“산업용 시스템 40%, 악성코드 감염”
상태바
“산업용 시스템 40%, 악성코드 감염”
  • 김선애 기자
  • 승인 2020.12.03 09:12
  • 댓글 0
이 기사를 공유합니다

카스퍼스키 ICS CERT 보고서…전체 멀웨어 감소했지만 타깃 맞춤형 공격 늘어
공장자동화·에너지 분야 공격 증가…코로나19로 원격접속 늘며 해킹 공격 집중

[데이터넷] 코로나19의 글로벌 확산이 본격화 된 올해 상반기, 전 세계 중요 시설들이 사이버 공격을 당했다. 아제르바이잔 정부·운송·에너지 기관, 이스라엘 상수도 시설, 호주 철강생산기업, 덴마크 해양 펌프 제조업체, 포르투갈 에너지 회사 등 많은 기업과 기관들이 피해를 입었다.

주목할 점은 이 기간 동안 탐지된 감염 시스템의 수는 크게 줄어들었다는 것이다. 공격자들은 많은 시스템에 악성코드를 유포하는 것이 아니라 표적화·집중화된 공격을 펼치고 있는 것이다.

카스퍼스키의 ICS CERT 보고서 ‘2020년 상반기 산업 자동화 시스템의 위협 환경 보고서’에 따르면 올해 상반기 카스퍼스키가 차단한 산업제어시스템(ICS)은 32.6%로 전년동기 대비 6.6% 포인트 감소했다. 그러나 공장 자동화 시스템에 사용된 컴퓨터는 39.9%, 석유·가스 분야 컴퓨터 37.8% 감염이 확인됐다. 또한 ICS 컴퓨터의 16.7%에서 인터넷 위협이 차단됐고, USB 등 이동식 저장장치를 통한 침투 시도가 5.8%, 악성 이메일 첨부파일 3.4%에서 위협이 발견돼 차단됐다.

보고서는 “카스퍼스키는 ICS 환경의 4119개 서로 다른 제품군에서 19만7000개 이상 악성코드 수정을 차단했으며, 눈에 띄게 더 많은 백도어, 스파이웨어, 익스플로잇 등을 찾아냈다”며 ICS를 노리는 공격이 크게 늘어나고 있다는 사실을 강조했다.

▲산업군별 감염된 ICS 시스템
▲산업군별 감염된 ICS 시스템

공격면 넓어지는 OT·ICS

코로나19가 산업 보안에 심각한 영향을 미치고 있다는 사실도 보고서는 지적하고 있다. 코로나19로 이동이 제한되면서 OT·ICS 설비에 대한 원격접속 수요가 증가하자 RDP 통신을 위한 암호 해독 시도가 뚜렷하게 증가했다. 공격자들은 무차별 대입 공격(부르트포스)으로 RDP 암호를 해독하고자 했으며, 이 방식은 성공률이 높지 않다. 그러나 한 번 성공하면 그 후로 지속적인 원격 액세스가 가능하기 때문에 심각한 피해로 이어질 수 있다.

가장 많은 공격이 집중된 산업은 공장 자동화로, 이 보고서에서는 빌딩 자동화로 표현하고 있다. 제조공장은 폐쇄망으로 운영되기 때문에 외부 위협이 유입되지 않는다고 생각하기 쉬우나 최근 제조망 환경은 기업의 IT 시스템과 상시 연결돼 있으며, 때로 유지보수·패치 업데이트를 위해 외부와 직접 연결되기도 한다.

랜섬웨어의 경우 악성메일을 이용해 직원 PC를 감염시킨 후 내부 시스템으로 침투한 후 OT와 연결지점을 찾아 OT 네트워크, ICS까지 침투한다. 그리고 랜섬웨어 공격으로 생산시설을 멈추게 한 후 막대한 금액을 요구한다.

IT를 거치지 않고 ICS를 직접 감염시키는 사례도 다수 발생한다. ICS 운영을 위한 컴퓨터는 ICS 가용성을 위해 단종된 OS, 패치되지 않은 소프트웨어를 사용하는 경우가 대다수다. 알려진 취약점을 이용해 ICS 컴퓨터를 감염시킨 후 ICS로 침투해 시스템을 마비시키거나 중요 데이터를 훔치는 활동을 이어간다.

보고서는 “ICS 컴퓨터는 일반 IT 컴퓨터보다 훨씬 더 넓은 공격면을 갖는다. IT를 통해 잠입하는 공격부터 ICS로 직접 침투하는 공격까지 막아내야 하는데, 이를 정보보안 조직이 모두 통제할 수 있는 것도 아니기 때문에 대응이 어렵다”고 설명했다.

한편 카스퍼스키는 산업보안을 위한 엔드포인트·네트워크 보안 솔루션과 위협 인텔리전스·침해대응·교육 및 컨설팅 서비스까지 제공하고 있으며, 다양한 산업보안 솔루션·서비스 공급 사례를 갖고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.