페트야 랜섬웨어가 생산공장, 공항, 발전시스템을 공격하면서 폐쇄망 보안에 빨간불이 켜졌다. 폐쇄망은 가장 높은 수준의 보안 정책으로 보호돼야 하지만, 실제로는 보안에 소홀한 관리 환경으로 인해 보안에 매우 취약한 환경이 됐다. 폐쇄망 네트워크는 중단 없이 운영돼야 해 소프트웨어 업데이트가 어렵고, 보안 전문가가 적어 제대로 된 보안 정책을 수립하고 운영하기 어렵다. 그럴수록 기본 보안 수칙에 충실하는 것이 정답이다. 다계층 방어 시스템을 구성하고, 관리자의 보안 수칙을 강화하며, 정기적인 취약점 진단, 모의해킹, 지능적인 보안관제로 리스크를 줄여나가야 한다.<편집자>
국가 주요 기반시설, 공장 생산설비 등의 핵심 시스템인 산업제어시스템(ICS)이 랜섬웨어 위협에 직면했다. 6월 전 세계에 피해를 입힌 페트야(Petya) 랜섬웨어 변종인 ‘골든아이’가 가스‧전기‧상하수도 등 공기업, 항공‧교통, 은행 등과 같은 핵심 사회기반 시설을 대상으로 공격한 것이 포착됐다. 러시아의 석유 회사 로즈네프트, 철강회사 에브라즈, 덴마크의 선박 회사 AP몰러-머스크, 우크라이나 보리스필 공항, 미국 제약회사 머크, 체르노빌 방사능탐지시스템 등이 타깃이 됐다.
페트야 랜섬웨어도 주요 기반시설을 공격하는 기능을 갖고 있다. 독일에서는 제조공장이 큰 피해를 입어 일주일 이상 생산 프로세스가 중단돼 수백만 유로의 피해가 발생한 것으로 집계된다.
페트야는 유럽에서 주로 사용되는 우크라이나의 회계 소프트웨어 메독(M.E.Doc)의 취약점을 이용해 웜 형태로 퍼져나갔다. 워너크라이와 마찬가지로 이터널블루 취약점을 이용했으며, 메독을 사용하는 PC와 공유 PC가 피해를 입었다. 우크라이나 정부에서 조사한 바에 따르면 메독 서버는 2013년부터 업데이트되지 않아 해커가 쉽게 접근할 수 있었던 것으로 나타났다.
우크라이나 기업의 80%가 메독을 사용하고 있어 가장 많은 피해를 입었으며, 글로벌 물류 기업 페덱스가 유럽에서 운영하는 TNT 익스프레스가 페트야에 감염돼 서비스 중단 위기까지 몰렸다.
사이버 무기로 진화하는 랜섬웨어
워너크라이와 페트야는 공격자가 돈을 받는데 적극적이지 않다는 점에서 사이버 무기로 사용됐거나, 실전에 사용하기 위한 테스트일 것이라는 추측이 나온다. 이 두 공격은 미국 NSA가 개발한 이터널블루 취약점을 이용하고 있으며, 네트워크에 연결된 단말로 퍼져나간다는 공통점이 있으며, 시스템을 파괴하고 공격 위력을 과시했다는 점에서 사이버 전쟁의 전초전이라는 관측도 있다.
ICS를 노리는 사이버테러로 발전할 가능성이 있다는 주장도 나온다. ICS는 산업 공정·기반 시설·설비를 바탕으로 한 작업공정을 감시하고 제어하는 컴퓨터 시스템을 말하며, SCADA는 ICS에 사용되는 시스템의 하나다. SCADA에는 HMI(Human-Machine Interface), PLC(Programmable Logic Controller) 등이 있다.
ICS는 원칙적으로 인터넷에 연결되지 않으며, 독자적인 프로토콜을 이용하기 때문에 외부 사이버 공격으로부터 안전하다. 우리나라에서 많이 채택한 망분리 역시 업무망은 외부 인터넷에 연결하지 않도록 해 인터넷을 통한 공격을 차단할 수 있다.
그러나 전 세계 인터넷 연결장치를 검색해주는 쇼단(www.shodan.io)에서는 폐쇄망으로 운영돼야 할 시스템이 다수 검색된다. 원격지 관리자를 위해 열어둔 포트, 패치 업데이트를 위해 인터넷에 연결한 지점 등이 공개되어 있으며, 누구나 쉽게 검색해 IP 주소와 관리자 페이지 등에 접속해 볼 수 있다.
PLC 랜섬웨어 시연을 위해 제작된 ‘로직락커(LogicLocker)’ 랜섬웨어는 도시 수처리 시설 모형에서 세 가지 유형의 PLC를 감염시킬 수 있다는 것을 보여줬다. 랜섬웨어에 감염된 PLC는 관리자 계정의 암호를 설정해 관리자가 피해 사실을 알고 복구하는 것을 차단할 수 있었다.
지속되는 국가 주요시설 공격
사이버 전쟁으로 볼 수 있는 사이버 공격은 이미 오랫동안 진행돼왔다. 안랩의 ‘국내 방위산업체 공격 동향 보고서’에 따르면 소니픽처스를 해킹한 공격자가 국내 방산업체를 지속적으로 공격해왔다는 사실이 드러났다. 보고서에서는 2015년부터 2016년까지 발견된 라이프도어 악성코드와 2016년 초부터 활동을 시작한 팬도어(Phandoor) 악성코드의 C&C 서버가 대부분 한국에 위치했으며, 국내 대학교 시스템을 주로 이용하고 있는 것으로 나타났다.
방위산업체 공격은 스피어피싱 이메일, 워터링 홀 등 전형적인 APT 공격 방식을 사용했지만, 지난해에는 중앙 관리 시스템을 직접 해킹한 사례가 집중적으로 발생했다. 중앙 관리 시스템에 연결된 컴퓨터에 악성코드를 배포하는 방식으로 일반 PC가 특정 관리 시스템에 연결돼 있다는 점을 노렸다.
공격자는 타깃 조직이 사용하는 프로그램을 미리 분석한 후 해당 프로그램의 취약점을 노려 공격에 이용하고 있다. 일부 그룹에서 공격에 사용한 프로그램 중에는 한국어로 된 프로그램이 확인돼 국내 공격자가 한국인일 가능성도 있다.
국가 주요시설, 특히 군·국방 시설에 대한 표적공격이 지속되면서 정부에서는 군 사이버 보안 강화를 위해 군 내부망 보안 관리를 재점검하는 한편, 방산업체에 대한 보안관리도 강화하고 있다. 그 일환으로 모든 방산업체에 망분리를 완료하도록 의무화했으며, 애초 6월30일까지였던 기간을 올해 말로 유예하면서 방산업체의 망분리를 유도하고 있다.
방산업체 망분리는 물리적 망분리를 원칙으로 하고 있으며, 업무망과 인터넷망에 PC 보안관리, 이메일 보안, 네트워크 접근제어, 문서보안, 망간 자료전송 등을 구축해야 한다. 망간 자료전송 구간에 APT 방어 솔루션을 추가하는 것도 권고된다.
