침해사고/위협동향

급격하게 늘고 있는 OT 공격··· 美 정부 “사이버보안 강화한다”

이종현
[디지털데일리 이종현기자] 조 바이든 미국 행정부가 최근 발생한 송유관 운영사 해킹 사태를 재발하기 위한 조치를 단행했다.

27일(현지시각) 미국 국토안보부(DHS)는 앞으로 주요 송유관 시설 소유·운영자는 사이버보안에 문제가 발생할 경우 사이버안보 기간시설안보국(CISA)에 즉각 보고하도록 지시했다. 또 사이버보안을 전담하는 직원을 24시간 배치하도록 했다.

해당 조치는 송유관 운영사 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 가동이 멈춘 데 따른 것이다. 콜로니얼 파이프라인은 미국 동부에 공급되는 석유의 약 45%가량을 책임지는 미국 최대 송유관 운영사다.

월스트리트저널(WSJ)에 따르면 콜로니얼은 7일 오전 5시30분쯤 해커들의 공격을 최초 인지했다. 내부 직원이 제어실 컴퓨터에서 해커들이 메모를 확인했다.

공격으로 콜로니얼의 송유관이 장애를 겪자 미국 일부 지역에서는 70% 이상의 주유소가 영업을 중지하는 일이 발생했다. 갑작스러운 공급 차질에 휘발유 가격이 급등했다. 기름을 ‘사재기’하는 사례도 다수였다.

콜로니얼을 공격한 것으로 알려진 해킹조직은 ‘다크사이드’다. 다크사이드는 콜로니얼의 전산시스템에 랜섬웨어를 침투시킨 뒤 ‘몸값’으로 비트코인을 요구한 것으로 전해진다. 요구한 금액은 75비트코인으로, 해킹 사태 발생 시기에 1비트코인의 가격이 약 5만7000달러인 것을 감안하면 약 425만달러(한화로 약 47억원)가량이다.

조지프 블런트 CEO는 다크사이드에 몸값을 지불했다고 시인했다. 송유관 인프라의 성격을 감안하면 몸값을 지불할 수밖에 없었다는 것이 그의 주장이다. 다만 해커들로부터 잠긴 데이터를 복호화할 수 있는 툴을 받았지만 시스템 복구에는 다소 시간이 걸렸고, 그 과정에서 필수 인프라의 장애에 여러 혼란이 발생했다.

주요 인프라를 공격받은 미국은 그야말로 발칵 뒤집혔다. 조 바이든 미국 대통령은 랜섬웨어로 인해 가동 중단된 콜로니얼 사태에 대해 “극도로 심각하게 받아들인다”며 범정부적 대응에 나섰다.

미국 연방수사국(FBI)는 공격의 배후로 러시아를 지목했다. 해킹조직을 조사하는 보안업체 인텔471은 다크사이드가 최초 포착된 것이 작년 11월 러시아어 해킹 포럼이다. 자신들이 제작한 랜섬웨어를 통해 직접적인 공격을 수행할 파트너를 모집하는 광고를 냈다. 구글 플레이스토어나 애플의 앱스토어에서 앱을 제공하듯, 서비스형 랜섬웨어(RaaS)를 개발한 뒤 배포한 것.

다크사이드가 러시아에 기반한 조직이라는 점, 중요도가 높은 인프라를 공격했다는 점 등을 근거로 ‘정치적인 동기가 있을 것’이라는 추측이 여기저기서 나온다. 사회 기반 인프라를 노린 공격은 심각한 타격을 줄 수 있는 만큼 정부 차원의 사이버전에서 자주 발생한다. 다만 다크사이드는 이를 부인하고 금전 갈취 만이 목적이었다고 밝혔다.

글로벌 보안기업 파이어아이에 따르면 미국이 정부 차원의 강경대응 의지를 밝히자 다크사이드는 해체를 선언했다. 아직 몸값을 지불하지 않은 콜로니얼 외 피해 기업들에게는 시스템을 복구할 수 있는 복호화 키를 주겠다고 알렸다.

당선인 시절 ‘솔라윈즈 사태’부터 이번 송유관 마비사태 등 큼직한 해킹을 연이어 겪은 바이든 대통령은 적극적인 사이버보안 강화 의지를 피력했다.

한편 파이어아이는 최근 운영기술(Operation Technique, OT)를 노린 정교하지 않은 공격이 급증하고 있다고 경고했다. 고도의 기술을 이용한 공격뿐만 아니라 일반적인 기술 및 도구를 이용해 인터넷에 노출된 OT 시스템에 위협을 가하는 빈도가 크게 늘고 있다는 것이다.

파이어아이는 “최근 몇 년 사이 인터넷에 노출된 OT 시스템 공격이 심각한 수준으로 보인다. 일반적인 위협 행위는 돈을 버는 것이지만 돈보다는 자신의 지식이나 전문성을 알리는 데 열심인 경우도 있다”며 “이런 영향 때문인지 시간을 들이면 찾을 수 있는 도구를 이용해 인터넷에 노출된 OT 자산을 노리는 정교하지 않은 위협 활동이 눈에 띈다”고 말했다.

이들 공격은 태양 에너지 패널, 물 제어 시스템, 건물 자동화 시스템, 개인 주택 보안 시스템 등을 대상으로 한다. 위협의 파장이 큰 민감한 대상부터 개인을 대상으로 한 공격 등 피해 범주를 예측하기 어렵다.

파이어아이는 “수준이 낮은 공격이라고 해도 위협을 거듭하다 보면 OT에 대한 노하우가 쌓이게 되고, 이들이 심각한 위험으로 이어질 수 있다”며 “보안 수준이 높지 않은 산업이나 조직의 침해 가능성도 높은 만큼 주의해야 한다”고 경고했다.

이와 같은 위협에 대응하기 위한 수단으로 파이어아이가 공유한 것은 ▲공용 네트워크에 노출된 OT 자산 제거 ▲원격 액세스 필요시 제어 체계 수립 및 비정상적인 활동 모니터링 ▲사용하지 않는 서비스 비활성화 ▲자격증명의 정기적 교체 및 자산구성 주기적 검토 등을 조언했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널