러시아의 해커들이 OT 네트워크를 공략해 파괴할지도 모른다는 불안감이 OT 담당자들 사이에서 생겨나고 있다. 게다가 작년 한 해 동안 OT 공략법과 사례가 다양하게 나타나기도 했었다. 이유가 있는 불안감이다.

[보안뉴스 문가용 기자] 러시아와 우크라이나 간 긴장감이 고조되면서 서방 국가 내 산업 현장의 네트워크 운영자들과 보안 팀들도 덩달아 긴장하고 있다. 러시아의 국가 지원을 받는 해커들이 공격의 마수를 전 세계적으로 뻗칠까봐서다. 특히 지난 한 해 랜섬웨어 공격의 빈도가 지나치게 높아졌기 때문에 긴장감은 더하다.


보안 업체 드라고스(Dragos)와 IBM 엑스포스(IBM X-Force) 팀이 조사한 바에 따르면 OT 기술에 대한 사이버 공격이 가장 심한 곳은 제조업이라고 한다. 또, OT를 노리는 멀웨어 중 가장 빈번하게 사용되는 건 랜섬웨어인 것으로 알려졌다. 특히 콘티(Conti)와 록빗(LockBit) 2.0이 가장 많이 나타나고 있다고 한다. 이는 작년 한 해 동안 발생한 OT 공격을 조사해 나온 결과다.

작년 OT 환경에서 발생한 랜섬웨어 공격 중 가장 널리 알려진 건 콜로니얼 파이프라인(Colonial Pipeline)과 JBS푸드(JBS Foods) 사건이다. 하지만 대대적으로 알려지지 않은 사건이 훨씬 많고, 그 피해도 상당한 규모라고 드라고스는 강조한다. “랜섬웨어뿐만 아니라 대부분의 사이버 보안 사고는 대중들에게 잘 알려지지 않습니다. 대단히 유명한 조직에서 발생한 게 아니라면 묻히는 게 보통이죠.” 드라고스의 CEO인 롭 리(Rob Lee)의 설명이다. 드라고스는 작년 한 해 동안 211건의 랜섬웨어 사건의 조사를 의뢰받았다고 한다.

제조업이 많은 랜섬웨어 공격에 노출된 건 당연한 일이다. 지난 한 해 동안 코로나 봉쇄 정책 때문에 수많은 사람들이 집 밖으로 나가질 못했고, 그러면서 생활 패턴이 달라졌으며, 그에 따라 다양한 물건을 구매함으로써 제조업의 할 일은 크게 늘어났다. 동시에 현장 인력이 줄고, 공급망에 타격이 오면서 생산을 원활히 할 수가 없었다. 제조업은 전에 없던 압박에 시달릴 수밖에 없었고, 공격 하나하나가 큰 영향을 미치는 게 당연했다. 이 점을 공격자들이 파고든 것이다.

“사이버 공격자들은 항상 ‘가장 민감한 산업’을 노립니다. 그래야 데이터를 잠시 못 쓰게 되거나 사업을 중단해야 하는 사태가 발생했을 때 자신들에게 돈을 낼 확률이 높아지거든요. 여유가 많은 산업이나 조직은 넉넉하게 대처하고, 그러면 공격자들이 돈을 받을 확률은 낮아집니다.” 엑스포스 팀의 첩보 분석가인 찰스 드벡(Charles DeBeck)의 설명이다. “제조업은 지난 한 해 압박을 심하게 받았을 뿐만 아니라, 평소에도 생산 시간이 줄어드는 것에 큰 피해를 입습니다.”

IBM 엑스포스 팀이 조사했을 때도 작년 발생한 OT 공격 사건 중 60% 이상이 제조업에서 발생했다고 한다. 보통 사이버 공격의 가장 인기 높은 표적은 금융 산업인데, 이를 제조업이 훌쩍 뛰어넘었다고 한다. 제조업을 겨냥한 공격 중 23%가 랜섬웨어와 관련이 있는 것으로 나타나기도 했다. “그래도 좋은 소식이 없지 않습니다. 이 모든 공격의 대부분이 IT 네트워크를 통해 발생했어요. OT를 직접 노리고 들어간 경우는 거의 없었습니다. IT만 잘 관리해도 OT가 덩달아 안전해질 수 있다는 뜻입니다.”

드라고스의 경우 OT를 공격하는 새로운 사이버 위협 단체들을 발견하기도 했었다. 총 3개인데 코스토바이트(Kostovite), 페트로바이트(Petrovite), 에리스라이트(Erythrite)라고 이름을 붙이고 추적 중에 있다고 한다. 이 중 코스토바이트와 에리스라이트의 경우 OT 네트워크에 침투하는 데 성공한 것으로 보인다. “코스토바이트는 북미와 호주의 에너지 관련 단체들을 주로 노립니다. 펄스 커넥트 시큐어(Pulse Connect Secure)라는 VPN 서비스의 제로데이를 익스플로잇 하는 게 주요 수법이죠. 실제로 여러 발전소들에 침투하기도 했습니다.”

또한 코스토바이트는 피해 조직의 모니터링 시스템을 최대한 피해가기 위해 피해자가 보유하고 있는 도구들과 유틸리티들을 활용해 크리덴셜을 빼거나 횡적으로 움직인다는 특징도 가지고 있다고 드라고스는 발표했다. “이들의 공격 수법은 중국의 APT 그룹인 UNC2630과 매우 흡사합니다. 다만 중국의 APT 단체들이 지적재산을 주로 노리던 것과 달리 발전소 가동을 중단시킬 수도 있을 정도로까지 공격을 진행했습니다. 정보를 빼돌리는 데에 만족하는 게 아니라 물리적 영향을 끼치려는 것도 이들의 목적 중 하나였던 것으로 보입니다.”

리에 의하면 “파괴적인 목적을 가지고 공격을 진행하는 단체를 맞닥트리게 된 건 오랜만의 일”이라고 한다. 다만 위의 경우 피해 조직이 빠르게 대처를 했기 때문에 실질적인 피해가 발생하지는 않았다고 한다. “코스토바이트는 피해자의 네트워크에 약 한 달 정도 있었던 것으로 분석됐습니다. 그 동안 공격자들은 각종 정보를 수집하거나 횡적으로 움직이는 데에 집중한 것으로 보입니다. 물리적 피해가 안 일어났기 망정이지, 얼마든지 일어났을 수도 있었던 상황이라고 해석할 여지도 있습니다.”

에리스라이트의 경우 포춘 500대 기업들 중 전기, 가스, IT, 식료품 관련 업체들을 주로 노리는 것으로 나타났다. 드라고스가 조사한 바에 의하면 포춘 500대 기업들 중 약 20%가 에리스라이트의 공격을 받았다고 한다. “그 중 실제 OT 공격으로까지 이어진 사례도 있습니다. 아주 다양한 회사의 IT 네트워크에 침투하고, 거기서부터 OT로 가려고 하는 게 에리스라이트의 공격 순서입니다. 이들은 SEO 포이즈닝 공격을 함으로써 자신들의 악성 웹사이트로 피해자들이 들어오도록 꾀는 전략을 자주 사용합니다.”

페트로바이트의 경우 광산업과 에너지 산업에 주로 집중하는 것으로 현재까지는 분석되고 있다. 특히 카자흐스탄을 비롯해 중앙 아시아 국가들에 주요 표적인 것으로 나타났다고 드라고스는 밝혔다. 아직 OT에까지 침투한 사례는 없는 것으로 보인다.

OT 네트워크에서 피해가 발생하는 가장 큰 이유는 가시성 확보에 실패했기 때문인 것으로 조사되었다. 드라고스의 조사에서 86%의 피해 기업들이 OT 환경에 대한 가시성을 충분히 확보하지 못한 것으로 나타났다. 77%는 망분리를 제대로 하지 않고 있었고, 70%는 ICS 시스템을 외부에서부터 접속할 수 있도록 설정을 하고 있었으며, 44%는 IT 환경과 OT 환경에서 사용되는 크리덴셜 중 동일한 것이 대단히 많았던 것으로 조사됐다.

3줄 요약
1. 러시아 해커들이 서방 국가의 OT 공격할까봐 담당자들은 긴장 중.
2. 게다가 최근 OT를 겨냥한 ‘파괴형 공격’이 눈에 띄게 증가하기도 했음.
3. 세 개의 새로운 해킹 그룹들이 나타나 OT를 공격하는 것도 불길한 징조.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>