4개 친러 해킹그룹, 수도·에너지 등 OT 시스템 공격

[보안뉴스 김형근 기자] 미국 정부는 단순한 수법을 쓰는 친러시아 해킹 그룹들이 미국 핵심 인프라 공격을 위해 운영 기술(OT) 제어 장치를 표적으로 공격하고 있다고 경고했다.

이러한 ‘기회주의적’ 공격은 현재까지는 영향이 제한적이었지만, 향후 더욱 심각한 위협이 될 수 있다.


[자료: gettyimagesbank]

미국 연방수사국(FBI), 사이버보안및인프라보안국(CISA), 국가안보국(NSA) 등 수사기관은 사이버 아미 오브 러시아 리본(CARR), 지-펜테스트(Z-Pentest), NoName057(16), 섹터16(Sector16)의 4개 그룹을 특정해 주의보를 내렸다.

이 해킹 그룹들은 지난 몇 주 동안 최소한의 보안만 적용된 채 인터넷에 노출된 OT 시스템의 가상 네트워크 컴퓨팅(VNC) 연결을 공격, 수도와 폐수 처리 시스템, 식품과 농업, 에너지 분야 등 인프라 침투를 노렸다.

이들은 일반적 지능형 지속 공격(APT)과는 달리 겉으로는 직접적으로 정부와 연계돼 있지 않는 것처럼 보이지만, 러시아의 이해관계에 맞춰 우크라이나 및 동맹국 인프라에 대한 유사한 표적 설정을 공유하고 있다.

존 헐퀴스트 구글 위협인텔리전스그룹 수석 분석가는 CARR와 러시아 군사 정보국(GRU) 간 연관성을 재확인하면서 “GRU가 물리적 사이버 공격에서 자신의 손을 숨기기 위해 기꺼이 협조하는 대리인을 이용하고 있다”고 밝혔다.

이들의 공격 방식은 VNC 포트가 열린 취약한 장치를 스캔한 뒤, 임시 가상 사설 서버(VPS)를 이용해 무차별 대입 공격 소프트웨어를 실행하는 동일한 방식을 따른다.

특히 기본 암호나 약한 암호가 설정된 휴먼 머신 인터페이스(HMI) 장치를 노려 화면 기록 캡처, 매개변수 변경, 알람 비활성화 등 파괴적 행위를 수행한다. 이는 물리적 손상이나 인명 안전에 대한 고려 없이 이루어진다.

CISA는 OT 자산 소유자 및 운영자에게 OT 자산의 공개 인터넷 노출을 줄이고, 강력한 인증 절차를 채택하며, 종합적 재해 복구 계획을 수립할 것을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>