[디지털데일리 홍하나기자] 합법적인 원격관리도구(RAT)가 산업 네트워크에 심각한 위협으로 부상하고 있다. 해커들이 RAT을 사용해 랜섬웨어나 암호 화폐 채굴 소프트웨어를 설치하거나 정보, 돈을 탈취하고 있는 것.
28일 카스퍼스키랩 ICS CERT 보고서에 따르면 RAT는 모든 산업 전반에서 점점 사용 빈도가 늘어나고 있다. 카스퍼스키랩 제품으로 보호되는 ICS 컴퓨터의 약 1/3에 RAT가 설치돼 있다. RAT 5개 중 1개가 ICS 소프트웨어에 기본적으로 탑재돼 있다. 따라서 시스템 관리자의 감시에 잘 띄지 않으며 공격자가 활용할 수 있는 수단이 된 것.
RAT는 제3자가 원격으로 컴퓨터를 접속하는 데 사용하는 합법적인 소프트웨어 도구로 제조 업체의 직원이 리소스를 절약하기 위한 수단으로도 종종 활용된다. 그러나 범죄자들에 의해 표적이 된 컴퓨터에 대한 권한을 훔치는 도구로도 사용되고 있다.
RAT의 가장 위험한 점은 공격 대상 시스템에 대해 높은 수준의 권한을 획득할 수 있다는 점이다. 실제 상황에서는 한 기업에 대해 거의 무제한 수준의 접근 권한을 얻을 수 있다. 이로 인해 막대한 금전적 손실과 물리적 피해를 입을 수 있다. RAT를 장악하기 위해 무차별 공격이 가장 많이 사용되지만 공격자들이 RAT 소프트웨어 자체의 취약점을 찾아내 악용하는 경우도 있다.
이에 카스퍼스키랩 ICS CERT는 RAT로 인한 사이버 공격의 위험을 줄이기 기술적 조치를 실시할 것을 권고하고 있다. 우선 ▲산업 네트워크에서 사용하는 애플리케이션과 시스템 원격 관리 도구에 대해 감사를 실시한다. 산업 공정에 필요하지 않은 RAT는 모두 제거한다. ▲감사를 실시하고 ICS 소프트웨어에 기본 탑재된 RAT 중 산업 공정에 필요하지 않은 RAT는 비활성화한다. ▲산업 공정에 필요한 모든 원격 제어 세션을 상세히 모니터링하고 이벤트를 기록한다. 원격 접근은 기본적으로 비활성화해야 하며 요청 시 또는 제한된 기간 동안만 사용하도록 설정한다.