OT 사건이 지난 한 해 그렇게까지 크게 증가하지 않았다. 랜섬웨어 공격자들이 본격적으로 참전하지 않았기 때문이다. 하지만 그들이 언제까지 가만히 있지는 않을 것이다.
[보안뉴스=앤드류 긴터 부회장, Waterfall Security Solutions] 보안 업체 워터폴시큐리티솔루션즈(Waterfall Security Solutions)는 최근 ‘2024년 위협 보고서(2024 Threat Report)’를 발표했다. 이에 의하면 2023년 한 해 동안 총 68건의 사이버 공격으로 인해 500개 이상의 ‘물리적인 사업 활동’이 중단됐다고 한다. 그런데 이는 2022년에 비해 ‘겨우’ 19% 오른 것이다. 나쁜 소식이면서 동시에 좋은 소식인 것이다. 무슨 일이 있었을까?
[이미지 = gettyimagesbank]
일단 물리적 사업 활동에 영향을 주는 랜섬웨어 공격이 조금 줄어들었다. 물리적 사업 활동에 영향을 주는 핵티비스트들의 활동들은 늘어나지 않았다. 그러나 나머지 모든 유형의 사이버 공격은 증가했다. 위협 보고서의 저자들은 위에서 언급된 19%의 증가를 두고 “예외적인 현상”이라고 결론을 내렸다. 2024년에는 90~100% 증가해도 이상하지 않은 게 큰 흐름에서는 맞다는 것이다.
참고로 워터폴의 보고서는 OT 시스템들 중에서도 건물 자동화, 중공업, 제조업, 사회 기반 시설에 설치되어 있는 것들만 조사해 나온 것이다. 그것도 이미 대중에게 공개된 사건들의 데이터만 수집했다고 한다. 공개되지 않은 사건은 집계 대상이 아니었다는 것이다. 따라서 모든 OT의 상황을 반영한다고 말하기는 힘들다. 이는 보고서 작성자들도 인정하는 내용이다.
증가하는 공격, 줄어드는 랜섬웨어?
그럼에도 이 보고서가 의미를 갖는 건, 전체적으로 OT 공격이 증가하고 있다는 커다란 흐름에서는 벗어나지 않고 있기 때문이다. 2010년부터 2019년 사이 기간에는 OT를 겨냥한 공격은 거의 아무런 변화를 보이지 않았다. 작년이나 올해나 내년이나 거기서 거기였다. 정확히 숫자로 말하자면, 매년 0회에서 5회 사이에서 왔다갔다 하는 수준이었다. 하지만 2019년 이후부터 OT 공격은 매년 빠르게 증가하고 있다.
OT 공격이라고 하는데, 정확히 어떤 공격이 OT 공격인가? 68건 중 24건은 ‘모른다’이다. 공개된 정보가 너무 부족해서 무슨 일이 벌어진 것인지 파악하기가 어려웠다. 정보가 충분했던 나머지 사건 중 35건(80%)은 랜섬웨어 공격이었다. 6건(14%)은 핵티비스트가 연루된 사건이었다. 2건은 공급망 공격으로 인해 벌어졌고, 1건은 APT 조직이 배후에 있었다. 2022년의 경우 랜섬웨어 공격이 OT 망에 영향을 준 건 41건이었다. 즉 줄어들었다는 것이다. 여기에는 여러 가지 이유가 있을 수 있는데, 2023년 한 해 동안 공개된 보고서가 충실하지 않은 편이었다는 것도 작용하는 것으로 여겨진다.
왜?
보고서의 문제가 아니었다고 하더라도 랜섬웨어 공격이 줄어들었다는 것이 이해가 안 가는 건 아니다. OT에 영향을 준 랜섬웨어 공격은 대부분 ‘사고로’ 벌어졌었기 때문이다. 2022년의 41건 중 대다수는 랜섬웨어 공격자들이 의도치 않게 OT에 피해를 준 것이었고, 2023년의 35건도 마찬가지였다. 우연한 사고가 꾸준히 늘어나는 패턴을 보이지 않는다 해도 이상할 것은 없다.
여기에다가 랜섬웨어 공격자들의 전략이 바뀌고 있다는 것도 고려해야 한다. 요즘 랜섬웨어 공격자들은 데이터를 암호화 하면서 동시에 외부로 빼돌린다. 그래서 이 데이터를 공개한다고 협박한다. OT 시스템에 있는 정보들의 경우, 이를 활용(혹은 악용)할 수 있는 사람이 그리 많지 않다. 적어도 개인정보를 활용(혹은 악용)할 수 있는 사람보다 적다. 랜섬웨어 공격자들이 OT를 공략해서 얻어갈 것이, IT 시스템을 공략해서 얻어갈 것보다 많다고 하기 힘들다. 랜섬웨어 공격자들이 OT에 큰 관심을 갖지 않는다 하더라도 이해하지 못할 건 없다는 것이다.
2024년에도 비슷한 분위기가 이어질 것으로 예상된다. 랜섬웨어 공격자들이 올해라고 해서 OT에 특별한 관심을 갖게 되는 일이 발생할 가능성은 낮아 보인다는 것이다. 다만 OT 생태계를 겨냥한 사이버 공격 자체는 지난 1~2년의 흐름과 마찬가지로 증가할 것이 거의 분명하다. 특히 사이버전의 일환으로 APT 조직들이 적국의 사회 기반 시설의 OT 시스템을 노리는 행위는 증가할 확률이 높다. 지정학적인 요인들이 위기 상황을 악화시키고 있기 때문이다.
그래서...
OT를 노리는 새로운 기법들도 계속해서 등장할 것으로 예상된다. 이번 보고서만 하더라도 GPS 차단 및 스푸핑이 점점 보편화되고 있다는 내용이 등장한다. 제조사들의 OT 환경이 점점 더 많은 사이버 공격에 노출되고 있다는 우려도 지적되고 있다. 즉 OT를 노릴 만한 이유도 늘어나고, OT를 노릴 기술도 많아지고 있다는 소리가 된다. 여기에 랜섬웨어 공격자들이 OT를 본격적으로 노리기 시작한다면 더 심각한 상황이 발생할 수 있다. 그리고 그렇게 된다면 사회적 파급력이 어마어마할 것이다.
OT의 상황은 절대로 안심할 수가 없다. 지난 해 ‘겨우 19% 증가’라는 것이 너무나 다행인 상황이긴 한데, 그것은 ‘OT가 위험하다’는 커다란 트렌드를 역행시키기에는 충분치 않다. 오히려 비정상적인 현상에 더 가까워 보인다. 랜섬웨어 공격자들이 아직 OT에 관심을 갖지 않는 이 시기가 우리에게 주어진 적기일 지도 모른다. OT를 방어하기 위한 효과적인 방안을 지금, 여유가 있을 때 마련해야 할 것이다.
글 : 앤드류 긴터(Andrew Ginter), 부회장, Waterfall Security Solutions
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=앤드류 긴터 부회장, Waterfall Security Solutions] 보안 업체 워터폴시큐리티솔루션즈(Waterfall Security Solutions)는 최근 ‘2024년 위협 보고서(2024 Threat Report)’를 발표했다. 이에 의하면 2023년 한 해 동안 총 68건의 사이버 공격으로 인해 500개 이상의 ‘물리적인 사업 활동’이 중단됐다고 한다. 그런데 이는 2022년에 비해 ‘겨우’ 19% 오른 것이다. 나쁜 소식이면서 동시에 좋은 소식인 것이다. 무슨 일이 있었을까?
[이미지 = gettyimagesbank]
일단 물리적 사업 활동에 영향을 주는 랜섬웨어 공격이 조금 줄어들었다. 물리적 사업 활동에 영향을 주는 핵티비스트들의 활동들은 늘어나지 않았다. 그러나 나머지 모든 유형의 사이버 공격은 증가했다. 위협 보고서의 저자들은 위에서 언급된 19%의 증가를 두고 “예외적인 현상”이라고 결론을 내렸다. 2024년에는 90~100% 증가해도 이상하지 않은 게 큰 흐름에서는 맞다는 것이다.
참고로 워터폴의 보고서는 OT 시스템들 중에서도 건물 자동화, 중공업, 제조업, 사회 기반 시설에 설치되어 있는 것들만 조사해 나온 것이다. 그것도 이미 대중에게 공개된 사건들의 데이터만 수집했다고 한다. 공개되지 않은 사건은 집계 대상이 아니었다는 것이다. 따라서 모든 OT의 상황을 반영한다고 말하기는 힘들다. 이는 보고서 작성자들도 인정하는 내용이다.
증가하는 공격, 줄어드는 랜섬웨어?
그럼에도 이 보고서가 의미를 갖는 건, 전체적으로 OT 공격이 증가하고 있다는 커다란 흐름에서는 벗어나지 않고 있기 때문이다. 2010년부터 2019년 사이 기간에는 OT를 겨냥한 공격은 거의 아무런 변화를 보이지 않았다. 작년이나 올해나 내년이나 거기서 거기였다. 정확히 숫자로 말하자면, 매년 0회에서 5회 사이에서 왔다갔다 하는 수준이었다. 하지만 2019년 이후부터 OT 공격은 매년 빠르게 증가하고 있다.
OT 공격이라고 하는데, 정확히 어떤 공격이 OT 공격인가? 68건 중 24건은 ‘모른다’이다. 공개된 정보가 너무 부족해서 무슨 일이 벌어진 것인지 파악하기가 어려웠다. 정보가 충분했던 나머지 사건 중 35건(80%)은 랜섬웨어 공격이었다. 6건(14%)은 핵티비스트가 연루된 사건이었다. 2건은 공급망 공격으로 인해 벌어졌고, 1건은 APT 조직이 배후에 있었다. 2022년의 경우 랜섬웨어 공격이 OT 망에 영향을 준 건 41건이었다. 즉 줄어들었다는 것이다. 여기에는 여러 가지 이유가 있을 수 있는데, 2023년 한 해 동안 공개된 보고서가 충실하지 않은 편이었다는 것도 작용하는 것으로 여겨진다.
왜?
보고서의 문제가 아니었다고 하더라도 랜섬웨어 공격이 줄어들었다는 것이 이해가 안 가는 건 아니다. OT에 영향을 준 랜섬웨어 공격은 대부분 ‘사고로’ 벌어졌었기 때문이다. 2022년의 41건 중 대다수는 랜섬웨어 공격자들이 의도치 않게 OT에 피해를 준 것이었고, 2023년의 35건도 마찬가지였다. 우연한 사고가 꾸준히 늘어나는 패턴을 보이지 않는다 해도 이상할 것은 없다.
여기에다가 랜섬웨어 공격자들의 전략이 바뀌고 있다는 것도 고려해야 한다. 요즘 랜섬웨어 공격자들은 데이터를 암호화 하면서 동시에 외부로 빼돌린다. 그래서 이 데이터를 공개한다고 협박한다. OT 시스템에 있는 정보들의 경우, 이를 활용(혹은 악용)할 수 있는 사람이 그리 많지 않다. 적어도 개인정보를 활용(혹은 악용)할 수 있는 사람보다 적다. 랜섬웨어 공격자들이 OT를 공략해서 얻어갈 것이, IT 시스템을 공략해서 얻어갈 것보다 많다고 하기 힘들다. 랜섬웨어 공격자들이 OT에 큰 관심을 갖지 않는다 하더라도 이해하지 못할 건 없다는 것이다.
2024년에도 비슷한 분위기가 이어질 것으로 예상된다. 랜섬웨어 공격자들이 올해라고 해서 OT에 특별한 관심을 갖게 되는 일이 발생할 가능성은 낮아 보인다는 것이다. 다만 OT 생태계를 겨냥한 사이버 공격 자체는 지난 1~2년의 흐름과 마찬가지로 증가할 것이 거의 분명하다. 특히 사이버전의 일환으로 APT 조직들이 적국의 사회 기반 시설의 OT 시스템을 노리는 행위는 증가할 확률이 높다. 지정학적인 요인들이 위기 상황을 악화시키고 있기 때문이다.
그래서...
OT를 노리는 새로운 기법들도 계속해서 등장할 것으로 예상된다. 이번 보고서만 하더라도 GPS 차단 및 스푸핑이 점점 보편화되고 있다는 내용이 등장한다. 제조사들의 OT 환경이 점점 더 많은 사이버 공격에 노출되고 있다는 우려도 지적되고 있다. 즉 OT를 노릴 만한 이유도 늘어나고, OT를 노릴 기술도 많아지고 있다는 소리가 된다. 여기에 랜섬웨어 공격자들이 OT를 본격적으로 노리기 시작한다면 더 심각한 상황이 발생할 수 있다. 그리고 그렇게 된다면 사회적 파급력이 어마어마할 것이다.
OT의 상황은 절대로 안심할 수가 없다. 지난 해 ‘겨우 19% 증가’라는 것이 너무나 다행인 상황이긴 한데, 그것은 ‘OT가 위험하다’는 커다란 트렌드를 역행시키기에는 충분치 않다. 오히려 비정상적인 현상에 더 가까워 보인다. 랜섬웨어 공격자들이 아직 OT에 관심을 갖지 않는 이 시기가 우리에게 주어진 적기일 지도 모른다. OT를 방어하기 위한 효과적인 방안을 지금, 여유가 있을 때 마련해야 할 것이다.
글 : 앤드류 긴터(Andrew Ginter), 부회장, Waterfall Security Solutions
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
