2021.09.16

"활짝 열린 공장문" 산업용 시스템의 위험한 허점

Manfred Bremmer | COMPUTERWOCHE
제품을 생산하거나 자원을 대량으로 추출하는 산업체는 그 규모와 비즈니스 프로세스의 중단이 미치는 영향이 큰 만큼 범죄 대상이 되는 경우도 증가하고 있다. 포지티브 테크놀로지(Positive Technologies)의 보고서에 따르면, 정부 분야에 이어 두 번째로 인기 있는 해커 공격 대상으로, 2020년 공격의 12%가 이 분야에서 발생했다. 
 
ⓒ Getty Images Bank

산업체에 대한 가장 큰 위협은 산업 스파이 행위와 재무적 손실이다. 2020년 해커들은 주로 데이터 절도에 관심을 보였고(84%), 직접적인 금전적 보상을 노린 경우도 36%에 이르렀다. 
 

작은 공격, 큰 영향 

해커들의 동기가 다양한 것만큼 공격에 따른 영향의 심각도도 다양하다. 대표적인 예를 살펴보자.

2020년 6월 자동차 제조업체 혼다는 회사 네트워크에 랜섬웨어 공격을 받은 후 여러 공장의 생산을 중단해야 했다. 기술 및 비즈니스 시스템 기능을 완전히 복원하고 향후 동일한 사건의 재발을 방지하는 조치를 취하는 데 하루가 걸렸다.

미국 최대의 연료 공급업체인 콜로니얼 파이프라인은 2021년 5월에 랜섬웨어 공격을 받았다. 컴퓨터 시스템이 일주일 동안 작동하지 않아 동부 해안 지역에서 사용되는 연료의 거의 절반을 담당하는 중요한 파이프라인 가동이 중단됐다. 

2021년 2월, 한 해커가 플로리다의 작은 도시의 상수도 시스템에 접근해서 물의 화학성분 변경을 시도했다. 

2020년 2월, 크로아티아의 석유 회사 INA는 해커의 공격을 받아 송장 발행, 고객 카드 등록 모바일 쿠폰 발급 업무가 중단됐다. 이 공격에 사용된 클롭(Clop) 랜섬웨어가 회사의 내부 서버에 있는 데이터를 암호화하면서 비즈니스 프로세스가 멈췄다. 
 

해커보다 먼저 취약점 찾기 

IT 보안 전문 업체는 이런 심각한 장애를 사전에 방지하기 위해 해커 역할을 맡아 이런 기업의 인프라에 대한 액세스 권한을 어떻게 얻고 사이버 공격이 어떤 영향을 미칠 수 있는지를 테스트한다. 약점을 파악하면, 이후 효율적인 보안 시스템을 구축하도록 돕는다. 연구에 따르면 산업용 시스템에 대한 공격의 기반이 되는 가장 일반적인 취약점은 다음과 같다. 
 
  • 인터넷에서 액세스가 가능한 외부 네트워크 경계 
  • 산업용 네트워크에 침투하는 해커를 막기 위한 보호 기능의 부족 
  • 잘못 구성된 디바이스 
  • 네트워크 세그먼트화와 트래픽 필터링의 취약점 
  • 사전에 있는 간단한 단어를 사용한 암호 
  • 오래된 소프트웨어 사용 

포지티브는 보고서를 통해 “산업체는 이런 공격에 대한 보호가 매우 취약하다”고 지적했다. 2020년에 수행된 보안 평가에서는 외부 공격자가 이런 산업체 91%의 기업 네트워크에 침투할 수 있음이 드러났다. 네트워크에 침투한 공격자는 100% 인증 정보에 액세스해 인프라를 완전히 장악할 수 있었고, 69%는 파트너 및 직원, 이메일, 내부 문서와 같은 민감한 데이터를 훔칠 수 있었다. 그러나 포지티브는 산업체의 75%에서 네트워크의 기술적인 부분에 액세스하는 데 성공했다는 점이 더 심각한 문제라고 지적했다. 이 중 56%에서 범죄자는 산업 제어 시스템(ICS)에도 액세스할 수 있었다.

실제 위협 상황의 심각성은 경계 및 네트워크의 공격을 탐지하는 데 사용되는 포지티브 테크놀로지의 네트워크 분석 툴 결과에서 볼 수 있다. 이 결과에 따르면, 2020년 모든 산업체에서 의심스러운 네트워크 활동과 보안 침해가 발견됐다. 포지티브의 툴은 기업의 71%에서 맬웨어 활동을 감지했고 57%에서 해커가 취약점 악용을 시도했거나 무차별 대입 공격을 사용한 암호 크랙을 시도했음을 감지했다.  
 

해커에게는 흔하고도 쉬운 일 

포지티브 테크놀로지의 전문가들에 따르면 해커에게 핵심 시스템을 공격하기는 너무 쉬운 일이다. 예를 들어 산업체 보안 평가 중에 이들은 기업 네트워크에 침투해서 도메인 최상위 권한을 획득했다. 그런 다음 네트워크의 빈틈에 대한 정보를 수집했다. 이 활동 중에 컴퓨터가 ICS 네트워크에 연결되어 있음을 파악하고 이 노드를 통해 ICS 네트워크에 액세스했다. 

이런 컴퓨터를 관리하면서 흔히 저지르는 실수는 원격 액세스 인증(예를 들어 RDP를 통해)을 위한 양식으로 연결 매개변수를 저장하는 것이다. 공격자가 이 컴퓨터를 장악하면, 로그인 데이터가 없어도 격리된 세그먼트의 리소스에 연결할 수 있다. 또한 산업 네트워크 시스템의 연결 매개변수, 주소, 구조 및 암호가 일반 텍스트 형식으로 엔지니어 및 기타 담당자 컴퓨터에 저장되는 경우도 많다. 

산업체에서 빈번하게 발생하는 또 다른 약점은 오래된 소프트웨어 사용이다. 사이버 보안 전문업체 클래로티(Claroty)의 설문에 따르면, ICS 구성요소의 취약점 수는 최근 몇 년 동안 꾸준히 증가했다. 2020년에 전문가들이 발견한 취약점 수는 전년 대비 25% 증가했다. 특히 에너지 분야, 제조 및 수처리 설비에서 이런 문제가 두드러진다. 문제는 산업 시스템을 업데이트하기 위해서는 일주일 또는 한 달에 몇 시간밖에 열리지 않는 특별 “유지보수 윈도우”가 필요하다는 것이다. editor@itworld.co.kr


2021.09.16

"활짝 열린 공장문" 산업용 시스템의 위험한 허점

Manfred Bremmer | COMPUTERWOCHE
제품을 생산하거나 자원을 대량으로 추출하는 산업체는 그 규모와 비즈니스 프로세스의 중단이 미치는 영향이 큰 만큼 범죄 대상이 되는 경우도 증가하고 있다. 포지티브 테크놀로지(Positive Technologies)의 보고서에 따르면, 정부 분야에 이어 두 번째로 인기 있는 해커 공격 대상으로, 2020년 공격의 12%가 이 분야에서 발생했다. 
 
ⓒ Getty Images Bank

산업체에 대한 가장 큰 위협은 산업 스파이 행위와 재무적 손실이다. 2020년 해커들은 주로 데이터 절도에 관심을 보였고(84%), 직접적인 금전적 보상을 노린 경우도 36%에 이르렀다. 
 

작은 공격, 큰 영향 

해커들의 동기가 다양한 것만큼 공격에 따른 영향의 심각도도 다양하다. 대표적인 예를 살펴보자.

2020년 6월 자동차 제조업체 혼다는 회사 네트워크에 랜섬웨어 공격을 받은 후 여러 공장의 생산을 중단해야 했다. 기술 및 비즈니스 시스템 기능을 완전히 복원하고 향후 동일한 사건의 재발을 방지하는 조치를 취하는 데 하루가 걸렸다.

미국 최대의 연료 공급업체인 콜로니얼 파이프라인은 2021년 5월에 랜섬웨어 공격을 받았다. 컴퓨터 시스템이 일주일 동안 작동하지 않아 동부 해안 지역에서 사용되는 연료의 거의 절반을 담당하는 중요한 파이프라인 가동이 중단됐다. 

2021년 2월, 한 해커가 플로리다의 작은 도시의 상수도 시스템에 접근해서 물의 화학성분 변경을 시도했다. 

2020년 2월, 크로아티아의 석유 회사 INA는 해커의 공격을 받아 송장 발행, 고객 카드 등록 모바일 쿠폰 발급 업무가 중단됐다. 이 공격에 사용된 클롭(Clop) 랜섬웨어가 회사의 내부 서버에 있는 데이터를 암호화하면서 비즈니스 프로세스가 멈췄다. 
 

해커보다 먼저 취약점 찾기 

IT 보안 전문 업체는 이런 심각한 장애를 사전에 방지하기 위해 해커 역할을 맡아 이런 기업의 인프라에 대한 액세스 권한을 어떻게 얻고 사이버 공격이 어떤 영향을 미칠 수 있는지를 테스트한다. 약점을 파악하면, 이후 효율적인 보안 시스템을 구축하도록 돕는다. 연구에 따르면 산업용 시스템에 대한 공격의 기반이 되는 가장 일반적인 취약점은 다음과 같다. 
 
  • 인터넷에서 액세스가 가능한 외부 네트워크 경계 
  • 산업용 네트워크에 침투하는 해커를 막기 위한 보호 기능의 부족 
  • 잘못 구성된 디바이스 
  • 네트워크 세그먼트화와 트래픽 필터링의 취약점 
  • 사전에 있는 간단한 단어를 사용한 암호 
  • 오래된 소프트웨어 사용 

포지티브는 보고서를 통해 “산업체는 이런 공격에 대한 보호가 매우 취약하다”고 지적했다. 2020년에 수행된 보안 평가에서는 외부 공격자가 이런 산업체 91%의 기업 네트워크에 침투할 수 있음이 드러났다. 네트워크에 침투한 공격자는 100% 인증 정보에 액세스해 인프라를 완전히 장악할 수 있었고, 69%는 파트너 및 직원, 이메일, 내부 문서와 같은 민감한 데이터를 훔칠 수 있었다. 그러나 포지티브는 산업체의 75%에서 네트워크의 기술적인 부분에 액세스하는 데 성공했다는 점이 더 심각한 문제라고 지적했다. 이 중 56%에서 범죄자는 산업 제어 시스템(ICS)에도 액세스할 수 있었다.

실제 위협 상황의 심각성은 경계 및 네트워크의 공격을 탐지하는 데 사용되는 포지티브 테크놀로지의 네트워크 분석 툴 결과에서 볼 수 있다. 이 결과에 따르면, 2020년 모든 산업체에서 의심스러운 네트워크 활동과 보안 침해가 발견됐다. 포지티브의 툴은 기업의 71%에서 맬웨어 활동을 감지했고 57%에서 해커가 취약점 악용을 시도했거나 무차별 대입 공격을 사용한 암호 크랙을 시도했음을 감지했다.  
 

해커에게는 흔하고도 쉬운 일 

포지티브 테크놀로지의 전문가들에 따르면 해커에게 핵심 시스템을 공격하기는 너무 쉬운 일이다. 예를 들어 산업체 보안 평가 중에 이들은 기업 네트워크에 침투해서 도메인 최상위 권한을 획득했다. 그런 다음 네트워크의 빈틈에 대한 정보를 수집했다. 이 활동 중에 컴퓨터가 ICS 네트워크에 연결되어 있음을 파악하고 이 노드를 통해 ICS 네트워크에 액세스했다. 

이런 컴퓨터를 관리하면서 흔히 저지르는 실수는 원격 액세스 인증(예를 들어 RDP를 통해)을 위한 양식으로 연결 매개변수를 저장하는 것이다. 공격자가 이 컴퓨터를 장악하면, 로그인 데이터가 없어도 격리된 세그먼트의 리소스에 연결할 수 있다. 또한 산업 네트워크 시스템의 연결 매개변수, 주소, 구조 및 암호가 일반 텍스트 형식으로 엔지니어 및 기타 담당자 컴퓨터에 저장되는 경우도 많다. 

산업체에서 빈번하게 발생하는 또 다른 약점은 오래된 소프트웨어 사용이다. 사이버 보안 전문업체 클래로티(Claroty)의 설문에 따르면, ICS 구성요소의 취약점 수는 최근 몇 년 동안 꾸준히 증가했다. 2020년에 전문가들이 발견한 취약점 수는 전년 대비 25% 증가했다. 특히 에너지 분야, 제조 및 수처리 설비에서 이런 문제가 두드러진다. 문제는 산업 시스템을 업데이트하기 위해서는 일주일 또는 한 달에 몇 시간밖에 열리지 않는 특별 “유지보수 윈도우”가 필요하다는 것이다. editor@itworld.co.kr


X