카스퍼스키랩, ‘Kaspersky ICS CERT’ 사이트에서 ICS 보안위협 연구결과 공유
한국 ICS 시스템의 31.54%에서도 멀웨어 감지... 제13회 CPS 보안 워크숍에서 발표
[보안뉴스 원병철 기자] 2023년 1월부터 현재까지, 전 세계 ICS(Industrial Control System, 산업 제어 시스템)의 35.10%가 멀웨어의 공격을 받은 것으로 확인돼 주의가 요구된다. 카스퍼스키랩의 강민석 기술이사는 지난 10월 12~13일 열린 ‘제13회 CPS 보안 워크숍’에 참가해 이와 같은 내용을 발표했다.
[이미지=gettyimagesbank]
카스퍼스키랩이 운영하는 ‘Kaspersky ICS CERT’ 사이트는 ICS와 IIoT를 대상으로 현존하는 위협과 잠재적 위협을 연구하고 결과를 공유한다. 특히 이 연구결과는 계속 업데이트되기 때문에 발표 이후 및 기사가 나간 이후에 세부 결과가 바뀔 수 있다.
2023년 10월 기준, 한국은 ICS 시스템의 31.54%에서 멀웨어가 감지됐다. 이 수치는 동아시아에서 다섯 번째이며, 가장 멀웨어가 많이 감지된 곳은 바로 중국(40.55%)이다. 이어 몽골(39.04%), 대만(34.58%), 마카오(31.73%)이며, 한국 밑으로는 홍콩(26%)과 일본(17.36%)이 존재한다.
전 세계 ICS 위협 동향을 보면, 2023년 상반기 기준 전체 ICS 시스템 중 33.12%에서 악성코드가 탐지되고 있다. 분기별 통계를 보면 평균 25.68%이며, 상반기 월평균은 15.48%이다. 이는 2022년 하반기의 15.25%에서 0.23% 증가한 수치다. 또한 월 15.48% 중 5.67%는 새로 감염된 시스템이며, 9.81%는 기존에 감염된 이력이 있는 시스템이 중복으로 감염된 수치다.
즉, OT망 전체 시스템 중 약 1/3의 시스템에서 악성코드가 탐지되고 있고, 이중 약 10%의 시스템은 계속 중복으로 감염되고 있다는 설명이다. 이는 악성코드에 감염된 시스템에서 악성코드를 제거하는 것이 방어에 효과적이지 않다는 것을 반증한다. 카스퍼스키랩은 10% 정도의 시스템이 계속적으로 중복 감염된다는 것은 구조적인 위험에 노출되어 있다는 것을 의미하며, 시스템적인 방어망 구축을 고려해야 하는 이유라고 강조했다.
ICT 멀웨어 패밀리, 2023년 상반기 급격하게 증가
그렇다면 공격에 사용된 악성코드는 어떤 것들이 있을까? 공격의 종류는 악성 스크립트(12.7%)가 가장 많았으며, 차단된 인터넷 연결 시도(11.3%), 스파이웨어(백도어, 트로이목마, 키로거 등, 6.1%), 감염된 문서(4.0%), 랜섬웨어(0.32%) 등이 있었다.
눈에 띄게 증가한 위협은 멀웨어의 인터넷 연결 시도(11.3%)다. 이 공격은 이미 배포된 스크립트와 트로이 목마, 백도어, 키로거 등이 공격자의 C&C 서버로 접속을 시도해 내부 시스템의 정보 전송과 공격자의 명령 수신 등이 목적이다.
강민석 기술이사는 “가장 많은 포션을 차지한 악성 스크립트와 스파이웨어는 같이 주목해야 한다. 악성 스크립트는 APT 공격의 전단계로, 파일이 존재하지 않고 스크립트만 있기 때문에 기존 안티 바이러스 소프트웨어로는 탐지가 어렵다. 이렇게 감염된 시스템이 인터넷과 연결된다면, 위협은 바로 위험으로 바뀔 것이다”라고 강조했다.
2023년 상반기 또 주목할 점은 ICS 멀웨어 패밀리의 급격한 증가다. 2021년에 약 5,200개의 멀웨어 패밀리가 탐지됐고, 2022년에는 7,500개의 멀웨어 패밀리가 탐지됐는데, 2023년 상반기는 벌써 1만 1,727개의 서로다른 멀웨어 패밀리가 탐지됐다.
이는 두 가지 측면으로 볼 수 있는데, 첫 번째는 전통적인 ‘Crimeware’에서 APT 공격으로 변화를 사고하면서 다양한 공격의 툴들이 사용되고 있다는 점이다. 특히 한번의 공격 캠페인에서 더욱 다양한 공격 툴을 사용한다. 두 번째는 IIoT, Connected Device, Big Data, 5G, AI, Smart Factory 등 OT망과 IT망의 연결의 접점이 넓어지며, IT의 다양한 위협이 OT망까지 확대된다고 볼 수 있다.
한편, 한국에서의 ICS 위협을 살펴보면, 스파이웨어와 트로이 목마, 백도어가 4.5% 탐지됐는데, 이는 승인받지 않은 원격접속과 계정 유출, 또는 랜섬웨어와 같은 다음 단계의 Playload 전송을 위해 사용된다. 또한 최초 공격의 도구로 사용되는 위협인 멀웨어 스크립트가 7.4%. 악성 스크립트가 포함된 감염된 MS 오피스와 PDF 문서가 1.5% 탐지됐다. 이렇게 최초의 공격에 사용되는 위협이 OT망에서 탐지되고 있다는 것은 현재 보안체계로는 타깃 공격이 단말까지 도달하는 것을 방어하는 것이 효과적이지 않다는 반증이라고 강민석 기술이사는 설명했다.
[원병철 기자(boanone@boannews.com)]
한국 ICS 시스템의 31.54%에서도 멀웨어 감지... 제13회 CPS 보안 워크숍에서 발표
[보안뉴스 원병철 기자] 2023년 1월부터 현재까지, 전 세계 ICS(Industrial Control System, 산업 제어 시스템)의 35.10%가 멀웨어의 공격을 받은 것으로 확인돼 주의가 요구된다. 카스퍼스키랩의 강민석 기술이사는 지난 10월 12~13일 열린 ‘제13회 CPS 보안 워크숍’에 참가해 이와 같은 내용을 발표했다.
[이미지=gettyimagesbank]
카스퍼스키랩이 운영하는 ‘Kaspersky ICS CERT’ 사이트는 ICS와 IIoT를 대상으로 현존하는 위협과 잠재적 위협을 연구하고 결과를 공유한다. 특히 이 연구결과는 계속 업데이트되기 때문에 발표 이후 및 기사가 나간 이후에 세부 결과가 바뀔 수 있다.
2023년 10월 기준, 한국은 ICS 시스템의 31.54%에서 멀웨어가 감지됐다. 이 수치는 동아시아에서 다섯 번째이며, 가장 멀웨어가 많이 감지된 곳은 바로 중국(40.55%)이다. 이어 몽골(39.04%), 대만(34.58%), 마카오(31.73%)이며, 한국 밑으로는 홍콩(26%)과 일본(17.36%)이 존재한다.
전 세계 ICS 위협 동향을 보면, 2023년 상반기 기준 전체 ICS 시스템 중 33.12%에서 악성코드가 탐지되고 있다. 분기별 통계를 보면 평균 25.68%이며, 상반기 월평균은 15.48%이다. 이는 2022년 하반기의 15.25%에서 0.23% 증가한 수치다. 또한 월 15.48% 중 5.67%는 새로 감염된 시스템이며, 9.81%는 기존에 감염된 이력이 있는 시스템이 중복으로 감염된 수치다.
즉, OT망 전체 시스템 중 약 1/3의 시스템에서 악성코드가 탐지되고 있고, 이중 약 10%의 시스템은 계속 중복으로 감염되고 있다는 설명이다. 이는 악성코드에 감염된 시스템에서 악성코드를 제거하는 것이 방어에 효과적이지 않다는 것을 반증한다. 카스퍼스키랩은 10% 정도의 시스템이 계속적으로 중복 감염된다는 것은 구조적인 위험에 노출되어 있다는 것을 의미하며, 시스템적인 방어망 구축을 고려해야 하는 이유라고 강조했다.
ICT 멀웨어 패밀리, 2023년 상반기 급격하게 증가
그렇다면 공격에 사용된 악성코드는 어떤 것들이 있을까? 공격의 종류는 악성 스크립트(12.7%)가 가장 많았으며, 차단된 인터넷 연결 시도(11.3%), 스파이웨어(백도어, 트로이목마, 키로거 등, 6.1%), 감염된 문서(4.0%), 랜섬웨어(0.32%) 등이 있었다.
눈에 띄게 증가한 위협은 멀웨어의 인터넷 연결 시도(11.3%)다. 이 공격은 이미 배포된 스크립트와 트로이 목마, 백도어, 키로거 등이 공격자의 C&C 서버로 접속을 시도해 내부 시스템의 정보 전송과 공격자의 명령 수신 등이 목적이다.
강민석 기술이사는 “가장 많은 포션을 차지한 악성 스크립트와 스파이웨어는 같이 주목해야 한다. 악성 스크립트는 APT 공격의 전단계로, 파일이 존재하지 않고 스크립트만 있기 때문에 기존 안티 바이러스 소프트웨어로는 탐지가 어렵다. 이렇게 감염된 시스템이 인터넷과 연결된다면, 위협은 바로 위험으로 바뀔 것이다”라고 강조했다.
2023년 상반기 또 주목할 점은 ICS 멀웨어 패밀리의 급격한 증가다. 2021년에 약 5,200개의 멀웨어 패밀리가 탐지됐고, 2022년에는 7,500개의 멀웨어 패밀리가 탐지됐는데, 2023년 상반기는 벌써 1만 1,727개의 서로다른 멀웨어 패밀리가 탐지됐다.
이는 두 가지 측면으로 볼 수 있는데, 첫 번째는 전통적인 ‘Crimeware’에서 APT 공격으로 변화를 사고하면서 다양한 공격의 툴들이 사용되고 있다는 점이다. 특히 한번의 공격 캠페인에서 더욱 다양한 공격 툴을 사용한다. 두 번째는 IIoT, Connected Device, Big Data, 5G, AI, Smart Factory 등 OT망과 IT망의 연결의 접점이 넓어지며, IT의 다양한 위협이 OT망까지 확대된다고 볼 수 있다.
한편, 한국에서의 ICS 위협을 살펴보면, 스파이웨어와 트로이 목마, 백도어가 4.5% 탐지됐는데, 이는 승인받지 않은 원격접속과 계정 유출, 또는 랜섬웨어와 같은 다음 단계의 Playload 전송을 위해 사용된다. 또한 최초 공격의 도구로 사용되는 위협인 멀웨어 스크립트가 7.4%. 악성 스크립트가 포함된 감염된 MS 오피스와 PDF 문서가 1.5% 탐지됐다. 이렇게 최초의 공격에 사용되는 위협이 OT망에서 탐지되고 있다는 것은 현재 보안체계로는 타깃 공격이 단말까지 도달하는 것을 방어하는 것이 효과적이지 않다는 반증이라고 강민석 기술이사는 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)