파이프라인 운영 및 관리 업체들을 위한 보안 명령문이 발표됐다. 세부적인 내용이 담겨 있는 건 아니지만 경계 대상이 누구인지는 보다 확실히 알 수 있는 명령문이다. 중국을 향한 미국의 ‘경계’가 보다 노골적으로 변하고 있다.

[보안뉴스 문가용 기자] 미국 국토안보부 산하 교통안전국(TSA)이 모든 석유 및 연료 파이프라인 운영자들을 위한 보안 명령을 발표했다. OT 네트워크를 겨냥한 각종 사이버 공격에 대비하기 위해서다. 파이프라인 보안에 관한 명령을 TSA가 발표한 것은 2개월 동안 두 번째다. 그만큼 미국이 사회 기반 시설 보강에 집중하고 있다는 뜻이다.


미국이 사회 기반 시설에 투자하기 시작한 건 지난 5월 발생한 콜로니얼 파이프라인(Colonial Pipeline) 사태 때문이다. 콜로니얼 파이프라인 사태란 대형 랜섬웨어 사건으로 러시아의 사이버 범죄 집단인 다크사이드(DarkSide)가 배후에 있으며, 이 때문에 미국 일부 지역에서는 연료 보급이 중단됐다. 사회적 혼란이 야기돼 다크사이드 본인들도 당황할 정도였다.(하지만 받을 돈은 받았다.)

이 사건 때문에 미국 정부의 ‘보안 대책’은 주로 러시아를 중심에 둔 채 수립될 것으로 예상됐다. 하지만 이번에 발표된 새 명령에는 중국에서부터 시작되는 위협들에 대한 내용도 포함되어 있는 것으로 보인다. 어제 바이든 행정부는 마이크로소프트 익스체인지 서버 사태의 배후에 중국 정부가 있다고 공식 발표했다. 또한 유럽에 있는 미국 동맹국들도 단체로 “중국은 해킹 행위를 멈추라”고 규탄했다. 중국은 국가 경쟁력 강화를 위해 해킹을 지원하고 해커들을 육성하는 것으로 알려져 있으며, 이런 내용을 담아 미국 사법부는 어제 중국 해커 4명을 기소하기도 했다.

TSA가 발표한 이번 명령에는 파이프라인 운영 조직들이 지켜야 할 구체적인 실천 사항이 언급되어 있지 않다. 다만 랜섬웨어나 이미 알려진 사이버 보안 위협들에 대한 위험 완화 대책을 마련하여 도입해야 하며, 보안 사고 발생 시 취해야 할 행동들을 미리 계획해 놓고, 보안 아키텍처에 대한 점검도 진행해야 할 것이라고 TSA는 밝히고 있다. 지난 5월 TSA가 발표한 명령에는 “모든 사이버 보안 관련 사건들을 TSA와 CISA에 보고하라”는 내용이 담겨 있었다.

TSA와 명령을 함께 작성한 보안 전담 기관 CISA는 이러한 보안 명령에 대해 “중국의 해커들이 2011년과 2013년 사이에 석유 파이프라인 기업들을 침해하려는 캠페인을 진행했었다는 사실이 이번 명령에 반영되었다”고 설명하고 있다. 그러면서 당시 발견됐던 침해지표를 같이 공개했다. 하지만 이 침해지표가 지금 활용될 일은 없을 것이라고 밝히기도 했다. 이미 끝난 캠페인이기 때문이다. 중국 해커들도 미국 기반 시설의 위협이라는 걸 상기시키는 차원에서 이 부분을 삽입한 것으로 보인다.

CISA에 의하면 중국의 해커들이 주로 사용하는 기법은 정교한 스피어피싱과 소셜엔지니어링이라고 한다. 이를 통해 조직의 구성도와 보안 관련 솔루션의 설정 사항 등을 파악한다는 것이다. 한 번은 대형 보안 업체의 직원을 사칭한 중국 해커가 기반 시설 관리 업체의 네트워크 담당자에게 접근해 보안 관련 세부 사항을 파악한 적도 있었다. 그러면서 직원 명단, 로그인 크리덴셜, 연락처 정보, 시스템 매뉴얼, 산업 장비 정보를 취해갔다고 한다. 러시아의 랜섬웨어만이 아니라 중국의 정보 탈취 공격도 경계 대상이라고 CISA는 강조했다.

보안 업체 스레트쿼션트(ThreatQuotient)의 부회장인 조나단 카우치(Jonathan Couch)는 CISA가 언급한 중국 해커들의 캠페인이 한창일 때 파이프라인 운영사에서 사건 대응을 담당하던 인물로, “당시 중국 해커들은 2007년부터 네트워크에 침투했었고, 지속적으로 자신들의 멀웨어를 업그레이드 해왔었다”고 말한다. “우리끼리는 중국 해커들의 멀웨어를 보고 ‘무슨 윈도 업데이트(Windows Update)가 따로 없다도 농담을 할 정도였습니다.”

카우치는 “이런 중국의 해커들이야말로 사회 기반 시설의 가장 큰 위험”이라고 강조한다. “이들은 어떻게 OT 네트워크에 침투하는지, 어떻게 횡적으로 움직이는지, 어떻게 피해를 최대화하고, 어떻게 흔적을 감추는지 잘 이해하고 있습니다. 그리고 이런 이해도를 바탕으로 그 때 그 때 시대와 분위기에 맞게 공격 기술을 바꾸고 업데이트할 줄 압니다. 다이얼업을 사용할 땐 다이얼업을, RDP를 사용할 땐 RDP를 사용하는 공격자들인 것입니다.”

보안 업체 버브(Verve)의 국장인 론 브래시(Ron Brash)는 “CISA가 과거의 중국 캠페인까지 가져와 보안 명령문을 작성했다는 건, 그 만큼 바뀐 것이 없다는 뜻”이라고 해석한다. “예전 전략이 잘 통했다면, 굳이 그 전략을 바꿀 필요가 있을까요? 중국 해커들의 과거 피싱 공격과 소셜엔지니어링이 지금까지 언급된다는 건, 아직도 그 전략이 유효하다는 뜻입니다. 결국 보안의 측면에서 세상이 더 나아지지 않았다는 뜻으로도 해석할 수 있습니다.”

실제 브래시의 말처럼 랜섬웨어 공격 한 번에 사회가 마비되는 현상이 2021년에도 있는 것을 보면 보안의 측면에서 세상이 더 나아지지 않았다고 말해도 과언이라고 하기 힘들다. “파이프라인 운영사를 비롯해 기반 시설 관리 업체들의 보안 준비도가 미흡하다는 건 누구나 아는 사실 아닌가요? 게다가 금방 나아질 희망도 없다는 게 더 큰 문제입니다. 지금의 보안은, 공격자들이 공격하지 않는 만큼 강력할 뿐입니다. 그들이 부지런해지면 우리는 속수무책으로 위험해질 겁니다.”

3줄 요약
1. 미국 CISA와 TSA, 파이프라인 운영사 위한 2차 보안 명령문 발표.
2. 모든 사이버 공격에 대응할 만한 대책 마련하고, 복구 계획 수립하고, 아키텍처 점검하라는 내용.
3. 1차에는 러시아만 염두에 둔 듯 했으나 2차에 와서는 중국까지도 함께 고려.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>