곡물 투입 원격제어 설비 시스템, 옹달샘 양액 재배 시스템, 스마트하우스 제어시스템 등
해킹한 동영상 화면, 텔레그램에 공개하며 해킹 주장...국가안보실 대비태세 점검
[보안뉴스 김경애 기자] 친러시아 해커 조직이 스마트팜 농가 등에서 사용하는 국내 원격제어 시스템을 해킹해 파장이 커지고 있다.
▲친러시아 해커 조직이 스마트팜 농가 등에서 사용하는 국내 원격제어 시스템 해킹 화면을 텔레그램을 통해 공개한 화면[이미지=보안뉴스]
최근 친러시아 해커조직 제트 펜테스트(Z-Pentest)와 엘리게이트 블랙햇(Alligator Black Hat)은 국내 농가 등에서 사용하는 제어 시스템에 원격 접속해 해킹한 동영상을 자신들이 운영하는 텔레그램에 공개했다.
펜테스트는 10월 31일 오전 6시 30분경 촬영된 △곡물 투입 원격제어 설비 시스템을 원격으로 접속해 해킹 영상, 지난 5일 촬영된 △옹달샘 양액 재배 시스템 해킹 영상, 6일 오전 5시 28분경 촬영된 △스마트하우스 제어시스템을 해킹한 동영상 화면을 연이어 텔레그램에 공개했다.
해킹 사실 파악을 위해 <보안뉴스>가 제조사를 취재한 결과 해킹 당한 시스템의 A제조사 대표는 “해킹된 시스템은 비닐하우스 문을 열고 닫는 개폐기 시스템으로, 중요정보가 유노출되거나 큰 문제가 될만한 소지는 없어 보인다”며 “스마트팜 자체가 외부 접속을 통한 편리성을 목적으로 하기 때문에 원격으로 외부 접속을 해야 한다”고 말했다.
보안 설정 가능 여부와 관련해 그는 “따로 보안 설정을 할 수 있는 장치 자체가 없기 때문에 현재로서는 비밀번호 변경만이 답”이라며 “해킹당한 해당 스마트 팜 농가는 어딘지 파악했으며, 초기에 설정된 비밀번호를 그대로 사용해 문제가 된 것으로 보인다”고 밝혔다. 이어 해당 농가에 이번 사실을 안내하고, 비밀번호 설정 변경 등을 공지하겠다고 덧붙였다.
B제조사 관계자는 “해킹된 시스템 장비는 단종된 모델로 현재 어떤 고객사가 얼마나 사용하고 있는지는 파악해 봐야 한다”며 “앞서 경찰이 왔다 갔고, 해당 해킹 이슈에 대해서는 전화를 많이 받아 잘 알고 있다”며 더 이상 밝히길 꺼려했다.
또 다른 친러시아 해커조직 앨리게이터 블랙햇(Alligator Black Hat)도 5일 오후 4시 28분경 난방 시스템 해킹 영상, 5일 저녁 7시 13분경 악취 포집 모니터링 시스템을 각각 원격 접속해 해킹한 동영상을 텔레그램에 공개했다.
▲HMI에서 주로 사용하는 원격 접속 서비스인 VNC가 외부에서 열려있는 것을 제트-펜테스트(Z-PENTEST) 해커조직이 접속해 해킹 흔적을 남겨놓은 정황 화면[사진=보안뉴스]
<보안뉴스> 취재 결과 이번에 해킹된 제조사 시스템은 모두 대만산 제품으로 모두 똑같은 원격제어 패드 모델로 파악됐다. 또한 해커가 VNC를 해킹한 정황도 포착됐으며, 해커는 한국 IP 대역의 5900번 포트를 스캔해 열려 있는 원격제어 시스템에 접속한 것으로 보인다. 특히 비밀번호가 없거나 초기에 설정된 비밀번호, 간단하거나 쉬운 비밀번호를 사용해 침투했을 것으로 추정된다.
리니어리티 한승연 대표는 “이번에 공격자가 공개한 정보를 보면, Windows PC에서 프로그램으로 실행되는 형태의 HMI도 포함되어 있었다”며, “이 경우 단순한 인터넷 스캔만으로는 제어 설비인지 판단하기 어려운데, 공격자가 어떻게 시스템을 식별했는지 의문”이라고 밝혔다. 이어 “제어 기능이 포함된 시스템의 경우 파급 효과가 매우 클 수 있어 인터넷 연결을 차단하거나 접근 IP를 제한하는 등의 기본적인 보호 조치가 매우 중요하다”고 강조했다.
이와 관련 국가안보실은 “어제인 7일 오후 대통령실에서 신용석 사이버안보비서관 주재로 국가정보원, 행정안전부, 과학기술정보통신부, 국방부, 금융위원회 등 유관기관 관계자들 참석 하에 긴급 상황점검회의를 개최했다”며 “이번 회의에서는 정부의 사이버침해 관련 대응상황과 향후 예상되는 사이버위협 및 대비태세를 점검했다”고 밝혔다.
신 비서관은 이번 회의를 통해 각 기관들에게 사이버공격 대비태세 강화와 사이버 공격 발생시 조치사항을 전파하며 신속 대응해 줄 것을 당부했다.
정부 관계자는 “일부 공공·민간 홈페이지를 대상으로 발생하고 있는 분산서비스거부(디도스) 공격에 적극 대응하고 있다”며 “우리나라에 대한 친 러시아 핵티비스트 그룹의 사이버공격은 이전에도 간헐적으로 있었으나, 북한의 러시아 파병 및 우크라이나전 참전 이후 공격이 빈번해지고 있다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>