.jpg)
사회기반시설 만큼 노리기에 알맞은 표적도 없다. 공격하기도 쉬울 뿐더러, 공격의 효과도 엄청나기 때문이다. 하지만 이 문제를 해결하는 게 쉬운 일이 아니다. 기반 시설이라는 것 자체가 보호하기에 까다로운 대상이기 때문이다.
[보안뉴스= 조아오 피에르 루스 IT 칼럼니스트] 사이버 공격자들이 점점 ‘실존하는 것들’을 공격하기 시작했다. 요 몇 년 사이에는 식수와 관련된 인프라를 공략하는 횟수가 늘어나고 있는데, 그런 사건이 얼마 전 미국 텍사스에서 다시 한 번 벌어졌다. 이 공격의 배후에는 러시아의 해킹 조직인 샌드웜(Sandworm)이 있는 것으로 분석됐다. 샌드웜은 APT44라고도 불리는 단체다.
[이미지 = gettyimagesbank]
사실 이번 공격에서 샌드웜이 전면에 나선 것은 아니다. 사이버아미오브러시아리본(CyberArmyofRussia_Reborn)이라는 해킹 단체가 오히려 연관되어 있는 것으로 보인다. 이 긴 이름을 가진 해킹 단체를 두고 구글 맨디언트(Google Mandiant)는 “폴란드와 미국, 프랑스 내 일부 식수 시스템들에 있는 제어 시스템과 OT를 조작하는 데 성공한 조직”이라고 설명한다. 즉 미국 텍사스 수도 시스템 이전부터 다른 지역의 식수 인프라를 공략해왔던 그룹이라는 것이다.
사이버아미오브러시아리본이든 샌드웜이든, 혹은 다른 누구든, 공격자의 목표는 돈이 아니다. 지정학적인 목적을 가지고 서로에게 적으로 간주되는 지역과 나라를 흔드는 것이다. 사이버 냉전시대는 이미 한창 진행 중에 있다.
이런 상황에서 ‘우리는 괜찮아’라고 안심할 수 있는 조직은 어디에도 없다. 아메리칸워터웍스어소시에이션(American Water Works Association)의 관리자인 케빈 몰리(Kevin Morley)는 “작은 마을의 기반 시설이라고 하더라도 공격의 대상이 되기에 충분하다”고 경고한다. “지역 사회의 기반이 되는 시설이 마비되거나 고장나면, 그것 자체만으로도 그 국가와 사회에 공포감과 불신을 심어줄 수 있으니까요. 반드시 대도시에서 문제를 일으켜야만 효과를 보는 게 아닙니다. 그래서 얼마 전 CISA와 FBI가 기반 시설을 노린 해킹 공격 시도가 급증하고 있다고 발표한 것이기도 하지요.”
또한 몰리는 “오히려 작은 동네의 인프라가 더 좋은 공격 표적”이라고까지 말한다. “시골 소규모 마을의 급수 시설은 공격 난이도가 무척 낮거든요. 실제 영향을 받는 사람은 적더라도, 어쨌든 국가 인프라 중 일부를 공격했다는 사실 자체는 변하지 않기도 하고요. 파장을 일으킬 가능성은 높은데, 그 공격 난이도는 높지 않으니 공격자들이 선호할 만합니다.”
보안 강화의 이유는 끝도 없이 많아
보안 업체 엔도랩스(Endor Labs)의 수석 보안 고문인 크리스 휴즈(Chris Hughes)는 “사회 기반 시설이 위험하다는 걸 지금쯤 모두가 알고 있지만 방어가 쉬워지는 건 아니”라고 말한다. “미국의 사회 기반 시설들은 공공 시설로 분류되긴 하지만 실제 관리자들은 대부분 사기업들입니다. 그러므로 국가 권력이 미칠 수 있는 영향력에 한계가 있습니다. 정부가 나서서 보안 강화를 설득할 수는 있어도 강제할 수는 없다는 것이죠. 자율에 맡기고 있다는 건데, 그러니 이런 시설들의 보안은 강화되지 않고 있습니다.”
보안 강화에 실질적으로 나선다고 해도 문제가 있다. 기반 시설을 구성하는 장비나 시스템들이 너무나 구식이라는 것이다. “OT 환경에서 수십 년 동안 사용된 장비들을 찾는 건 일도 아닙니다. 단 몇 년 사용된 거라고 하면 새 것이나 다름 없는 취급을 받을 정도입니다. 이런 장비들을 현대화 된 개념으로 분석하고, 취약점을 찾아 고치는 건 간단한 일이 아닙니다. 오히려 불가능 쪽에 더 가까울 겁니다. 그렇다고 현대의 취약점이 없느냐 하면 그건 또 아닙니다. 약점은 약점대로 충분히 가지고 있는데 해결이 쉽지 않은 상황이라고 볼 수 있습니다.”
해결되지 않는 ‘비용 문제’
사회 기반 시설들을 업그레이드 하는 건 꽤나 많은 비용을 들여야 한다는 뜻이 되기도 한다. “그래서 민간인 운영자들에게 보안 강화를 독촉할 수 없는 겁니다. 돈이 관여되어 있으니까요. 작은 마을의 시설 담당 기업의 경우, 대부분 예산이 불충분합니다. 보안 강화는 우선순위에서 한참 뒤로 밀릴 수밖에 없죠. 그러니 이들을 해킹하는 게 쉬워지기도 합니다. 악순환인 것이죠.” 휴즈의 설명이다. “그래서 민관 협조 체계로 일이 진행되어야 합니다. 국가적으로 인프라 강화는 꼭 필요한 일인데 설득만으로는 해결되지 않으니까요. 결국 정부가 지원을 해줘야 하는 일입니다.”
보안 업체 블루미라(Blumira)의 CTO인 맷 워너(Matt Warner)는 “각 지역의 지방 자치 단체들이 특히 예산의 어려움을 겪고 있다”고 말한다. “시청 등이 의외로 보안에 투자할 여력이 되지 않습니다. 각 지역마다 중점적으로 이뤄지는 사업을 급선무로 처리하다보면 보안 강화에 쓸 돈이 남아나질 않지요. 벌써 수년 동안 보안 업계가 경고해오고 있는 현상인데, 아직까지도 의미 있는 개선이 이뤄지지 않고 있습니다. 앞으로도 반복될 것이 뻔해 보입니다.
하지만 공격에 한 번 당하기 시작하면 돈이 크게 들어간다. 예산을 일부 떼어내 미리 보안에 투자했다면 훨씬 적은 돈이 들어갈 수 있지만, 대부분 그렇게 하지 않는다. 공격에 당한 후에야 새롭게 결심하는 게 대부분이다. “최근 랜섬웨어 공격자들이 OT 시스템들을 공략하기 시작했다는 걸 알아야 합니다. 이들은 순수히 돈을 얻기 위해 공격을 실시하죠. 그러므로 피해가 커질 수밖에 없습니다. 물론 이들은 40년 된 OT 기계들을 공략하지는 않습니다. 다만 그 기계들로부터 출발해 핵심 시스템들을 공격하지요.”
그렇다는 건 수도 시스템 그 자체가 공격 표적이 아닐 수도 있다는 뜻이 된다. 워너는 “수도 공급을 마비시키기 위한 공격이 있을 수도 있지만, 다른 시스템으로 파고 들어가기 위해 수도 시스템부터 공략하는 전략도 있을 수 있습니다. 이러나 저러나 수도 인프라를 공략하려는 시도가 늘어나게 된다는 뜻입니다.” 하지만 이는 이론상의 이야기이고, 현재까지는 수도 공급에 직접적인 차질을 빚기 위한 공격이 전부였다. 그럼에도 ‘수도 시스템을 통해 다른 시스템을 공격한다’는 시나리오는 여전히 위협적이다.
랜섬웨어 공격 외
이번 APT44의 공격은 랜섬웨어 공격자들의 그것보다 좀 더 ‘악의적’이다. 몰리에 의하면 “피해를 입히기 위한 공격이었기 때문”이다. “스스로 돈을 얻기 위한 것이 아니었습니다. 자기들의 이익을 돌아보지 않은, 말 그대로 공격을 위한 공격이었던 것이죠. 그런 종류의 공격이 가장 큰 피해를 일으킵니다. 이런 의도로 APT44가 전력망과 의료 시스템을 공격할 수 있다는 것도 알아두어야 합니다.”
APT44만 이런 공격을 실시하는 것도 아니다. 지난 12월 CISA는 보안 경고문을 통해 사이버어벤저스(CyberAv3ngers)라는 해킹 단체가 미국 등 여러 나라의 수도 공급 시설에서 사용되는 PLC 시스템들을 공격하고 있다고 밝힌 바 있다. 사이버어벤저스는 이란과 관련이 있는 단체로 알려져 있고, 광범위한 지역을 공격하고 있었다. 몰리는 “이들은 당시 이스라엘을 비판하기 위해 그러한 공격을 실시했다”고 설명한다. 지정학적인 목적을 가진 공격으로, 공격자 자신들의 수익과 전혀 상관이 없는 행위였다는 뜻이다.
어떻게 방어해야 할까
몰리는 “이러한 공격이 증가함에 따라 시설 관리 기업들의 경계심이 증가하고 있다”고 설명한다. “보안이 중요하다는 건 모두가 알고 있었습니다. 하지만 더 중요한 게 많았죠. 지금은 보안이 열 손가락 안에 들어갑니다. 아니, 오히려 첫 손에 꼽히는 경우가 많습니다. 그런 기업들의 임원진들이 보안을 이야기 하는 횟수가 늘어나고 있습니다.”
하지만 아는 것과 움직이는 것은 다른 이야기다. 보안이 중요하긴 한데 어디서부터 뭘 해야 할지를 모르는 경우들이 너무 많다고 몰리는 설명한다. “보안에 대해 무지해서 그런 게 아닙니다. 인프라라는 영역이 너무나 광범위하기 때문입니다. 수도 시스템만 하더라도 온 마을 전체 곳곳에 뻗쳐 있고, 수도 없이 많은 사람들이 영향을 받습니다. 학교에 들어가기도 하고, 가정집에 들어가기도 하고요. 그런 상황에 따라 일일이 다르게 관리해야 하는데, 이걸 척척 해낸다는 게 쉽지 않죠. 돈도 많이 들고요. 지자체로서는 감당 안 되는 게 당연합니다.”
몰리는 사회 기반 시설 보안 만큼은 국가가 나서서 적극 지원해야 한다는 입장이다. “누가 어디서 예산을 끌어와야 맞는 것인지에 대한 이야기가 아닙니다. 정부가 나서서 돈을 써야 실질적인 향상이 일어날 것이라는 뜻입니다. 그게 지금으로서는 유일한 ‘실제적’ 해결책이라는 것이죠. 돈 없는 지자체들과 민간 시설들을 ‘독려’해봐야 얻어갈 게 아무 것도 없습니다. 아무리 보안 교육을 해도 소용이 없어요. 실질적인 계기가 필요합니다.”
글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스= 조아오 피에르 루스 IT 칼럼니스트] 사이버 공격자들이 점점 ‘실존하는 것들’을 공격하기 시작했다. 요 몇 년 사이에는 식수와 관련된 인프라를 공략하는 횟수가 늘어나고 있는데, 그런 사건이 얼마 전 미국 텍사스에서 다시 한 번 벌어졌다. 이 공격의 배후에는 러시아의 해킹 조직인 샌드웜(Sandworm)이 있는 것으로 분석됐다. 샌드웜은 APT44라고도 불리는 단체다.
[이미지 = gettyimagesbank]
사실 이번 공격에서 샌드웜이 전면에 나선 것은 아니다. 사이버아미오브러시아리본(CyberArmyofRussia_Reborn)이라는 해킹 단체가 오히려 연관되어 있는 것으로 보인다. 이 긴 이름을 가진 해킹 단체를 두고 구글 맨디언트(Google Mandiant)는 “폴란드와 미국, 프랑스 내 일부 식수 시스템들에 있는 제어 시스템과 OT를 조작하는 데 성공한 조직”이라고 설명한다. 즉 미국 텍사스 수도 시스템 이전부터 다른 지역의 식수 인프라를 공략해왔던 그룹이라는 것이다.
사이버아미오브러시아리본이든 샌드웜이든, 혹은 다른 누구든, 공격자의 목표는 돈이 아니다. 지정학적인 목적을 가지고 서로에게 적으로 간주되는 지역과 나라를 흔드는 것이다. 사이버 냉전시대는 이미 한창 진행 중에 있다.
이런 상황에서 ‘우리는 괜찮아’라고 안심할 수 있는 조직은 어디에도 없다. 아메리칸워터웍스어소시에이션(American Water Works Association)의 관리자인 케빈 몰리(Kevin Morley)는 “작은 마을의 기반 시설이라고 하더라도 공격의 대상이 되기에 충분하다”고 경고한다. “지역 사회의 기반이 되는 시설이 마비되거나 고장나면, 그것 자체만으로도 그 국가와 사회에 공포감과 불신을 심어줄 수 있으니까요. 반드시 대도시에서 문제를 일으켜야만 효과를 보는 게 아닙니다. 그래서 얼마 전 CISA와 FBI가 기반 시설을 노린 해킹 공격 시도가 급증하고 있다고 발표한 것이기도 하지요.”
또한 몰리는 “오히려 작은 동네의 인프라가 더 좋은 공격 표적”이라고까지 말한다. “시골 소규모 마을의 급수 시설은 공격 난이도가 무척 낮거든요. 실제 영향을 받는 사람은 적더라도, 어쨌든 국가 인프라 중 일부를 공격했다는 사실 자체는 변하지 않기도 하고요. 파장을 일으킬 가능성은 높은데, 그 공격 난이도는 높지 않으니 공격자들이 선호할 만합니다.”
보안 강화의 이유는 끝도 없이 많아
보안 업체 엔도랩스(Endor Labs)의 수석 보안 고문인 크리스 휴즈(Chris Hughes)는 “사회 기반 시설이 위험하다는 걸 지금쯤 모두가 알고 있지만 방어가 쉬워지는 건 아니”라고 말한다. “미국의 사회 기반 시설들은 공공 시설로 분류되긴 하지만 실제 관리자들은 대부분 사기업들입니다. 그러므로 국가 권력이 미칠 수 있는 영향력에 한계가 있습니다. 정부가 나서서 보안 강화를 설득할 수는 있어도 강제할 수는 없다는 것이죠. 자율에 맡기고 있다는 건데, 그러니 이런 시설들의 보안은 강화되지 않고 있습니다.”
보안 강화에 실질적으로 나선다고 해도 문제가 있다. 기반 시설을 구성하는 장비나 시스템들이 너무나 구식이라는 것이다. “OT 환경에서 수십 년 동안 사용된 장비들을 찾는 건 일도 아닙니다. 단 몇 년 사용된 거라고 하면 새 것이나 다름 없는 취급을 받을 정도입니다. 이런 장비들을 현대화 된 개념으로 분석하고, 취약점을 찾아 고치는 건 간단한 일이 아닙니다. 오히려 불가능 쪽에 더 가까울 겁니다. 그렇다고 현대의 취약점이 없느냐 하면 그건 또 아닙니다. 약점은 약점대로 충분히 가지고 있는데 해결이 쉽지 않은 상황이라고 볼 수 있습니다.”
해결되지 않는 ‘비용 문제’
사회 기반 시설들을 업그레이드 하는 건 꽤나 많은 비용을 들여야 한다는 뜻이 되기도 한다. “그래서 민간인 운영자들에게 보안 강화를 독촉할 수 없는 겁니다. 돈이 관여되어 있으니까요. 작은 마을의 시설 담당 기업의 경우, 대부분 예산이 불충분합니다. 보안 강화는 우선순위에서 한참 뒤로 밀릴 수밖에 없죠. 그러니 이들을 해킹하는 게 쉬워지기도 합니다. 악순환인 것이죠.” 휴즈의 설명이다. “그래서 민관 협조 체계로 일이 진행되어야 합니다. 국가적으로 인프라 강화는 꼭 필요한 일인데 설득만으로는 해결되지 않으니까요. 결국 정부가 지원을 해줘야 하는 일입니다.”
보안 업체 블루미라(Blumira)의 CTO인 맷 워너(Matt Warner)는 “각 지역의 지방 자치 단체들이 특히 예산의 어려움을 겪고 있다”고 말한다. “시청 등이 의외로 보안에 투자할 여력이 되지 않습니다. 각 지역마다 중점적으로 이뤄지는 사업을 급선무로 처리하다보면 보안 강화에 쓸 돈이 남아나질 않지요. 벌써 수년 동안 보안 업계가 경고해오고 있는 현상인데, 아직까지도 의미 있는 개선이 이뤄지지 않고 있습니다. 앞으로도 반복될 것이 뻔해 보입니다.
하지만 공격에 한 번 당하기 시작하면 돈이 크게 들어간다. 예산을 일부 떼어내 미리 보안에 투자했다면 훨씬 적은 돈이 들어갈 수 있지만, 대부분 그렇게 하지 않는다. 공격에 당한 후에야 새롭게 결심하는 게 대부분이다. “최근 랜섬웨어 공격자들이 OT 시스템들을 공략하기 시작했다는 걸 알아야 합니다. 이들은 순수히 돈을 얻기 위해 공격을 실시하죠. 그러므로 피해가 커질 수밖에 없습니다. 물론 이들은 40년 된 OT 기계들을 공략하지는 않습니다. 다만 그 기계들로부터 출발해 핵심 시스템들을 공격하지요.”
그렇다는 건 수도 시스템 그 자체가 공격 표적이 아닐 수도 있다는 뜻이 된다. 워너는 “수도 공급을 마비시키기 위한 공격이 있을 수도 있지만, 다른 시스템으로 파고 들어가기 위해 수도 시스템부터 공략하는 전략도 있을 수 있습니다. 이러나 저러나 수도 인프라를 공략하려는 시도가 늘어나게 된다는 뜻입니다.” 하지만 이는 이론상의 이야기이고, 현재까지는 수도 공급에 직접적인 차질을 빚기 위한 공격이 전부였다. 그럼에도 ‘수도 시스템을 통해 다른 시스템을 공격한다’는 시나리오는 여전히 위협적이다.
랜섬웨어 공격 외
이번 APT44의 공격은 랜섬웨어 공격자들의 그것보다 좀 더 ‘악의적’이다. 몰리에 의하면 “피해를 입히기 위한 공격이었기 때문”이다. “스스로 돈을 얻기 위한 것이 아니었습니다. 자기들의 이익을 돌아보지 않은, 말 그대로 공격을 위한 공격이었던 것이죠. 그런 종류의 공격이 가장 큰 피해를 일으킵니다. 이런 의도로 APT44가 전력망과 의료 시스템을 공격할 수 있다는 것도 알아두어야 합니다.”
APT44만 이런 공격을 실시하는 것도 아니다. 지난 12월 CISA는 보안 경고문을 통해 사이버어벤저스(CyberAv3ngers)라는 해킹 단체가 미국 등 여러 나라의 수도 공급 시설에서 사용되는 PLC 시스템들을 공격하고 있다고 밝힌 바 있다. 사이버어벤저스는 이란과 관련이 있는 단체로 알려져 있고, 광범위한 지역을 공격하고 있었다. 몰리는 “이들은 당시 이스라엘을 비판하기 위해 그러한 공격을 실시했다”고 설명한다. 지정학적인 목적을 가진 공격으로, 공격자 자신들의 수익과 전혀 상관이 없는 행위였다는 뜻이다.
어떻게 방어해야 할까
몰리는 “이러한 공격이 증가함에 따라 시설 관리 기업들의 경계심이 증가하고 있다”고 설명한다. “보안이 중요하다는 건 모두가 알고 있었습니다. 하지만 더 중요한 게 많았죠. 지금은 보안이 열 손가락 안에 들어갑니다. 아니, 오히려 첫 손에 꼽히는 경우가 많습니다. 그런 기업들의 임원진들이 보안을 이야기 하는 횟수가 늘어나고 있습니다.”
하지만 아는 것과 움직이는 것은 다른 이야기다. 보안이 중요하긴 한데 어디서부터 뭘 해야 할지를 모르는 경우들이 너무 많다고 몰리는 설명한다. “보안에 대해 무지해서 그런 게 아닙니다. 인프라라는 영역이 너무나 광범위하기 때문입니다. 수도 시스템만 하더라도 온 마을 전체 곳곳에 뻗쳐 있고, 수도 없이 많은 사람들이 영향을 받습니다. 학교에 들어가기도 하고, 가정집에 들어가기도 하고요. 그런 상황에 따라 일일이 다르게 관리해야 하는데, 이걸 척척 해낸다는 게 쉽지 않죠. 돈도 많이 들고요. 지자체로서는 감당 안 되는 게 당연합니다.”
몰리는 사회 기반 시설 보안 만큼은 국가가 나서서 적극 지원해야 한다는 입장이다. “누가 어디서 예산을 끌어와야 맞는 것인지에 대한 이야기가 아닙니다. 정부가 나서서 돈을 써야 실질적인 향상이 일어날 것이라는 뜻입니다. 그게 지금으로서는 유일한 ‘실제적’ 해결책이라는 것이죠. 돈 없는 지자체들과 민간 시설들을 ‘독려’해봐야 얻어갈 게 아무 것도 없습니다. 아무리 보안 교육을 해도 소용이 없어요. 실질적인 계기가 필요합니다.”
글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
