디지털데일리 이종현기자] 미국 사이버보안 및 인프라 보안국(CISA)가 산업제어시스템(ICS)를 겨냥한 지능형지속위협(APT) 공격자에 대한 경고를 발표했다. 운영기술(OT) 영역에 대한 해커들의 공격이 거세지는 모양새다.

이런 가운데 보안기업 맨디언트는 ‘인컨트롤러(INCONTROLLER)’라고 불리는 사이버공격 툴 세트에 대한 최신 보고서를 14일 공개했다.

인컨트롤러는 공격자가 발전소·밀링머신·제조 부문에서 사용되는 산업용 프레스 머신 등 주요 산업 내 다양한 유형의 기계에 내장된 ICS 기기에 악성명령을 실행시킬 수 있는 3개 툴을 포함한다.

공격자는 각 툴을 단독으로 혹은 함께 사용해 보안환경을 공격할 수 있다. 인컨트롤러의 툴은 ▲중요한 기계 가동 중지 ▲산업 프로세스 방해 ▲안전 제어기 비활성화로 잠재적 인명 손실을 야기할 수 있는 기계 파괴 등의 용도로 사용될 수 있다는 것이 맨디언트의 설명이다.

맨디언트는 인컨트롤러의 기능이 러시아가 이전 사이버공격에 사용한 멀웨어와 일치한다며 “인컨트롤러는 우크라이나와 북대서양조약기구(NATO) 회원국, 그리고 러시아의 우크라이나 침공에 적극적으로 대응하는 다른 국가들에게 가장 큰 위협이 될 것”이라고 경고했다.

맨디언트 인텔리전스 분석 담당 전문가 네이선 브루베이커(Nathan Brubaker)는 “맨디언트는 최근 슈나이더 일렉트릭과 협력하여 새로운 ICS 공격 툴 세트인 인컨트롤러를 분석했다. 이 멀웨어는 여러 산업에 걸쳐 활용되는 다양한 유형의 기계에 내장된 특정 슈나이더 일렉트릭 및 오므론(Omron) 기기를 타깃으로 삼고 있다”고 말했다.

이어서 “인컨트롤러는 스턱스넷(STUXENT), 인더스트로이어(INDUSTROYER), 트리톤(TRITON)를 잇는 네 번째 공격 지향 ICS 멀웨어로, 매우 드물고 위험한 사이버공격 능력을 가지고 있다. 국가 지원 차원의 멀웨어일 가능성이 매우 높으며 기계 가동 중단, 프로세스 방해, 기계 파괴와 관련된 기능을 포함한다”고 부연했다.

맨디언트는 인컨트롤러의 배후가 러시아일 것이라고 추정했다. 해당 공격 활동이 ICS를 겨냥한 러시아의 과거 활동과 일치했다는 주장이다.