이란의 위협 행위자들이 새로운 악성코드인 아이오컨트롤(IOCONTROL)을 이용해 미국과 이스라엘의 사물인터넷(IoT) 및 운영 기술(OT) 시스템을 공격하고 있는 것으로 밝혀졌다. 이 악성코드는 국가 핵심 인프라를 겨냥해 설계된 고도화된 사이버 무기로 평가된다.
아이오컨트롤은 라우터, 프로그래머블 로직 컨트롤러(PLC), 휴먼 머신 인터페이스(HMI), IP 카메라, 방화벽, 연료 관리 시스템 등 다양한 IoT와 OT 장비를 노린다. 이 악성코드는 디링크(D-Link), 하이크비전(Hikvision), 베이셀(Baicells), 레드 라이온(Red Lion), 오르팍(Orpak), 피닉스 콘택트(Phoenix Contact), 텔토니카(Teltonika), 유니트로닉스(Unitronics) 등의 여러 제조사의 기기를 공격할 수 있는 모듈형 아키텍처로 설계됐다.
클래러티(Claroty)의 Team82 연구팀은 아이오컨트롤을 분석한 결과, 이 악성코드가 연료 관리 시스템과 같은 핵심 시스템에 침투해 기기 작동을 조작하거나 데이터를 탈취할 수 있는 기능을 가지고 있다고 밝혔다. 일부 사례에서는 결제 단말기를 감염시켜 경제적 혼란을 야기할 가능성도 제기됐다.
아이오컨트롤은 공격 대상에 맞게 조정 가능한 모듈형 악성코드로, 특정 기기의 설정에 따라 다양하게 작동한다. 이 악성코드는 S93InitSystemd.sh라는 지속성 스크립트를 사용해 시스템 재부팅 시에도 자동으로 실행되도록 설정된다. 이러한 특성은 감염된 기기에서 악성코드를 제거하기 어렵게 만든다.
명령 및 제어(C2) 서버와의 통신은 사물인터넷 기기에서 흔히 사용되는 MQTT 프로토콜을 통해 이루어진다. 악성코드는 포트 8883을 통해 통신하며, DNS 오버 HTTPS(DoH) 기술을 사용해 도메인 네임을 해석하면서 네트워크 트래픽 모니터링 도구를 우회한다. 악성코드의 설정 파일은 AES-256-CBC 암호화를 통해 보호되며, 발견되더라도 내용이 쉽게 노출되지 않는다.
아이오컨트롤은 리눅스 라이브러리 'libc'에서 시스템 호출을 동적으로 가져와 다음과 같은 명령을 실행할 수 있다.
-시스템 정보 전송: 호스트 이름, 사용자 정보, 기기 모델 등 기기 정보를 C2 서버로 전송한다.
-명령 실행: 운영체제 명령을 실행하고 결과를 보고한다.
-자체 삭제: 악성코드의 바이너리, 스크립트, 로그를 삭제해 탐지를 회피한다.
-포트 스캔: 네트워크 내 다른 취약 기기를 검색한다.
-무결성 확인: 악성코드가 제대로 설치되어 작동하는지 확인한다.
이러한 기능은 해커에게 감염된 기기를 완벽히 제어할 수 있는 능력을 제공하며, 네트워크 내부의 추가 기기로 확산 가능성을 높인다.
아이오컨트롤은 이란의 사이버 공격 능력 강화와 국가적 갈등 속에서 개발된 것으로 보인다. 사이버어벤저스(CyberAv3ngers)라는 이란 해커 그룹이 이 악성코드를 배포한 것으로 추정되며, 이들은 과거에도 산업 시스템을 겨냥한 공격을 감행한 바 있다.
연구팀에 따르면, 사이버어벤저스는 최근 미국과 이스라엘에서 200개의 주유소를 공격했다고 텔레그램을 통해 주장했다. 이는 연료 펌프와 결제 단말기를 교란시키는 방식으로 운영 중단을 유발할 수 있다. 또한, 2023년 말에는 유니트로닉스 PLC와 HMI 장비를 감염시켜 이스라엘의 수처리 시설을 공격한 사례도 확인됐다.
아이오컨트롤은 기존 안티바이러스 소프트웨어로 탐지하기 매우 어려운 악성코드다. 2024년 12월 10일 기준, 바이러스토탈(VirusTotal)에 등록된 66개의 보안 엔진 중 어느 것도 이 악성코드를 탐지하지 못했다. 또한, 악성코드 바이너리는 UPX라는 도구로 패킹되어 있어 분석을 더욱 어렵게 만든다.
클래러티 연구팀은 아이오컨트롤의 모듈형 설계와 통신 방식을 매우 위협적인 요소로 꼽았다. 특히 MQTT와 DoH를 이용한 통신은 네트워크 모니터링 툴로 탐지하기 어려우며, AES-256-CBC 암호화는 악성코드의 설정을 숨기는 데 효과적이다.
전문가들은 다음과 같은 방어 전략을 제안했다.
-펌웨어 업데이트: IoT와 OT 기기의 취약점을 방치하지 않도록 정기적인 업데이트가 필요하다.
-네트워크 분리: OT 시스템을 IT 네트워크와 격리하면 악성코드 확산을 방지할 수 있다.
-행동 기반 탐지 도구: 이상 행동 탐지 시스템은 전통적인 안티바이러스가 놓칠 수 있는 위협을 발견하는 데 유용하다.
-사고 대응 계획: 악성코드 감염 시 빠른 대응과 복구를 위한 계획을 미리 준비해야 한다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
