.gif)
수천만 갤런의 석유가 한순간에 공급 중단됐고, 며칠이 지나도 상황에 진전이 없다. 평소 파이프라인의 보안이 대단히 취약한 상태였음이 여실히 드러나고 있는 중이다. 이에 OT 보안에 대한 이야기가 재점화 되고 있다.
[보안뉴스 문가용 기자] 미국의 대형 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 대형 랜섬웨어 사건에 대한 수사와 복구 작업이 한창 진행 중이다. 이 사건을 통해 아직도 산업 현장과 사회 기반 시설이 사이버 공격에 얼마나 취약한지가 드러났다는 지적이 계속해서 나오고 있기도 하다.
[이미지 = utoimage]
콜로니얼 파이프라인의 인프라는 휴스턴에서 텍사스, 뉴저지까지 5500 마일에 이른다. 하루에도 수백만 갤런의 석유가 이 인프라를 오간다. 그러다 지난 5월 7일, 사이버 공격이 콜로니얼 파이프라인을 가격했고, 이 모든 인프라가 일시에 마비됐다. 수사와 복구가 진행되고 있으며, FBI는 이것이 다크사이드(DarkSide)라는 랜섬웨어 범죄 집단의 소행이라고 발표했다.
공격 발생 이틀 후인 5월 9일, 주요 라인은 여전히 마비된 상태였지만 파이프 측선들 일부가 작동하기 시작했다. 콜로니얼 측은 웹사이트를 통해 기존 서비스를 완전히 복구하기 위해 점진적으로 파이프를 개방하겠다는 계획을 발표하기도 했다.
하지만 사건은 여기서 무마되지 않을 것으로 보인다. 공격자들이 콜로니얼 파이프라인의 데이터 100GB를 훔쳐갔기 때문이다. 이 때문에 지금 당장의 사태가 복구된다고 하더라도 추가 공격이 이어질 것으로 예상되며, 따라서 연료의 원활한 공급에 대한 근본적인 대처가 필요하다는 지적이 나오고 있다.
산업 엔지니어링 전문 업체인 버브 인더스트리얼(Verve Industrial)의 CEO 존 리빙스턴(John Livingston)은 “거의 모든 산업 시스템이 IT 기술에 의존하고 있다”며 “OT와 IT가 결합되지 않은 조직은 찾아보기가 힘들 정도”라고 말한다. “그렇기 때문에 IT든 OT든, 하나만 사이버 공격으로 마비돼도 전체 운영이 힘들어질 수밖에 없습니다. 이번 사건이 그것을 잘 드러내죠.”
보안 업체 드라고스(Dragos)의 부회장인 서지오 칼타지론(Sergio Caltagirone)은 “사업 운영의 마비라는 건 사이버 공격의 부산물 같은 것이 되고 있다”고 말한다. “공격자들이 노리는 건 전혀 다른 건데, 그에 대한 부작용으로 사업 운영이 마비되는 일이 발생하게 된다는 것이죠. 이번 공격자들도 데이터를 노리는 중에 랜섬웨어 사고를 일으켰다고 볼 수 있습니다. 이것이 가능한 건 현대의 산업 시설 혹은 사회 기반 시설에 근본적인 약점이 공통적으로 깔려 있기 때문입니다.”
그 약점이란 보안 구멍투성이인 OT 시스템들이 IT 시스템과 통합되어 있다는 것이다. 보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 위협 분석가인 션 니켈(Sean Nikkel)은 “그래서 공격자들에게 이러한 시설들이 매력적인 표적이 될 수밖에 없다”고 설명한다. “공격이 쉬운데다가, 공격의 부산물처럼 나타나는 ‘운영 중단’이 매우 치명적으로 작용하기 때문에 피해자 입장에서 할 수 있는 일이 많지 않다는 것이 가장 큰 매력입니다. 공격자의 협상 조건에 휘둘릴 가능성이 그만큼 높다는 뜻이 되거든요.”
게다가 산업 시설 혹은 사회 기반 시설이라고 하더라도 특별히 더 취약한 것들이 따로 존재한다는 것도 기억해야 한다고 보안 업체 사이버솔루션즈(CyberSolutions)의 부회장 존 쿠시마노(John Cusimano)는 말한다. “이번에 공격당한 파이프라인 인프라의 보안은 대단히 크게 뒤쳐져 있는 것으로 유명합니다. 망분리 결여가 특히 치명적으로 작용하는데, 이 부분에서 성적이 떨어지는 곳입니다. 작은 공격이 크게 확대될 위험성이 항상 존재했던 것이죠.”
물론 파이프라인을 보호한다는 게 현실적으로 쉽지 않다는 것도 고려해야 할 부분이다. 가장 큰 장애는 파이프라인이 뒤덮고 있는 영역이 지리적으로 광활하다는 것이다. 그 광활한 영역에 수백~수천 킬로미터에 달하는 파이프들과 밸브들을 하나하나 연결하거나 분리해서 관리한다는 것도 상당히 큰 어려움이 될 수밖에 없다. “게다가 파이프라인 산업은 규정이 느슨한 편이기도 하죠. 그러니 보안에 대한 필요성이 크게 부각되지 않습니다.”
한편 이번 사건의 주범으로 떠오른 다크사이드는 다크웹에서 ‘서비스형 랜섬웨어(RaaS)’ 사업을 벌이고 있는 범죄 조직이다. 지난 해 여름에 등장했지만 선배격인 도플페이머(DoppelPaymer), 소디노키비(Sodinokibi), 메이즈(Maze), 넷워커(NetWalker) 등 기존 랜섬웨어들의 특장점들을 흡수한 것처럼 보인다고 한다. 최근 유행 또한 반영하고 있어 데이터 암호화와 더불어 데이터 탈취를 바탕으로 한 이중 협박 전략도 구사한다.
또한 다크사이드는 표적 공격을 주로 실시하는 것으로 알려져 있다. 공격 표적을 집요하게 학습하며, 이를 바탕으로 랜섬웨어 페이로드를 살짝살짝 바꾸며 피해자의 사정에 따라 협박 금액을 정한다고 한다. 스스로는 학교나 병원, 비영리 단체나 정부 기관 등 사회 기반 시설에 필수적인 요소들로 보이는 시설들은 공격하지 않는다고 주장하고 있지만 이번 콜로니얼 파이프라인 해킹 사건으로 신빙성이 깎인 상태다.
피해자로부터 돈을 받아내기 위해 먼저 피해자와의 신뢰를 구축하는 데 힘을 쓰기도 한다. 심지어 언론 보도 자료를 만들어 배포하기도 한다. 보통은 이번 공격이 누구를 대상으로 진행됐으며, 어떤 요구가 오고가고 있는지를 알린다. 이번 콜로니얼 파이프라인 공격에 대한 언론 보도 자료 역시 배포된 상태다. 이를 통해 다크사이드는 “자신들의 공격에는 그 어떤 정치적 의도가 없다”는 것을 알렸다. 그러므로 “정부와는 아무런 관련이 없다”고 하며 “돈을 버는 것이 목표지만 사회에 혼란을 주고 싶지는 않다”고도 밝혔다.
칼타지론은 “이번 공격이 다크사이드의 실수에서 비롯된 일일 수 있다”고 말한다. “사건이 너무 커져서 다크사이드가 정부의 표적이 될 가능성이 매우 높습니다. 이건 공격자들에게도 좋지 않은 일입니다. 특히 서비스형 랜섬웨어를 운영하는 범죄 단체의 경우, 지나치게 많은 이목을 끌 경우 파트너사들이 떨어져 나가기도 합니다. 사업적으로 마이너스일 수밖에 없습니다. 이번에 다크사이드의 보도 자료도 뒤늦게 나왔죠. 실수일 가능성이 높습니다.”
3줄 요약
1. 미국의 송유관 업체 콜로니얼 파이프라인의 공격자, 다크사이드로 확인됨.
2. 파이프라인 인프라는 원래부터 보안이 취약하기로 유명했던 곳.
3. 데이터 탈취까지 이어져 이번 사태 이후에도 추가 공격 있을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 미국의 대형 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 대형 랜섬웨어 사건에 대한 수사와 복구 작업이 한창 진행 중이다. 이 사건을 통해 아직도 산업 현장과 사회 기반 시설이 사이버 공격에 얼마나 취약한지가 드러났다는 지적이 계속해서 나오고 있기도 하다.
[이미지 = utoimage]
콜로니얼 파이프라인의 인프라는 휴스턴에서 텍사스, 뉴저지까지 5500 마일에 이른다. 하루에도 수백만 갤런의 석유가 이 인프라를 오간다. 그러다 지난 5월 7일, 사이버 공격이 콜로니얼 파이프라인을 가격했고, 이 모든 인프라가 일시에 마비됐다. 수사와 복구가 진행되고 있으며, FBI는 이것이 다크사이드(DarkSide)라는 랜섬웨어 범죄 집단의 소행이라고 발표했다.
공격 발생 이틀 후인 5월 9일, 주요 라인은 여전히 마비된 상태였지만 파이프 측선들 일부가 작동하기 시작했다. 콜로니얼 측은 웹사이트를 통해 기존 서비스를 완전히 복구하기 위해 점진적으로 파이프를 개방하겠다는 계획을 발표하기도 했다.
하지만 사건은 여기서 무마되지 않을 것으로 보인다. 공격자들이 콜로니얼 파이프라인의 데이터 100GB를 훔쳐갔기 때문이다. 이 때문에 지금 당장의 사태가 복구된다고 하더라도 추가 공격이 이어질 것으로 예상되며, 따라서 연료의 원활한 공급에 대한 근본적인 대처가 필요하다는 지적이 나오고 있다.
산업 엔지니어링 전문 업체인 버브 인더스트리얼(Verve Industrial)의 CEO 존 리빙스턴(John Livingston)은 “거의 모든 산업 시스템이 IT 기술에 의존하고 있다”며 “OT와 IT가 결합되지 않은 조직은 찾아보기가 힘들 정도”라고 말한다. “그렇기 때문에 IT든 OT든, 하나만 사이버 공격으로 마비돼도 전체 운영이 힘들어질 수밖에 없습니다. 이번 사건이 그것을 잘 드러내죠.”
보안 업체 드라고스(Dragos)의 부회장인 서지오 칼타지론(Sergio Caltagirone)은 “사업 운영의 마비라는 건 사이버 공격의 부산물 같은 것이 되고 있다”고 말한다. “공격자들이 노리는 건 전혀 다른 건데, 그에 대한 부작용으로 사업 운영이 마비되는 일이 발생하게 된다는 것이죠. 이번 공격자들도 데이터를 노리는 중에 랜섬웨어 사고를 일으켰다고 볼 수 있습니다. 이것이 가능한 건 현대의 산업 시설 혹은 사회 기반 시설에 근본적인 약점이 공통적으로 깔려 있기 때문입니다.”
그 약점이란 보안 구멍투성이인 OT 시스템들이 IT 시스템과 통합되어 있다는 것이다. 보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 위협 분석가인 션 니켈(Sean Nikkel)은 “그래서 공격자들에게 이러한 시설들이 매력적인 표적이 될 수밖에 없다”고 설명한다. “공격이 쉬운데다가, 공격의 부산물처럼 나타나는 ‘운영 중단’이 매우 치명적으로 작용하기 때문에 피해자 입장에서 할 수 있는 일이 많지 않다는 것이 가장 큰 매력입니다. 공격자의 협상 조건에 휘둘릴 가능성이 그만큼 높다는 뜻이 되거든요.”
게다가 산업 시설 혹은 사회 기반 시설이라고 하더라도 특별히 더 취약한 것들이 따로 존재한다는 것도 기억해야 한다고 보안 업체 사이버솔루션즈(CyberSolutions)의 부회장 존 쿠시마노(John Cusimano)는 말한다. “이번에 공격당한 파이프라인 인프라의 보안은 대단히 크게 뒤쳐져 있는 것으로 유명합니다. 망분리 결여가 특히 치명적으로 작용하는데, 이 부분에서 성적이 떨어지는 곳입니다. 작은 공격이 크게 확대될 위험성이 항상 존재했던 것이죠.”
물론 파이프라인을 보호한다는 게 현실적으로 쉽지 않다는 것도 고려해야 할 부분이다. 가장 큰 장애는 파이프라인이 뒤덮고 있는 영역이 지리적으로 광활하다는 것이다. 그 광활한 영역에 수백~수천 킬로미터에 달하는 파이프들과 밸브들을 하나하나 연결하거나 분리해서 관리한다는 것도 상당히 큰 어려움이 될 수밖에 없다. “게다가 파이프라인 산업은 규정이 느슨한 편이기도 하죠. 그러니 보안에 대한 필요성이 크게 부각되지 않습니다.”
한편 이번 사건의 주범으로 떠오른 다크사이드는 다크웹에서 ‘서비스형 랜섬웨어(RaaS)’ 사업을 벌이고 있는 범죄 조직이다. 지난 해 여름에 등장했지만 선배격인 도플페이머(DoppelPaymer), 소디노키비(Sodinokibi), 메이즈(Maze), 넷워커(NetWalker) 등 기존 랜섬웨어들의 특장점들을 흡수한 것처럼 보인다고 한다. 최근 유행 또한 반영하고 있어 데이터 암호화와 더불어 데이터 탈취를 바탕으로 한 이중 협박 전략도 구사한다.
또한 다크사이드는 표적 공격을 주로 실시하는 것으로 알려져 있다. 공격 표적을 집요하게 학습하며, 이를 바탕으로 랜섬웨어 페이로드를 살짝살짝 바꾸며 피해자의 사정에 따라 협박 금액을 정한다고 한다. 스스로는 학교나 병원, 비영리 단체나 정부 기관 등 사회 기반 시설에 필수적인 요소들로 보이는 시설들은 공격하지 않는다고 주장하고 있지만 이번 콜로니얼 파이프라인 해킹 사건으로 신빙성이 깎인 상태다.
피해자로부터 돈을 받아내기 위해 먼저 피해자와의 신뢰를 구축하는 데 힘을 쓰기도 한다. 심지어 언론 보도 자료를 만들어 배포하기도 한다. 보통은 이번 공격이 누구를 대상으로 진행됐으며, 어떤 요구가 오고가고 있는지를 알린다. 이번 콜로니얼 파이프라인 공격에 대한 언론 보도 자료 역시 배포된 상태다. 이를 통해 다크사이드는 “자신들의 공격에는 그 어떤 정치적 의도가 없다”는 것을 알렸다. 그러므로 “정부와는 아무런 관련이 없다”고 하며 “돈을 버는 것이 목표지만 사회에 혼란을 주고 싶지는 않다”고도 밝혔다.
칼타지론은 “이번 공격이 다크사이드의 실수에서 비롯된 일일 수 있다”고 말한다. “사건이 너무 커져서 다크사이드가 정부의 표적이 될 가능성이 매우 높습니다. 이건 공격자들에게도 좋지 않은 일입니다. 특히 서비스형 랜섬웨어를 운영하는 범죄 단체의 경우, 지나치게 많은 이목을 끌 경우 파트너사들이 떨어져 나가기도 합니다. 사업적으로 마이너스일 수밖에 없습니다. 이번에 다크사이드의 보도 자료도 뒤늦게 나왔죠. 실수일 가능성이 높습니다.”
3줄 요약
1. 미국의 송유관 업체 콜로니얼 파이프라인의 공격자, 다크사이드로 확인됨.
2. 파이프라인 인프라는 원래부터 보안이 취약하기로 유명했던 곳.
3. 데이터 탈취까지 이어져 이번 사태 이후에도 추가 공격 있을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
