사회 기반 시설 노리는 APT 단체의 공격이 점점 무서워지는 이유
ICS나 SCADA 등을 노리는 사이버 공격자들의 무기는 날이 갈수록 새롭고 무서워진다. 그들의 실력은 해마다 뛰어나게 단련되며, 그런 자들이 만든 무기 또한 만만치 않은 성능을 발휘한다. 그런데 그들을 그렇게 강하게 만드는 건 그들의 배후에 있는 정부나 악의만이 아니다.
4월 13일 미국의 에너지부, CISA, NSA, FBI가 합동으로 사이버 보안 관련 경고문을 발표했다. ICS와 SCADA 장비들을 노리는 고급 APT 공격 행위가 발견되었다는 내용이었다. 경고문에 따르면 공격자들은 익스플로잇에 성공하여 시스템에 대한 접근 권한을 가져갈 수 있다고 했다. 특히 문제가 되는 장비는 슈나이더와 옴론에서 나온 각종 PLC 및 서버들이었다.
APT 공격자들은 한 번 OT 네트워크에 올라타는 데 성공하면, 자신들이 만든 각종 도구들을 활용해 취약한 장비를 찾고, 취약점을 익스플로잇 한 후 결국 자신들이 통제할 수 있도록 만든다. 이번 합동 경고문에서는 APT 공격자들의 이러한 일반적인 공격 행위 외에 윈도 기반 엔지니어링 워크스테이션을 노린다는 경고도 나왔었다. 즉 OT 네트워크만이 아니라 연결된 IT 네트워크에도 문제가 있을 수 있다는 뜻이다.
이런 저런 취약점 익스플로잇 기술을 가지고 있는 공격자들은 권한을 상승시키고 OT 네트워크 내에서 횡적으로 움직이며, 각종 문제를 발생시킬 수 있게 된다. 작년에 발생했던 콜로니얼 파이프라인 사건에서 공격자들은 OT 환경 전체를 폐쇄시키기도 했다. (콜로니얼 파이프라인 얘기가 나와서 하는 말이지만, 최근 들어 사회 기반 시설을 겨냥한 랜섬웨어 사건이 급증하고 있다.)
결국 표면적으로는 안내문 같아 보이지만 정보 보안 사건과 관련된 기관들 외에 에너지부까지 나서서 사회 기반 시설(특히 에너지 관련 시설)에 적당한 보안 조치를 취하라고 강력하게 권고한 것이나 다름이 없다. 공공 기관에서의 이러한 경고 외에 드라고스(Dragos), 맨디언트(Mandiant), 팔로알토 네트웍스(Palo Alto Networks) 등도 각각 보고서를 통해 같은 맥락의 말을 전파했다. 참고로 이번 경고에 등장한 멀웨어의 이름은 파이프드림(PIPEDREAM) 혹은 인컨트롤러(INCONTROLLER)라고 한다.
에너지 산업을 겨냥한 고급 멀웨어와 공격 기법이 등장한 것은 현재 러시아가 에너지 제재를 받고 있어서만은 아니다. 만약 그렇다면 우리는 이번 러시아-우크라이나 전쟁만 끝나면 다시 안심할 수 있을 것이다. 하지만 사회 기반 시설을 겨냥한 공격이 앞으로도 계속 있을 거라고 우리가 생각하는 건 사물인터넷 장비들이 크게 우리의 생활과 산업 환경 속으로 들어왔기 때문이다. 지금 주요 인프라나 OT 네트워크를 괴롭히는 위협들이 사물인터넷 장비의 등장과 함께 늘어나기 시작했다는 것이다.
그러므로 사물인터넷이 우리의 생활 속에 건재한 이상, 사이버 공격들 역시 건재할 것이다. 사물인터넷 장비들이 보안 기능을 탑재한 채 제조되지 않고, 지금의 OT 환경이 계속해서 오래된 장비들로 구성될 것이라면 상황은 더 심각해질 것이 뻔하다. 이런 상황에서 사물인터넷과 OT 네트워크는 점점 더 많이 IT 네트워크와 인터넷과 연결되고 있다. 원래는 이렇지 않았다. OT와 IT는 물리적으로도 서로 접점이 없었다. 물리적 망분리가 당연한 것이었고, 지금은 점점 그 개념이 희박해지고 있다.
사회 기반 시설을 노리는 공격자들과 위협이 계속해서 증가하는 건 이런 보이지 않는 이유들 때문이다. 전쟁처럼 눈에 확 띄는 그런 이벤트만으로 갑자기 공격자들이 OT를 공략하기 시작한 건 아니다. 우리는 우리도 모르게 공격의 경로를 공격자들을 위해 확보해주는 방향으로 발전을 해 왔고, 지금의 디지털 변혁이라는 것 역시 그 방향으로 가고 있지 않다고 말하기 어렵다. 나라의 여러 기관들이 무섭게 경고를 하고 있지만, 사실 거기에 좀처럼 헤이해져 가고 있는 경각심에 대한 이야기는 없다. 보안 업계가 알아서 새겨듣고 해석해 주어야 할 부분이다.
에너지 산업에 있지 않더라도 모든 기업들은 사물인터넷과 OT 네트워크가 가지고 있는 위험성에 대해 충분히 인지하기 시작해야 한다. 인지하는 것만으로는 늦고, 얼른 점검에 들어가야 한다. 우리 회사 안에 어떤 사물인터넷 장비들이 있는지, OT와 IT가 얼마나 연결되어 있는지 확인부터 시작해야 한다. 이미 그런 활동을 공격자들은 하고 있다.
그런 후에는 보안 업계가 늘 잔소리처럼 해 왔던 것들을 해야 한다. 비밀번호를 변경하고, 오프라인 백업 데이터를 마련하고, 다중인증 시스템을 도입하는 것 말이다. 그 외에도 실시간 모니터링과 탐지, 대응 계획 수립 등도 기본 중 기본이다. 방화벽 하나 놓는다고 다 되던 시절은 이미 오래 전에 지나갔다. 적국의 APT가 무서워지는 게 아니라, 그들이 무서워지도록 우리가 구멍을 내고 있는 것을 기억해야 한다.
출처: https://www.boannews.com/media/view.asp?idx=106113
이 게시글이 문제가 될 시, 삭제하겠습니다
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.