국가의 기반 시설이나 산업 시설을 해킹 공격할 수 있는 건 정부의 지원을 받는 해킹 부대뿐이었다. 하지만 이제는 아니다. 일반 사이버 범죄 단체는 물론 핵티비스트들까지도 기반 시설을 건드리는 게 요즘이다. 공격의 분류라는 게 점점 어려워지고 의미가 없어지고 있다.
[보안뉴스 문가용 기자] 산업 제어 시스템(ICS)을 노리는 사이버 공격자들의 움직임이 점점 대담해지고 있다. 다크웹 산업의 부흥으로 해커들이 돈 맛을 봐 버렸고, 이 때문에 더 활발해진 것이라고도 볼 수 있다. 또한 러시아와 우크라이나의 전쟁이 장기화 되면서 지정학적 갈등에 불이 붙었고, 이것 역시 ICS를 노리는 공격자들을 더 사납게 만들었다는 게 보안 전문가들의 분석 결과다.
![[보안뉴스 / 1.19.] 사이버전 부대들의 전유물이었던 기반 시설 공격, 이제 누구나 공격한다](http://www.boannews.com/media/upFiles2/2023/01/32179980_9507.jpg)
[이미지 = utoimage]
이런 흐름은 2023년에 오히려 더 강화될 것으로 예상된다. 그런 신호들은 벌써부터 보이고 있다. 공격자들이 ICS를 공격하기 위한 새로운 전략과 도구들을 계속해서 개발하고 있기 때문이다. “그에 맞춰 ICS 관리 주체들도 방어 기술과 전략을 업그레이드 할 필요가 생겼습니다.” OT/IT 보안 전문 기업 노조미 네트웍스(Nozomi Networks)의 설명이다.
일반 해킹 조직들이 ICS 환경을 공격하는 사례는 그리 많지 않은 게 일반적인 일이었다. 기반 시설 공격은 정부를 등에 업고 있는 APT 단체들의 전유물과 같았다. 원격 접근 트로이목마를 사용해 멀웨어 페이로드를 심고, 원격에서 접속해 데이터를 빼돌리며, 가끔 디도스 공격을 하여 타격을 입히는 것이 주된 전략이었다. 노조미 네트웍스의 보안 연구원인 로야 고든(Roya Gordon)은 “그래서 ICS에 대한 공격은 사이버전 행위로 간주되어 왔다”고 설명한다.
그러다가 2021년 5월 그 유명한 콜로니얼 파이프라인(Colonial Pipeline) 사건이 발생했다. 민간 사이버 범죄 단체가 사회 기반 시설을 마비시켜 국가적 혼란이 일어난 것이다. “이 때 공격자들이 깨닫기 시작한 거 같아요. 사이버 공격이 가진 파괴력과, 그 파괴력을 이용해 자신들이 할 수 있는 일이 무엇인지를요. 협박을 통해 돈을 갈취할 수 있는 상대로서 사회 기반 시설 혹은 산업 기반 시설까지 바라보기 시작한 것입니다.”
거기에 더해 지난 2월 우크라이나로 러시아가 쳐들어갔다. APT도 아니고 사이버 범죄자들이 아닌 핵티비스트들까지도 사회 기반 시설들을 노리기 시작했다. 이들은 잠시 시설을 마비시키는 디도스 공격에 만족하지 않았다. 데이터를 삭제하여 영구적인 타격을 주는 편을 선택했다. 와이퍼 멀웨어가 크게 유행하기 시작했고, 그러면서 우크라이나의 각종 시설들이 마비됐다.
“이런 두 가지 큰 사건을 거치면서 누구라도 ICS를 공격할 수 있다는 것으로 인식이 바뀌기 시작했습니다. 사이버전이라는 동기가 아니더라도 ICS가 공격을 받을 수 있다는 것 역시 새롭게 제시된 가능성입니다. 돈을 벌기 위해서도, 자신이 지지하는 국가를 위해서도, 모두 ICS를 공략할 수 있게 되었습니다.” 고든의 설명이다.
ICS 사이버 공격 트렌드
노조미에 의하면 지난 6개월 동안 교통, 의료 등 여러 산업 분야에서 사업적 행위와 흐름을 방해하고 중단하기 위한 공격이 급증했다고 한다. 공격자들은 ICS 네트워크에 침투하기 위해 여러 가지 방법들을 동원하는데, 그 동안 IT 인프라를 괴롭혔던 것들과 대동소이하다. “즉, 약한 비밀번호와 암호화 키를 여러 가지 피싱 및 소셜엔지니어링 기법으로 노리는 것이죠. 패치 안 된 취약점을 익스플로잇 하기도 하고요. 무작위 대입 공격을 시도하는 사례도 종종 있습니다.”
멀웨어 측면에서 보면 ICS 생태계에서 가장 흔히 나타나는 멀웨어는 RAT이었다. 그 다음 일반 IT 생태계와 달리 디도스 공격용 멀웨어들이 빈도 높게 발견되고 있기도 하다. “사물인터넷 장비들을 엮는 봇넷 멀웨어들도 자주 발견되는 편입니다. 이런 사물인터넷 장비들에 침투하는 데 가장 많이 사용되는 기법은 훔친 크리덴셜을 사용하는 것이고요. 역시나 일반 IT 생태계에서 벌어지는 일과 대동소이합니다.”
지난 해 2분기 동안 ICS를 겨냥한 공격이 가장 많이 나타났던 건 7월, 10월, 12월인 것으로 조사됐다. 각각 5천 번 이상의 공격이 기록된 것이다. 제조사들과 에너지 기업들이 가장 많은 공격을 받았고, 수자원 시설과 의료 기관, 운송 시스템이 차례로 뒤를 이었다. 우크라이나에 대한 공격이 가장 많이 늘어났지만 러시아의 IP 주소가 공격에 많이 연루되지는 않았다. ICS 공격에 연루된 IP 주소들을 국가별로 집계했을 때, 1위는 중국이었고, 그 다음은 미국, 3위가 한국이었다. 대만이 한국 다음이었다.
앞으로 일어날 수 있는 일들
노조미는 앞으로 공격자들이 점점 더 혼합적인 공격 전략을 활용하게 될 것이며, 따라서 사이버 사건을 유형별로 분류하는 게 힘들어질 것으로 내다보고 있다. “ICS가 당했다고 해서 곧바로 사이버전을 떠올리는 시대가 끝났다는 뜻입니다. 또한 ICS를 공격해 혼란을 주고 다른 곳에서 진짜 공격을 진행하는 전략도 보다 적극적으로 활용될 수 있습니다.”
그러면서 노조미는 의료 분야가 특히 방어에 주의를 기울여야 할 것이라고 강조한다. “의료 분야는 코로나가 한창 진행될 때 엄청난 공격에 시달렸습니다. 그런데 코로나 사태가 잦아든다고 해서 위기가 같이 잦아들지는 않습니다. 의료 분야처럼 협박하기 좋은 곳이 없다는 걸 해커들이 인지해버렸기 때문입니다. 게다가 의료 분야에서는 사물인터넷 장비가 많이 사용되기도 하지요. 공격자들이 좋아할 만한 조건들을 다 갖췄다고 볼 수 있습니다.”
인공지능 역시 ‘다가오는 위협’으로 간주되고 있다. “인공지능 덕분에 해킹 도구를 개발하는 시간이 점점 줄어들 것이라고 예상됩니다. ICS 네트워크에 대한 접근도 갈수록 쉬워지겠죠. 방어력을 강화하는 데 주어지는 시간이 점점 짧아지고 있다고 볼 수도 있습니다.”
3줄 요약
1. ICS를 노리는 공격자들의 움직임, 점점 더 거세지고 있음.
2. 콜로니얼 파이프라인 사건과 러-우 전쟁이 ICS 해킹 공격의 유행을 완전히 바꿨음.
3. 사이버 공격을 유형별로 분석하는 게 쉽지 않은 시대로 접어들고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>