• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국, 지난 5개월 동안 사회 시설 노리는 공격 급증 2017.10.24

국토안보부와 FBI까지 나서 ‘경고’...러시아 공격자들로 추정
산업 통제 시스템, 오래되고 유지보수 되지 않아 취약해

[보안뉴스 문가용 기자] 국가를 등에 업은 공격 행위자들이 중요한 산업 통제 시스템을 지속적으로 노리고 있는 가운데, 미국의 에너지 산업의 기업들이 특히 빈번한 공격을 받고 있다고 한다. 이에 지난 주 미국 국토안보부와 FBI는 2017년 5월부터 공격 빈도수가 더 높아지고 있다고 경고하며, 특히 드래곤플라이(Dragonfly)라는 APT 그룹을 조심하라고 지목했다.

[이미지 = iclickart]


드래곤플라이는 네트워크에 침투하기 위해 다양한 전략과 기술들을 동원하는 것으로 유명한데, 주로 오픈소스를 통한 정찰 및 정보 취득, 정상 계정 침해 후 스피어피싱 이메일, 크리덴셜 수집, 워터링홀 공격 등을 다채롭게 사용한다. 그렇게 해서 한 번 네트워크 침투에 성공하면 최고 권한을 가진 계정을 찾아 나선다.

드래곤플라이의 또 다른 이름은 에너제틱 베어(Energetic Bear)로, 러시아와 관련이 있는 것으로 추정되며, 그 동안 생산 산업, 제약 산업, 중공업, 건축업 등을 겨냥해 전 세계적인 공격을 펼쳐왔다. 그러다가 지난 9월부터 미국 에너지 산업에 집중하기 시작했는데, 이는 시만텍이 일찌감치 경고한 바 있다. 이번 국토안보부와 FBI의 경고는 시만텍의 작년 보고의 연장선상에 놓여있다고 볼 수 있다.

산업 보안 전문 업체인 인데지(Indegy)의 부회장인 다나 타미르(Dana Tamir)는 “산업 통제 시스템만을 집요하게 노리는 사이버 공격이 이렇게까지 만연하게 퍼진 경우를 보지 못했다”며 “이 때문에 핵 시설, 수도 시설, 항공 관련 시설 등의 사회 기반 시설에 대한 방어가 대단히 중대한 과제가 되었다”고 설명한다.

국토안보부와 FBI는 이번에 경고한 드래곤플라이의 공격 행위들에 대해 “다양한 절차를 거쳐 침투 행위를 이어간다”고 설명하면서 “보안 파트너사들 중 규모가 작은 곳, 취약한 네트워크 장비 등을 통해 네트워크에 대한 통제권을 얻어내려고 시도한다”는 내용을 이번 경고문에 포함시켰다. 또한 침해지표(IoC)도 잊지 않았다.

‘다양한 절차’를 거친다는 건 표적형 공격에서 대부분 나타나는 현상이다. 무차별적으로 공격을 흩뿌린다면 여러 단계를 공들여 계획하기 힘들기 때문이다. 국토안보부와 FBI는 “기존에 형성됐던 관계를 악용하는 사례가 많을 것”이라고 경고했다. 여기서 ‘관계’란 기존에 알았던 지인, 자주 방문하곤 했던(혹은 하는) 웹사이트 등을 말한다. “워터링홀 공격의 절반 가까이가 피해자들이 공적이든 사적이든 자주 방문하는 웹사이트를 통해 시작됩니다.”

그나마 다행인 건 공격자들이 제로데이 취약점을 활용한다는 증거가 아직 나오지 않았다는 것이다. “대단히 수준 높은 공격이 감행되는 것도 아닙니다. 여태까지 보안 커뮤니티에 알려져 온 기본적인 방법들과 전통적인 전략들이 사용되고 있습니다.”

공격자들이 정상적인 사용자 계정 크리덴셜을 획득한 경우 네트워크 침입이 매우 간단해진다. “이런 경우 드래곤플라이는 네트워크에 접속한 뒤 멀웨어를 원격 서버로부터 다운로드 받습니다. 이 멀웨어는 사용자 계정을 새롭게 생성하기도 하고, 호스트의 방화벽을 비활성화 시키거나 포트를 열어서 공격자가 원격에서 시스템을 들락거릴 수 있게 합니다.”

에너지 업체들만 위험한 게 아니다. “정부 기관, 핵 관련 시설, 항공, 수도 등의 사회 기반 시설이 전반적으로 공격에 노출되어 있다고 볼 수 있습니다. 이미 공격이 성공해 피해를 입은 곳도 있습니다. 이 경우도 역시 공격자들의 목표는 산업 통제 시스템입니다.” 산업 보안 업체인 클레로티(Claroty)의 수석 마케팅 책임자인 패트릭 맥브라이드(Patrick McBride)의 설명이다. “확실히 이런 종류의 사이버 공격이 급격히 늘어나고 있어요. 지난 4~5개월 사이에 말이죠.”

아직까지 사이버 공격이 물리적인 피해로까지 이어지지는 않았다. 시한폭탄을 껴안고 있는 느낌이라고 맥브라이드는 말한다. “공격자들은 현재 기초 공사 중이라고 볼 수 있습니다. 추후에 일으킬 피해를 위해 기본적인 준비를 하고 있는 것이죠. 즉, 앞으로 무슨 일이 일어나도 이상하지 않은 상태라는 것입니다.”

사이버 보안 업체 사이버엑스(CyberX)의 부회장인 필 너레이(Phil Neray)는 이번 경고에 대해서 “미국 산업 통제 시스템의 전통적인 취약점이 보완되어야 할 때를 알리는 지표”라고 말한다. 사이버엑스도 지난 18개월 동안 375개의 산업 네트워크를 조사, 분석했는데, “운영 기술(OT) 네트워크는 취약점 투성이라고 말해도 될 정도 수준”이었다.

사이버엑스의 연구에 의하면 “산업 시설의 75%가 아직도 XP나 윈도우 2000 같은 오래된 버전을 기반으로 운영되고 있었으며 60%는 비밀번호를 주고받을 때도 평문으로 했으며, 50%는 기본적인 백신조차 구비하지 않은 상태”였다고 한다. 사이버엑스는 보고서를 완성해 곧 보안 업계에 공개할 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>