2021.07.23

미국의 석유 및 천연 가스 인프라 공격에 성공한 중국…CISA 경보

Christopher Burgess | CSO
미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 2021년 7월 20일 중국이 2011년부터 2013년까지 미국의 석유 및 천연 가스 파이프라인 기업들에 침입했음을 밝히면서 경보(AA-22-2021A)를 발령했다. 

이번 경보에서 CISA는 공격이 발생한 빈도, 확인된 기업의 수, 실패한 횟수, 침입 깊이가 파악되지 않은 공격 횟수를 공유했다.


인프라에 침입한 중국

공격 주체가 사용하는 방법과 기법이 점차 발전하면서 주체를 찾아내기가 어려워졌으며, 무한에 가까운 자원을 보유한 국가가 지원하는 공격 조직의 경우는 더욱 그렇다. 

CISA는 미국 FBI와 함께 이런 공격이 중국의 지원을 받은 공격자의 소행이라고 확신하고 있다. 표적은 원격 감시 제어 시스템인 SCADA(Supervisory Control and Data Acquisition)의 네트워크였다.

CISO들은 잘 알고 있겠지만, 이 공격은 2011년 12월에 시작되어 2012년 2월까지 지속된 성공적인 스피어 피싱(Spear Phishing) 캠페인과 관련되어 있었다. CISA의 경보에서 4가지의 마이터 어택(MITRE ATT&AK) 전략 콜렉션이 강조됐다.

- TA009: (2018년 10월, 2019년 7월 업데이트) 정보와 정보 소스를 수집하는 적대적인 기법
- TA0010: (2018년 10월, 2019년 7월 업데이트) 데이터를 훔칠 때 시도하는 적대적인 탈출 기법
- T1213: (2018년 10월, 2021년 4월 업데이트) 정보 마이닝을 위한 적대적인 정보 저장소 활용. 일상적으로 보이는 데이터가 적에게 가치가 있을 수 있으며, 모든 CISO는 사용자에게 T1213에서 강조된 다음 유형의 정보가 유출되는 경우 팀을 표적으로 삼은 적들에게 미래의 공격을 용이하게 하는 많은 데이터를 제공한다는 사실을 상기시켜야 한다.
   
  • 정책, 절차, 표준
  • 물리적/논리적 네트워크 다이어그램
  • 시스템 아키텍처 다이어그램
  • 기술 시스템 문서
  • 테스트/개발 자격 증명
  • 작업/프로젝트 일정
  • 소스코드 조각
  • 네트워크 공유 및 기타 내부 리소스의 링크

- T1120: (2017년 5월, 2020년 3월 업데이트됨) 부착된 주변 장치에 관한 정보를 수집하는 적대적인 시도

CISA는 중국이 23개 표적 기업 가운데 13곳을 해킹했다고 강조했으며 23개 기업 가운데 8곳이 해킹됐을 수 있지만 해킹 수준이 파악되지 못했다고 밝혔다. 이는 CISO가 임원/이사회에 보고하고 싶어할 만한 내용은 아니다.

중국의 공격자들이 성공해 ‘정당한 시스템 운영자로 가장해 무단 작업을 수행할 수 있었다면’ 중대한 문제가 되기 때문에 승인을 받아야 할 것이다. 하지만 공격자들은 ‘다이얼업 액세스(Dial-up access)’를 획득했으며, 이는 여전히 에너지 부문의 ICS(Industrial Control Systems)의 대들보이다. 

CISA는 이것을 중국의 ‘미래 작전’을 위한 환경 준비라고 설명했다. 즉, 중국이 국가 안보를 이유로 미국의 석유 및 천연 가스 유통 네트워크를 중단시키고 손상시키며 지연시키기 위한 경우에 대비해 환경을 준비하는 것이다.

CISA 경보에서는 중국의 어떤 주체가 이 공격을 수행했는지 밝히지 않았다. 하지만 ABC 뉴스는 2013년 2월, 상하이 푸동에 위치한 중국의 PLA 유닛(Unit) 61398이 감행한 맨디언트/파이어아이 사이버공격에 관해 보도했다. 해당 보도에서 유닛 61398이 2006년 이후로 “최소 141개 조직에서 수백 테라바이트의 데이터를 훔쳤다”라고 밝혔다. 이 가운데 115곳은 미국에 있었고 에너지를 포함한 여러 분야에 포진되어 있었다.


러시아도 에너지 산업을 표적으로 

2018년 3월, CISA는 러시아 연방이 스피어 피싱을 통해 ‘원격 액세스’를 확보해 에너지 부문 ICS의 상업적 주체를 표적으로 삼았다고 밝혔다. CISA는 러시아의 침입자들이 네트워크 안에서 “네트워크 정찰을 수행하고 횡적 이동을 하고 ICS에 관한 정보를 수집했다”라고 밝혔다.


ICS CISO에게 고함, 사이버보안 인프라에 투자하라

장치로 인한 내재된 보안 약점이 있기 때문에 인프라 내에서 다이얼업 연결을 사용하지 말아야 한다는 경고와 함께 산업 제어 시스템을 담당하는 CISO가 기본적인 사이버 인프라에 투자해야 할 필요성이 더욱 명확해졌다. 

CISA는 이를 ‘보안과 모니터링이 없는 ICS 환경에 대한 직접 액세스’라고 강조했다.

여기서 의문을 갖지 않을 수 없다. 기업이 ICS 네트워크의 액세스 대상의 액세스를 제어하거나 모니터링할 수 없다면 중국 또는 러시아가 침입했는지 어떻게 알 수 있을까? 

해당 경고에서는 대상 기업 가운데 35%가 ICS에 대한 중국의 침입 내용을 파악할 수 없었다고 강조했다. 이 8명의 CISO 가운데 한 명이 어두움 속에 앉아 질문에 답할 수 없다고 상상해 보자. “적들은 네트워크를 해킹한 후 무엇을 했는가?”

CISO는 이번 경보를 은행에 가져가 국가 주도의 공격자 이익의 증거뿐만 아니라 기존 보안 조치를 강화하고 조정하기 위해 자원을 투입할 근거로 삼아야 한다. editor@itworld.co.kr 


2021.07.23

미국의 석유 및 천연 가스 인프라 공격에 성공한 중국…CISA 경보

Christopher Burgess | CSO
미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 2021년 7월 20일 중국이 2011년부터 2013년까지 미국의 석유 및 천연 가스 파이프라인 기업들에 침입했음을 밝히면서 경보(AA-22-2021A)를 발령했다. 

이번 경보에서 CISA는 공격이 발생한 빈도, 확인된 기업의 수, 실패한 횟수, 침입 깊이가 파악되지 않은 공격 횟수를 공유했다.


인프라에 침입한 중국

공격 주체가 사용하는 방법과 기법이 점차 발전하면서 주체를 찾아내기가 어려워졌으며, 무한에 가까운 자원을 보유한 국가가 지원하는 공격 조직의 경우는 더욱 그렇다. 

CISA는 미국 FBI와 함께 이런 공격이 중국의 지원을 받은 공격자의 소행이라고 확신하고 있다. 표적은 원격 감시 제어 시스템인 SCADA(Supervisory Control and Data Acquisition)의 네트워크였다.

CISO들은 잘 알고 있겠지만, 이 공격은 2011년 12월에 시작되어 2012년 2월까지 지속된 성공적인 스피어 피싱(Spear Phishing) 캠페인과 관련되어 있었다. CISA의 경보에서 4가지의 마이터 어택(MITRE ATT&AK) 전략 콜렉션이 강조됐다.

- TA009: (2018년 10월, 2019년 7월 업데이트) 정보와 정보 소스를 수집하는 적대적인 기법
- TA0010: (2018년 10월, 2019년 7월 업데이트) 데이터를 훔칠 때 시도하는 적대적인 탈출 기법
- T1213: (2018년 10월, 2021년 4월 업데이트) 정보 마이닝을 위한 적대적인 정보 저장소 활용. 일상적으로 보이는 데이터가 적에게 가치가 있을 수 있으며, 모든 CISO는 사용자에게 T1213에서 강조된 다음 유형의 정보가 유출되는 경우 팀을 표적으로 삼은 적들에게 미래의 공격을 용이하게 하는 많은 데이터를 제공한다는 사실을 상기시켜야 한다.
   
  • 정책, 절차, 표준
  • 물리적/논리적 네트워크 다이어그램
  • 시스템 아키텍처 다이어그램
  • 기술 시스템 문서
  • 테스트/개발 자격 증명
  • 작업/프로젝트 일정
  • 소스코드 조각
  • 네트워크 공유 및 기타 내부 리소스의 링크

- T1120: (2017년 5월, 2020년 3월 업데이트됨) 부착된 주변 장치에 관한 정보를 수집하는 적대적인 시도

CISA는 중국이 23개 표적 기업 가운데 13곳을 해킹했다고 강조했으며 23개 기업 가운데 8곳이 해킹됐을 수 있지만 해킹 수준이 파악되지 못했다고 밝혔다. 이는 CISO가 임원/이사회에 보고하고 싶어할 만한 내용은 아니다.

중국의 공격자들이 성공해 ‘정당한 시스템 운영자로 가장해 무단 작업을 수행할 수 있었다면’ 중대한 문제가 되기 때문에 승인을 받아야 할 것이다. 하지만 공격자들은 ‘다이얼업 액세스(Dial-up access)’를 획득했으며, 이는 여전히 에너지 부문의 ICS(Industrial Control Systems)의 대들보이다. 

CISA는 이것을 중국의 ‘미래 작전’을 위한 환경 준비라고 설명했다. 즉, 중국이 국가 안보를 이유로 미국의 석유 및 천연 가스 유통 네트워크를 중단시키고 손상시키며 지연시키기 위한 경우에 대비해 환경을 준비하는 것이다.

CISA 경보에서는 중국의 어떤 주체가 이 공격을 수행했는지 밝히지 않았다. 하지만 ABC 뉴스는 2013년 2월, 상하이 푸동에 위치한 중국의 PLA 유닛(Unit) 61398이 감행한 맨디언트/파이어아이 사이버공격에 관해 보도했다. 해당 보도에서 유닛 61398이 2006년 이후로 “최소 141개 조직에서 수백 테라바이트의 데이터를 훔쳤다”라고 밝혔다. 이 가운데 115곳은 미국에 있었고 에너지를 포함한 여러 분야에 포진되어 있었다.


러시아도 에너지 산업을 표적으로 

2018년 3월, CISA는 러시아 연방이 스피어 피싱을 통해 ‘원격 액세스’를 확보해 에너지 부문 ICS의 상업적 주체를 표적으로 삼았다고 밝혔다. CISA는 러시아의 침입자들이 네트워크 안에서 “네트워크 정찰을 수행하고 횡적 이동을 하고 ICS에 관한 정보를 수집했다”라고 밝혔다.


ICS CISO에게 고함, 사이버보안 인프라에 투자하라

장치로 인한 내재된 보안 약점이 있기 때문에 인프라 내에서 다이얼업 연결을 사용하지 말아야 한다는 경고와 함께 산업 제어 시스템을 담당하는 CISO가 기본적인 사이버 인프라에 투자해야 할 필요성이 더욱 명확해졌다. 

CISA는 이를 ‘보안과 모니터링이 없는 ICS 환경에 대한 직접 액세스’라고 강조했다.

여기서 의문을 갖지 않을 수 없다. 기업이 ICS 네트워크의 액세스 대상의 액세스를 제어하거나 모니터링할 수 없다면 중국 또는 러시아가 침입했는지 어떻게 알 수 있을까? 

해당 경고에서는 대상 기업 가운데 35%가 ICS에 대한 중국의 침입 내용을 파악할 수 없었다고 강조했다. 이 8명의 CISO 가운데 한 명이 어두움 속에 앉아 질문에 답할 수 없다고 상상해 보자. “적들은 네트워크를 해킹한 후 무엇을 했는가?”

CISO는 이번 경보를 은행에 가져가 국가 주도의 공격자 이익의 증거뿐만 아니라 기존 보안 조치를 강화하고 조정하기 위해 자원을 투입할 근거로 삼아야 한다. editor@itworld.co.kr 


X