일본 사야마 공장, 워너크라이에 감염돼 이틀 간 가동 중단돼
세부 경위 밝혀진 바 없으나 생산 라인에 낡은 컴퓨터가 원인이었던 듯

[보안뉴스 오다인 기자] 일본의 자동차 제조업체 혼다 모터스(Honda Motors)가 워너크라이 랜섬웨어의 공격으로 이번 주 일시적으로 생산을 중단했던 사실이 드러났다. 혼다는 한 달 전 워너크라이 멀웨어 위협에 대해 대처를 끝냈다고 판단했지만, 이번 사태를 통해 현대의 사이버 위협이 얼마나 끈질기게 지속되는지 직접 경험하게 됐다.


생산이 중단된 곳은 일본 사야마 공장이다. 사야마 공장은 약 48시간 동안 생산이 중단됨으로써 1,000여대 차량에 영향을 받았다. 혼다 오딧세이 미니밴과 혼다 어코드를 포함한 생산 라인에서 엔진 생산과 조립에 지장을 받은 것이다.

혼다 북미 지부는 성명서를 통해, 사야마 자동차 공장이 워너크라이 바이러스에 감염돼 오래된 생산 라인의 컴퓨터 여러 대가 정지됐다고 밝혔다. 아시아, 북미, 유럽, 중국 등지의 혼다 공장 시스템 역시 일본의 사야마 공장과 비슷하게 워너크라이에 감염된 것으로 보인다고 로이터 등 다수의 매체가 별도의 혼다 성명서를 인용해 보도했다.

워너크라이는 지난 달 전 세계 수십만 대의 컴퓨터를 감염시켰다. 워너크라이는 미국 국가안보국(NSA)이 개발한 일명 ‘이터널블루(EternalBlue)’라는 윈도우 익스플로잇을 사용한 멀웨어로, 올해 초 셰도우 브로커스가 공개적으로 유출시킨 바 있다.

혼다는 워너크라이 감염으로 산업 제어 시스템(ICS: Industrial Control System)만 영향을 받은 것인지, IT 네트워크까지 영향이 미친 것인지, 아니면 둘 다 영향이 있는 것인지에 대해서는 밝히지 않았다. 혼다는 워너크라이가 발견된 다른 공장들은 제쳐두고 왜 사야마 공장만 가동을 중단하기로 결정한 것인지에 대해서도 아직 밝히지 않았다.

혼다는 지난 일요일 워너크라이 감염 사태를 최초로 인지한 뒤 즉시 복구 절차에 들어갔지만 화요일 오전이 돼서야 생산을 재가동할 수 있었다. 이번 감염은 혼다가 지난 달 워너크라이 관련 뉴스를 처음 접한 이후 이에 대한 대응 조치를 새롭게 실행한 뒤에 발생한 것이라 더 주목된다. 혼다는 사야마 공장에 설치된 낡은 컴퓨터 여러 대에 대해 대응 조치가 부족했다는 점을 인정했다.

보안 전문업체 트립와이어(Tripwire)의 선임 시스템 엔지니어 폴 노리스에 따르면, 이번 사건은 대규모 조직이 자사 네트워크의 모든 시스템을 안전하게 보호하는 것이 얼마나 어려운지를 직접적으로 보여준 사례라고 할 수 있다. 특히 워너크라이처럼 자체적으로 전파되는 멀웨어의 경우, 대응이 더 어려워진다고 그는 지적한다.

“회사들은 자사가 인지하는 일반적인 범위 내에서 시스템을 보호할 것입니다.” 노리스는 설명을 이었다. “하지만 대부분의 보호 조치가 추후 관리되거나 안전하게 지켜지지 않고, 폐기처분돼야 할 낡은 시스템 역시 남아있다는 게 문제입니다.” 노리스는 이런 점들이 취약성을 높인다고 지적했다. 노리스는 “규모가 큰 조직일수록 그 규모나 회사 네트워크의 복잡성 때문에 내부 환경의 모든 요소들을 안전하게 보호하는 것이 더 어려워진다”고도 짚었다.

대규모 조직이 가진 이 같은 과제는 산업 제어 시스템 환경을 만나면 더 어려워진다. ICS 환경에서는 IT 및 사이버 보안 전담 부서가 각각의 요소들을 제대로 확인하는 것이 매우 어렵기 때문이다.

사실 한 공장의 전체 사이버 자산 80% 이상은 사이버 보안 전담 인력이 확인할 수 있는 것들이 아닌 데다, IT 기반 자산의 목록 또한 불완전하게 작성된 경우가 많아 보호하기 어렵다고 데이비드 잔(David Zahn)은 설명한다. 잔은 ICS 보안 전문업체 파스(PAS)의 국장이다. 잔은 “눈으로 볼 수 없는 것을 보호할 수는 없다”고 말한다.

이번 사태에 앞서 혼다가 이미 워너크라이에 잠재적으로 취약한 부분들을 파악하고 있었을지도 모른다는 의견도 나온다. 파악은 하고 있었지만 생산 중단을 피하기 위해 즉각적으로 패치하지 않기로 결정했다는 거다. “산업 시설에서 위험을 없앨지 말지 여부는 산업적인 계산에 따라 결정됩니다. 해커가 위협한다고 해서 바로 조치를 취하는 게 아닙니다.” 잔은 지적한다.

잔은 그나마 희망적인 건 이런 사건을 통해 조직들이 기초적인 사이버 보안 질문을 스스로 묻고 답하게 된다는 점이라고 말한다. “우리 조직이 갖고 있는 사이버 자산에는 어떤 것들이 있고 취약점은 무엇인지, 승인 없이 변경된 것들이 있는지, 최악의 상황이 발생했을 때 얼마나 빠르게 회복할 수 있을지 등을 질문하게 되죠.”

혼다가 어떻게 워너크라이 공격에 당하게 됐는지에 대해선 보다 세부적으로 들여다볼 필요가 남아있다. 그러나 이번 사건은 각 조직이 공장 현장에서도 사이버 보안 위협에 대한 보안 조치에 보다 더 신경을 써야 할 필요성을 증명했다고 사이버 보안 전문업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 첩보 관리자 존 밤베넥(John Banbenek)은 덧붙였다.

밤베넥은 “대형 조직은 운영상 필요한 기기들을 보안성이 낮은 환경에서 사용하는 경우가 많고, 공장 직원들이 그런 환경에서도 보안을 위협하는 행동은 하지 않을 것이라고 막연히 믿는다”며 이는 실수라고 지적했다. “이런 공격들은 심각한 영향을 줄 수 있습니다. 공장이 하루 동안 부품을 생산하지 못하게 되면 기업에 얼마나 큰 금전적 영향을 줄지 생각해보시길 바랍니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>