美 전력정보공유분석센터(E-ISAC)는 3.21일 우크라이나 전력시설에 대한 사이버 공격으로 22만5천여 가구가 정전된 사고에 관한 보고서를 발표했다. SANS 조사관 3명과 합작으로 진행된 조사 결과를 담은 보고서에 의하면 해커들은 우크라이나 전력회사 3군데의 네트워크를 6개월 이상 통제해 왔으며, 2015년 12월 정전사태가 발생하고서야 비로소 이 사실에 세상에 알려졌다고 한다.
E-ISA은 보고서를 통해 2015.12월 우크라이나 전력공급시설을 공격해 27개의 변전소를 오프라인 상태로 만든 공격자들을 “고도의 조직화되고 자원을 갖춘” 조직이라고 전했다. 공격이 최초 발생한 것은 2015.12.23일로 우크라이나 전력회사 3군데를 대상으로 공격이 시작되어 22만5천 가구가 정전되었다. 정전은 수시간 이내에 복구되었지만 그 때는 이미 데이터 대부분이 악성 프로그램으로 인해 삭제된 후여서 수사가 더디어 졌다.
수사에 참여한 3명의SANS 관계자들은 보고서를 통해 이 사고가 과거 중동 정유회사인 사우디 아람코와 라스가스 그리고 소니픽처스에 대한 공격과 유사하며, 스피어피싱, 악성 마이크로소프트 오피스 문서, 블렉에너지 3 등의 다양한 방법과 더불어 정유회사 전력공급 변전소 시스템을 셧다운 시키는 용도의 맞춤형 맬웨어도 사용되었다고 전했다. 공격자들은 우크라이나 전력 공급 회사인 Kyivoblenergo사의 콜센터 시스템도 공격해 고객이 정전 신고를 접수하지 못하도록 했다.
우크라이나 정부는 러시아를 공격 주범으로 지목한 바 있지만, E-ISAC 보고서는 특정 국가나 그룹을 범인으로 지목하는 대신에 “공격자” 혹은 “actor”로 표현했다. 공격자가 하드 드라이브 데이터 삭제에 사용했ㄷ던 KillDisk는 국가가 배후인 공격에 자주 사용되고 있다.
출처: E-SAIC 보고서(PDF)