이란 혁명수비대 연계 ‘사이버어벤저스’, 단순 데이터 탈취 넘어 물리적 파괴 시도
로크웰 오토메이션 취약점 악용해 인증 우회 공격... 국가 기반 시설 마비 우려 확산

[보안뉴스 김형근 기자] 이란 혁명수비대(IRGC) 산하 사이버사령부와 연계된 해킹 그룹 ‘사이버어벤저스(CyberAv3ngers)’가 세계 주요 기반 시설을 겨냥하고 나섰다.


[출처: gettyimagesbank]

미국 연방수사국(FBI)과 사이버보안인프라보안국(CISA) 등 6개 미국 관계 당국은 합동 보안 권고문을 내고 ,이 조직이 수자원과 에너지, 정부 시설의 산업용 제어기(PLC)를 전방위적으로 공격하며 국가 기반 시설에 심각한 위협을 가하고 있다고 밝혔다.

이들은 로크웰오토메이션(Rockwell Automation) 제어기의 인증 우회 취약점(CVE-2021-22681)을 핵심 공격 루트로 삼았다. 보안 패치가 없는 이 결함을 악용하면 공격자가 암호 키 하나만 확보해도 시스템 권한을 탈취할 수 있다. 과거 유니트로닉스 PLC의 기본 비밀번호를 악용해 미국 펜실베니아주 수자원 시설을 마비시킨 바 있다.

2024년 사이버어벤저스는 리눅스 기반 사물인터넷(IoT)과 운영기술(OT) 환경을 노리고 제작한 맞춤형 악성코드 플랫폼인 ‘IOCONTROL’를 만들었다. 이 악성코드는 MQTT 프로토콜과 TLS 통신을 악용해 일반적 IoT 트래픽으로 위장해 네트워크 감시망을 우회했다. 또 DNS-over-HTTPS 기술로 명령제어(C2) 서버와 통신 흔적을 숨겨 탐지를 회피했다.

미 재무부는 IRGC 산하 사이버사령부 소속 6명을 제재 대상에 올리고 1000만달러의 현상금을 걸었으나, 이들은 채널을 바꿔가며 활동을 지속하고 있다. 보안 당국은 관련 제어기를 즉시 인터넷에서 차단하고 네트워크에서 분리하며, 물리적 모드 스위치를 엄격하게 관리할 것을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>