OT 해킹 알려주는 인터넷 강의로 OT 공격 일삼기도
[데이터넷] ‘선무당이 사람 잡는다’라는 말이 있다. OT를 노리는 공격이 현재 그렇다.
미국 콜로니얼 파이프라인 랜섬웨어 피해를 통해 사회 주요 인프라와 생산·제어시설과 같은 OT 환경을 타깃으로 한 공격이 심각해지고 있다는 경각심이 생겼으며, 전문적인 사이버 범죄 그룹 혹은 정칙적인 목적을 가진 국가기반 공격자들이 장기간에 걸쳐 정밀하게 계획하고 진행하는 공격에 대한 경고가 이어지고 있다.
그러나 모든 OT 타깃 공격이 높은 전문성을 가진 공격자들에 의해 발생하는 것은 아니며, 정교하게 맞춤형으로 제작된 공격도구와 전술·전략을 택하는 것도 아니다. OT 공격자들은 일반적인 인터넷 환경을 공격하는 도구를 사용해 인터넷에 노출된 OT 시스템으로 침투한다. 심지어 해킹에 대한 전문성이 낮은 초보 해커들에 의한 피해도 이어지고 있다.
파이어아이 맨디언트 위협 인텔리전스 관찰에 따르면 일반적인 도구를 이용하는 공격은 정교하게 설계되거나 계획되지 않으며, 특정 조직을 목표로 하지 않는 경우가 많다. 일부 정치, 신념, 재정적 목표 같은 동기를 가진 이들은 특정 설비나 시설이 가동을 중단시키는 것을 목표로 하지 않으며, 자신들의 메시지를 전달하는데 주력한다. 이들은 인터넷을 통해 접근 가능한 모든 OT 자산을 공격 대상으로 삼는다.
인터넷에 노출된 OT 침해 증가
맨디언트는 최근 몇 년 사이 인터넷에 노출된 OT 시스템 공격이 심각한 수준이라고 진단하면서 “일반적인 위협 행위는 돈 버는 것이 목표지만, 돈 보다 자신의 지식이나 전문성을 공유에 열심인 경우도 있다. 이런 영향 때문인지 최근 관찰에 따르면 누구나 시간과 노력을 기울이면 찾을 수 있는 TTP와 도구를 이용해 인터넷에 노출된 OT 자산을 노리는 정교하지 않은 위협 활동들이 눈에 띈다”고 설명했다.
이러한 위협의 활동 범위는 매우 넓다. 태양 에너지 패널, 물 제어 시스템, 건물 자동화 시스템, 개인 주택의 보안 시스템 등 그 대상이 다양합니다. 위협의 파장이 큰 민감한 대상도 있지만 그렇지 않은 것도 적지 않다.
정교함이 떨어지는 OT 위협은 공격자가 VNC 연결을 악용해 제어 시스템에 원격으로 접근한다는 것이다. 공격자들은 HMI 같은 사용자 친화적인 GUI 환경을 노린다. 제어 시스템을 직관적으로 조작하기 위한 편의성이 오히려 설비와 공정에 대한 지식이 없는 공격자가 접근에만 성공하면 쉽게 제어 값을 조정할 수 있다. 대부분의 경우 공격자는 침투에 성공했다는 것을 증명하기 위해 제어 시스템의 GUI 화면 캡처, IP 주소, 시스템 타임스탬프, 비디오 등을 보여준다.
일부 공격자는 침해한 제어 시스템과 상호작용을 하고 있다는 것을 알리고 싶어 한다. 자신의 데스크톱에서 원격 연결을 통해 HMI에 접근해 임의로 설정을 변경하는 화면을 공유하기도 했다. 이 공격자가 침투에 성공한 시스템은 주로 중소기업의 자산인 것으로 보이며 규모가 있는 조직이 피해를 보기도 한 것으로 추정된다.
어떤 공격자는 자신이 침해한 OT 환경을 잘 이해하기 보다 그저 악명을 얻어 유명해지기 위해 위협을 가했다고 밝히기도 한다. 한 공격자는 침해 사건이 외부에 알려진 철도 제어 시스템의 스크린샷을 올려 공유했따.
또 다른 공격자는 이란의 미사일 시설이 폭발한 것에 대한 보복으로 이스라엘의 가스 시스템을 손상시켰다고 주장하기도 했습니다. 이 공격자가 공개한 비디오에는 Ramat Hasharon에 있는 식당에 설치된 주방 환기 시스템을 손상시켰음을 보여주는 장면이 있다.
핵티비스트 집단의 일원인 것으로 보이는 공격자가 인터넷에서 접근할 수 있는 OT 자산을 식별하고 이를 손상시키는 방법을 안내하는 튜토리얼을 만들어 공유하기도 했다. 튜토리얼 내용을 보면 VNC 유틸리티를 사용해 쇼단에서 식별된 IP에 연결하거나 Censys에서 포트 5900을 검색하는 것 같은 간단한 방법이 나와 있다.
정교함이 떨어지는 OT 침해로 인한 위험 증가
정교하지 않은 공격이라고 해서 무시해서는 안된다. 초보적인 공격이라도 반복하다보면 노하우가 생기고, 큰 위협이 되는 공격자로 성장할 수 있다. 또 보안 수준이 높지 않은 산업이나 조직은 초보적인 공격으로도 프로세스가 중단될 수 있다. 공격자가 자신의 성공담을 알리고 지식을 공유하는 것이 다른 이에게 동기 부여를 할 수 있다. 공격자가 많아지면 금전적 목적을 가진 자원과 실력이 풍부한 이들의 참여도 늘 수 있다. 랜섬웨어가 그 사례다.
정교하지 않은 위협을 탐지하고 대응하는 것은 보안 베스트 프랙티스 구현으로 할 수 있다. 맨디언트는 다음의 사항을 지킬 것을 권고했다.
공용 네트워크에 노출된 OT 자산을 제거한다. 원격 액세스가 필요할 경우 제어 체계를 수립하고 비정상적인 활동을 모니터링한다.
사용하지 않는 서비스는 비활성화하고, 자격 증명을 정기적으로 바꾸고, 자산 구성을 주기적으로 검토하고, 액세스 허용 목록 생성 같은 관리 기능을 엣지 장치에 적용한다.
쇼단, Censys 같은 온라인 스캐너를 이용해 조직의 자산이 검색되는지 확인한다. 지식이 풍부한 보안 전문가의 도움을 통해 노출된 자산과 유출된 정보가 무엇인지 식별한다. 맨디어트 위협 인텔리전스는 조직이 인터넷에 노출된 자사의 자산과 정보를 식별하는 데 필요한 도움을 준다.
OT 환경을 위협하는 공격자에 관심을 기울이고, OT 관련 취약점을 잘 살피고, 주요 시스템을 제공하는 서드파티 및 OEM 업체가 제공하는 보안 정보도 놓치지 말아야 한다.
HMI 및 기타 제어 시스템 자산을 함부로 설정하거나 값을 변경할 수 없게 한다. 모든 입력과 설정 변경 시도를 정상적인 운영 활동으로 보지 말아야 한다. 경우에 따라 악의적인 목적이 있을 수 있다고 가정한다. 이런 가정 하에 허용 임계 값 내에서 운영 활동이 이뤄지고 있는지 확인하고 보장할 수 있어야 한다.
