[보안뉴스 문가용 기자] 올해 미국 플로리다 주에서는 이른 바 ‘양잿물 테러’라고 불리는 사건이 발생했었다. 공격자는 팀뷰어(TeamViewer)라는 애플리케이션을 통해 수도 공급 시설의 원격 제어를 실시함으로써 공급되는 물의 화학 비율을 바꿨다. 단순한 공격이었다. 과거 산업 현장에서 발견했던 스턱스넷(Stuxnet)이나 트리톤(Triton)과는 비교도 되지 않을 정도였다. 그런데 바로 그 낮은 난이도가 현대 OT 환경이 가지고 있는 문제를 고스란히 보여준다. 공격은 너무 쉬운데, 그 영향은 너무 파괴적이라는 것이다.
[이미지 = utoimage]
보안 업체 맨디언트(Mandiant)에 따르면 “산업 현장에서 발생하는 공격들 중 대다수가 무계획적으로 발생한다”고 한다. 즉 물에 독을 풀거나, 신호등 불을 꺼트리거나, 화학단지를 폭발시키기 위한 목적을 가지고 OT 네트워크를 공격하는 사례보다, 어쩌다 보니 OT 침투와 해킹에 성공한 사례가 압도적으로 많다는 것이다. ‘실수로’ OT 공격에 성공한 사례가 많다는 건 OT 침투가 너무 쉽다보니 생기는 현상이라고 맨디언트는 설명한다.
“자신이 뭘 침해했는지도 잘 모르는 공격자가 종종 나옵니다. 어떤 공격자는 독일 철도 시스템을 침해했다고 주장했는데, 증거라고 내놓은 스크린샷은 기차 모형 세트를 운영하는 데 필요한 웹 인터페이스였습니다. 이스라엘의 가스 시스템을 공격했다고 자랑하던 해커도 있었는데, 증거 자료를 검토하니 이스라엘 식당의 환기 시스템을 해킹했던 것이었습니다.” 맨디언트의 설명이다.
“2020년 한 해 동안 ICS 시스템에서 발생한 사이버 보안 사고가 크게 증가했습니다. 공격자들은 ICS로 침투한 뒤, 이를 다른 공격자들에게 알려줌으로써 수익을 창출하려고 했습니다. 다크웹에서는 이와 관련된 정보가 활발히 공유 및 거래되고 있습니다. 그리고 이러한 흐름 덕분에 복잡한 ICS 환경에 대한 이해도가 전체적으로 높아지고 있습니다. 미래의 사이버 범죄자들과 핵티비스트, 초보 해커들까지 ICS에 대해 알아갈 수밖에 없는 환경이 조성되고 있다는 것이죠.” 맨디언트의 수석 관리자인 네이선 브루바커(Nathan Brubaker)의 설명이다.
“쇼단을 사용해 수자원 시설을 찾는 법, 들어가서 네트워크 내부를 돌아다니는 법, 노출된 HMI를 찾아내는 법 등에 대한 튜토리얼이 넘쳐납니다. 그리고 그 내용들도 보면 대단히 간단합니다. 지금 상태로는 공격자들이 자유롭게 뭐든지 할 수 있다고 보면 됩니다. 침투가 쉬운 때에 ICS 환경에 대한 일종의 ‘집단지성’이 다크웹에 쌓여가고 있다는 건데, 매우 위태로운 징조입니다. 랜섬웨어의 유행이 이 유행과 만난다면 끔찍한 일이 발생할 수도 있습니다.”
보안 업체 드라고스(Dragos)의 부회장인 서지오 칼타지론(Sergio Caltagirone)은 위에 언급된 ‘양잿물 테러 사건’을 두고 “ICS 시스템을 겨냥한 해킹 사건의 완벽한 사례”라고 말한다. “산업 시스템이나 국가 기반 시설을 겨냥한 공격의 수준이 우리가 상상하는 것처럼 대단히 높은 수준에서 이뤄지지 않는 게 현실입니다. 정말 기초적이고 초보적인 공격이 행해지고 있는 게 지금의 ICS 환경입니다. 포트가 인터넷에 그대로 노출되어 있거나, 크리덴셜이 너무 쉽게 구성되어 있기 때문에 벌어지는 일입니다.”
드라고스는 올해 초 충격적인 보고서를 발표한 바 있다. ICS 환경에서의 위협과 공격의 트렌드를 조사한 결과인데, 당시 드라고스가 조사한 모든 공격이 공공 인터넷 연결을 통해 이뤄졌으며, 공격자들은 IT와 OT 망 사이에 혼용되고 있는 크리덴셜을 훔쳐 횡적으로 움직이는 데 성공했다는 것이다. 포트가 노출되어 있고, 크리덴셜 확보가 용이하다는 게 고스란히 드러난 것이라고 드라고스는 해석한다.
맨디언트는 “이렇게 낮은 수준의 침해 공격의 경우, OT 환경에 대한 원격 접근 시스템이 문제가 되는 경우가 많다”고 설명한다. 특히 사용자 친화적인 그래픽 인터페이스가 공격자들에게도 도움이 된다는 것이다. “이런 인터페이스 덕분에 OT에 대해 잘 모르는 해커들도 산업 프로세스에 대한 이해도를 높일 수 있습니다. HMI가 대표적인 사례입니다. 공격자들이 HMI를 침해하려는 데에는 이유가 있습니다.”
이러한 상황을 미국 국토안보부도 인지하기 시작했다. 최근 콜로니얼 파이프라인(Colonial Pipeline) 사태를 겪고 국토안보부는 새로운 규정을 마련 중에 있다고 한다. 보안 사고가 발생할 경우 국토안보부 산하의 보안국인 TSA와 CISA로 보고하도록 하는 것이 이 규정의 주요 내용이다. 이번 주 내로 발표될 것으로 예상된다.
맨디언트는 “공공 인터넷과 OT 시스템들을 분리시키는 것이 기본 중 기본”이라고 권고한다. “또한 가동되지 않고 있는 네트워크나 서비스는 즉각 차단시키는 것도 중요합니다. 디폴트 크리덴셜이나 지나치게 쉬운 크리덴셜이 사용되고 있다면 그것 역시 즉각 바꿔야 할 것이고요. 접근 허용을 위한 화이트리스팅, 장비 및 시스템들의 설정 점검도 꼭 필요한 일입니다. 쇼단이나 센시스와 같은 검색 도구로 장비가 검색되지 않도록 만들어야 1차적인 방어가 보장됩니다.”
3줄 요약
1. 사회 기반 시설에 대한 해킹 공격, 쉬워도 너무 쉬움.
2. 수많은 공격자들이 이 때를 틈타 정보와 지식을 공유하며 ICS 환경에 대한 이해도를 높이는 중.
3. 포트들의 인터넷 차단과 크리덴셜을 보다 강력하게 설정하는 것이 필요함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>