[보안뉴스 문가용 기자] 미국 플로리다 주의 올즈마(Oldsmar)라는 작은 도시에서 충격적인 해킹 시도가 있었다. 원격에서 물 관리 시스템에 접근해 식수를 오염시키려던 것이 적발된 것이다. 다행히 원격 관리자가 제 때 조치를 취해 식수가 무사했기에 망정이지, 공격이 성공했다면 1만 5천 명이 넘는 시민들이 큰 피해를 입을 뻔했다.
[이미지 = utoimage]
IT 위험 관리 회사인 사이버세인트(CyberSaint)의 공동 창립자인 패드레익 오레일리(Padraic O┖Reilly)는 “공격의 수준이 높지도 않았는데 피해가 대단히 커져버렸을 가능성이 높았기에 이 사건은 꽤나 오랫동안 회자될 것”이라고 말한다. “누군가 재미로, 가벼운 장난처럼 이런 일을 했을 가능성도 높습니다. 반대로 국가가 지원하는 해커의 소행이었을 수도 있고요. 하지만 진짜 중요한 건 아주 쉽고 간단한 해킹 한 번으로 1만 명이 넘는 사람들의 건강과 생명이 위협을 받기 직전까지 갔다는 겁니다.”
또한 그는 사이버 공격자들이 “이미 검증된 공격 루트를 선호한다”는 특성도 지적했다. 즉 누군가 새로운 시스템이나 네트워크로 침입해 들어가는 길을 뚫어놓으면 그 뒤를 이어 줄줄이 공격이 이어지는 것이 일반적인 현상이라는 것이다. “예를 들어 2017년 멜트다운(Meltdown)과 스펙터(Spectre) 취약점이 발견된 이후 연구원들과 해커들 모두 2년 동안 그 두 가지를 연구하기 위해 많은 투자를 감행했던 적이 있습니다.” 이렇게 누군가 수질 관리 시스템에서 위험한 시도를 한 것이 신호가 되어, 연쇄적인 해킹 시도가 발생할 가능성이 높다는 것이다.
식수를 처리 및 관리하는 수도 사업 분야에서는 이미 이번 사건을 심상치 않은 전조로 인지하고 있다. 미국 수도 사업 분야 정보 공유 및 분석 센터인 WaterISAC의 관리자인 마이클 아르세노(Michael Arceneaux)는 “사이버 보안의 중요성이 지난 몇 년 동안 계속해서 강조되어 왔고, 발전과 향상이 없었던 건 아니지만 아직 갈 길이 멀다”고 말했다. “이번 공격이 모방될 가능성이 매우 높고, 지금은 100% 방어할 수 있다고 자신할 수 없습니다.”
지난 목요일 미국 국토안보부 산하 사이버 보안 담당 기관인 CISA는 이번 공격과 관련한 새로운 사실들을 발표했다. 여러 정부 기관들에서 사용되고 있는 데스크톱 공유용 소프트웨어와 오래된 운영체제를 겨냥해 익스플로잇 하려는 사이버 범죄자들의 시도가 최근 들어 지속적으로 목격되고 있다는 것이다. 여기서 말하는 소프트웨어는 팀뷰어(TeamViewer)와 마이크로소프트 RDP이고 오래된 운영체제는 윈도 7이다. 즉, 현재 윈도 7, 팀뷰어, MS RDP는 공격자들이 주로 노리는 요소들이라는 것이다.
“팀뷰어의 경우 사이버 공격자들이 원격에서 익스플로잇 함으로써 피해자의 컴퓨터 시스템에 특정 파일을 심을 수 있게 됩니다. 즉 일종의 원격 접근 도구(RAT)로 변하는 겁니다. 게다가 팀뷰어에서 발생하는 트래픽은 악성이든 아니든 관리자의 눈에 의심스럽게 보이지 않습니다. 공격자들 입장에서는 RAT를 사용하는 것보다 발각의 가능성이 낮다고 볼 수 있습니다.”
이번 올즈마 수도 사업부를 공격한 자들도 윈도 7과 팀뷰어를 익스플로잇 한 것으로 보인다고 FBI는 발표했다. 다만 공격자들이 관리자의 시선을 빼앗거나 눈을 가리는 방법을 몰랐던 것으로 보이며, 따라서 관리자가 제 때 조치를 취해 사고를 막을 수 있었다. “하지만 조금 더 실력이 좋은 공격자였다면 관리자의 개입을 충분히 막을 수 있었을 겁니다.” 보안 업체 도메인툴즈(DomainTools)의 수석 보안 연구원인 조 슬로빅(Joe Slowik)의 설명이다.
“만약 공격자들이 HMI 디스플레이 매개변수들이나 센서 데이터를 중간에서 가로채거나 조작했다면 당시의 관리자들이 이상한 점을 눈치 채지 못했을 겁니다. 심지어 공격자들은 관리자들이 멀쩡히 근무하고 있는 주중 낮 시간에 공격을 감행했죠. 마치 들키기를 바라고 한 공격처럼 말이죠. 아직 우리가 발견하지 못한 의도가 있거나, 아마추어 해커들이 가볍게 장난을 친 것이거나, 둘 중 하나죠. 하지만 이런 사회 기반 시설에 대한 대규모 해킹 공격의 문을 열었습니다.” 슬로빅의 말이다.
앞으로 수도 관련 시설 담당자들과 책임자들은 네트워크 가시성을 확보하는 데 전력을 기울여야 한다고 보안 업체 인텔471(Intel471)은 블로그를 통해 주장했다. “하지만 이런 곳의 보안에 투자를 결정해야 하는 시나 주의 기관들 입장에서 보안은 늘 ‘사건 후 수습’에 필요한 것이라 큰 사고가 발생하지 않은 이번 사건을 통해 새로운 변화가 일어날 것이라고 기대하기는 힘듭니다. 그리고 다크웹의 사이버 범죄자들도 이 점을 잘 알고 있죠. 지금쯤 여러 수도 시설에 대한 정보 수집을 시작하고 있을 겁니다.”
3줄 요약
1. 미국 올즈마에서 발생한 식수 오염 시도, 앞으로 비슷한 공격 계속 있을 것으로 예상됨.
2. 공격자들이 팀뷰어와 윈도 7 익스플로잇 한 것으로 보여, 시스템 업데이트가 권고굄.
3. 시와 주는 수도 시설 네트워크 가시성 높이는 데 주력해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>