[美 송유관 랜섬웨어 사건] 국가기반시설에 대한 지속적인 보안위협, OT 보안 대책은?

    보안 이야기 2021. 6. 3. 15:24

    제조업은 물론, 에너지 및 전력 산업, 자동차 및 통신 업종 등 수많은 분야에 접목된 디지털 기술은 비즈니스의 생산 및 효율성을 높이는데 기여하고 있습니다. 특히 천연가스, 석유와 같은 에너지 산업은 운영 효율성을 높이기 위해 데이터와 디지털 기술과 밀접한 관계를 유지하는 대표적인 산업으로 급부상하였습니다. 하지만 꾸준히 중요성이 대두되었던 사이버 보안과는 달리, OT(운영기술)에 대한 보안은 우선순위가 아니었기 때문에 이와 관련한 피해는 끊임없이 발생하고 있습니다.

    최근 사이버 보안 업계의 최대 이슈는 미국 '콜로니얼 파이프라인'사의 랜섬웨어 피해 사건이었습니다. 국내에서는 '미국 송유관 랜섬웨어' 사건으로 언론에 보도가 되곤 했습니다. 지난 달 7일, 미국 최대 석유 수송 파이프라인을 운영하는 송유관 업체 콜로니얼 파이프라인이 랜섬웨어에 감염되어 미국을 비롯한 전세계를 들썩였습니다. 미 남동부 일대 석유의 45% 이상을 점유하는 파이프라인 시스템이 일주일 가까이 가동 중단되며 미국 일부 지역에 연료를 공급하는데 차질이 생겼고, 7년만에 유가가 최고치를 기록하며 주유 대란이 벌어지기도 했습니다.

    이번 해킹은 국가 핵심 기반시설에 대한 공격 중 역사상 최악의 사례라고 전문가들은 말하고 있습니다.

    미국 최대 송유관 업체, 콜로니얼 파이프라인(Colonial Pipeline)

     

    1962년에 설립, 미국 조지아주에 본사가 있는 콜로니얼 파이프라인은 미국에서 가장 큰 파이프라인 운영 업체 중 하나로 꼽힙니다.

    콜로니얼 파이프라인은 하루 250만 배럴의 휘발유, 디젤, 제트 연료 및 기타 정제 제품을 5,500마일(8,850km)의 파이프라인을 통해 수송 시스템을 운영중에 있습니다. 미 남동부 지역 연료 공급량의 45%를 담당하고 있는 이 회사는 텍사스에서 뉴욕까지 매일 1억 갤런 이상의 연료를 수송하고 있습니다.

    '콜로니얼 파이프라인'사의 송유관 맵 (출처: U.S. Energy Information Administration)

     

    ​송유관 해킹, 어떻게 가능했을까?

     

    현재 석유 산업은 상당 부분 디지털화돼 있습니다. 즉 송유관 운영에 필요한 모든 장치는 사람에 의한 물리적 제어가 아닌 컴퓨터에 의해 제어되는 방식으로 운영되고 있습니다. 콜로니얼 파이프라인 또한 수백 킬로미터 길이의 송유관 속 디젤과 휘발유 및 제트 연료의 흐름을 관리하고 제어하는 데, 압력 센서와 온도조절 장치, 밸브, 펌프 등이 최첨단 기술로 운영되고 있습니다. 또한 이들은 송유관 내부를 이동하며 이상 현상을 검사하는 최첨단 로봇 '스마트 피그(Smart Pig)'까지 갖추고 있다고 합니다. 이런 장치가 회사 네트워크에 연결돼 있으니, 네트워크를 겨냥한 사이버 공격이 생기면 송유관 역시 공격에 노출될 수 밖에 없는 환경이었습니다.

    이번 사건에서 이들의 초기 공격 벡터는 아직 밝혀지지 않았지만, 최신 패치가 진행되지 않은 취약점을 지닌 시스템을 찾아 공격했을 확률이 높아보입니다. 지금까지 분석된 그들의 주요 해킹 기법은 다음과 같습니다.

    o 최초 침투를 위해 피싱 공격 수행 및 인터넷에 노출된 시스템 계정정보 탈취

    o RDP(원격데스크톱) 접속을 통해 내부 이동

    o 민감한 데이터를 유출하고 파일을 암호화

    o 명령제어채널은 토르(Tor) 네트워크를 이용

    이렇게 해커들은 랜섬웨어 공격으로 콜로니얼 파이프라인의 주요 데이터 100GB를 훔쳤습니다. 그들은 훔친 데이터를 인터넷에 공개할 것이라 협박하며 댓가로 암호화폐를 지급할 것을 요구했습니다. 랜섬웨어는 몸값(ransom)과 악성코드(malware)의 합성어로, 컴퓨터의 중요 파일을 암호화해 쓸 수 없도록 만들어 접근을 차단한 뒤 이를 풀어주는 대가로 금품을 요구하는 해킹 수법입니다. 콜로니얼은 연료 생산 단계부터 주문·배달·가격 청구 등 전 과정이 전산화돼 있어 랜섬웨어 공격이 들어온 직후 모든 운영이 작동 불능 상태에 빠졌습니다. 해커들로부터 잠긴 데이터를 복호화할 수 있는 툴을 받았지만 그들이 건넨 복호화키의 속도가 느려 결국 회사는 자체 백업 시스템을 통해 복구 작업을 진행했습니다. 그렇게 약 6일이 지난 12일 오후 경에서야 회사는 송유관을 재가동할 수 있었습니다.

    콜로니얼 파이프라인의 유류 저장소 (출처: 콜로니얼 파이프라인 공식 페이스북)

     

    ​누가? 어떻게?

     

    이번 사건의 주범으로 지목된 것은, 다크웹에서 ‘서비스형 랜섬웨어(RaaS)’ 사업을 벌이고 있는 범죄 조직 '다크사이드' 라고 알려졌습니다. 동유럽에 기반을 둔 것으로 추정되는 이 해커 조직은 지난해 8월부터 80개 이상의 기업을 해킹해 수백억달러 이상의 피해를 입힌 것으로 밝혔다고 합니다. 특정 기업을 표적으로 커스터마이징한 것이 주특징인 다크사이드 랜섬웨어는 주로 취약한 윈도우 액티브 디렉토리, 이메일 피싱 등의 경로를 활용합니다. 해커들은 감염 시 미리 설정해 둔 특정 프로세스를 종료시키고 PC에 저장된 파일의 암호화를 진행하고 파일 암호화가 진행된 경로마다 랜섬노트를 만들고 금전을 요구하는 메시지를 삽입하는 방식을 취합니다.

    특히 이번 공격은 지난 해부터 그들이 만들었던 도플페이머(DoppelPaymer), 소디노키비(Sodinokibi), 메이즈(Maze), 넷워커(NetWalker) 등의 기존 랜섬웨어들의 특장점들만 모아 행해진 것으로 보인다고 전문가들은 분석합니다. 또한 이들은 최근 사이버 공격 트렌드를 반영, 데이터 암호화는 물론 데이터 탈취까지 바탕으로 한 이중 협박 전략을 구사하는 것이 특징인데요. 이번 사건에서 다크사이드는 자신들의 소행임을 당당히 밝히면서, 단순한 데이터 암호화와 정보 유출의 ‘이중 협박’에 그치지 않고, 디도스 공격 등으로도 협박을 행하는 ‘4중 협박(Quadruple Extortion Services)’ 이라고 불리는 표적형 지속적 랜섬웨어 사이버 공격 수법도 전개해 많은 이들에게 공포심을 심어줬습니다.

    한편, 이들은 최근 미국 정부로부터의 압력으로 인해 조직을 폐쇄한다는 선언을 하였으나, 일각에서는 당국의 수사를 피하기 위한 눈속임일 가능성이라는 분석도 나오고 있습니다.

     

    ​콜로니얼 사태가 시사하는 OT 보안의 중요성

     

    콜로니얼 파이프라인 사건은 산업 현장과 사회 기반 시설이 사이버 공격에 얼마나 취약한지를 보여주었습니다. OT를 겨냥한 공격 형태는 지난 1년 반 동안 코로나19 상황과 더불어 급격히 증가하고 있으며, 전 세계 시장에서의 중요한 인프라 산업과 그 시설(물, 전력, 석유, 가스 등)들이 그 공격의 대상이 되고 있는 상황입니다. 민간기업 위주로 타깃하여 행해졌던 공격이 대형 인프라 시설과 정부 기관으로 확대되고 있는 것입니다. 유사 사례를 방지하기 위해 KISA 에서는 다음과 같은 보안 권고 사항을 제시합니다.

    o 중요 파일 및 문서 등은 네트워크와 분리된 정기적인 오프라인 백업 권고

    o 피싱 메일이 최종 사용자에게 전달되지 않도록 강력한 스팸 필터링 적용

    o 메일에 첨부된 악성 첨부파일이나 악성 링크를 클릭하지 않도록 직원들에게 전파

    o 원격 네트워크 접속시 허용된 사용자와 단말기만 접근 가능하도록 설정하고 OTP 등을 통한 다단계 인증 적용

    o 업무망과 인터넷망을 분리하여 운영하고, VPN 사용시 인터넷망과 업무망을 동시에 사용할 수 없도록 설정

    o 사용하지 않는 네트워크 서비스는 비활성화하고, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정

    o 운영체제, 어플리케이션, 펌웨어등을 포함한 소프트웨어의 최신 보안 업데이트 적용

    o 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행

    o 자료유출에 대비해서 DRM 등 문서암호화 보안솔루션 도입 권고

    특히 이번 송유관 해킹 사건이 그 기폭제가 될 수 있다는 전망이 나오면서 물리적 자산을 디지털 소프트웨어 및 애플리케이션과 연결하여 운영하고 있는 산업 및 네트워크 분리 환경이 구축된 공공기관에서는 보안 위협을 느끼고 있습니다. 해커가 네트워크에 액세스하게 되는 순간, 데이터 유출을 막을 수 있는 방법은 없습니다. 방어책은 인터넷 연결을 끊고 오프라인화 해버리는 것이지만 모든 것이 ‘연결성’에 의존한 현대 시대 특성상 이는 불가능에 가까운 이야기입니다.

    이런 상황을 고려한다면 최상의 방어책은 무엇이 될까요? 'OT 보안'이라고 입을 모아 이야기 합니다.

    소프트캠프에서는 배포/설치/패치되는 모든 프로그램의 위협요소를 사전 관리하는 소프트웨어 공급망 보안 솔루션 EX-Scan (엑스스캔)외부 저장매체를 통해 유입되는 모든 파일을 검증한 후 안전한 파일만 내부로 반입시키는 키오스크형 OT 보안 솔루션 GateXcanner(게이트엑스캐너)를 제공해 이러한 산업 및 기관들의 중요한 내부 자산을 보호하고 그와 긴밀하게 연결되어 있는 인프라의 보안 가시성을 확보합니다.

     

     

     

    [EX-Scan/GateXcanner] 랜섬웨어도 비대면 타고 일상 속에 온택트 된다면? 2021년 안전한 업무환경을 위

    안녕하세요. 2021년도 새해가 밝았습니다. 올 새해는 코로나라는 특수상황으로 인해 전세계 사람들 모두가 ...

    blog.naver.com

     

     

    [EX-Scan/GateXcanner] 랜섬웨어도 비대면 타고 일상 속에 온택트 된다면? 2021년 안전한 업무환경을 위

    안녕하세요. 2021년도 새해가 밝았습니다. 올 새해는 코로나라는 특수상황으로 인해 전세계 사람들 모두가 ...

    blog.naver.com