IoT 취약성 심각…자격증명 탈취 공격에 취약
[데이터넷] 올해 상반기 OT/ICS에서 발견된 새로운 취약점이 지난해 하반기보다 줄어들었지만, 영향받는 시스템은 늘어난 것으로 나타났다.
노조미네트웍스의 ‘2022년 상반기 OT/IoT 위협 보고서’에 따르면 이 기간 발견된 새로운 취약점은 560개로, 지난해 하반기 651개보다 100개가량 줄었다. 그러나 공개된 취약성의 영향을 받는 공급업체는 47개에서 60개로, 영향받는 제품은 144개에서 172개로 늘었다. 공개된 취약점 중 109개가 중요한 제조업에 영향을 미쳤으며, 여러 산업에 영향을 미치는 취약점은 131개에 달했다.
취약점을 이용하는 공격 유형은 SQL 인젝션이 가장 많으며, 잘못된 인증, 부적절한 액세스 제어, 오버플로우 등 오랫동안 사용되어 오던 공격 유형에서 크게 벗어나지는 않았다.
합법적 IP·정상 명령 사용하는 공격자
이 보고서에서 특히 주목되는 것이 감염된 IoT 기기가 가장 많이 발견된 국가로, 중국, 미국에 이어 우리나라가 세번째였다는 점이다. IoT 기기의 IP 주소는 변경될 수 있기 때문에 우리나라에서 발견된 모든 기기가 우리나라에서 접속됐다고 볼 수는 없지만, 전반적으로 국내 IoT 기기의 취약점이 심각한 수준이라는 점은 짐작할 수 있다.
취약한 IoT 기기는 봇넷에 동원돼 다양한 공격에 악용될 수 있다. 많은 IoT 기기가 SSH 암호화 프로토콜을 사용하지만, 무차별 대입공격 등을 이용해 자격증명을 탈취할 수 있다. 미라이 공격은 텔넷을 이용했지만, 공격자가 소스코드를 공개하면서 SSH나 기타 프로토콜을 대상으로 조작할 수 있다.
IoT 기기의 자격증명 관리 소홀도 문제로 지목된다. 공격에 사용된 자격증명 중 가장 많은 것이 nproc:nproc이며, 그 다음은 admin:admin, root:root, root:admin, support:support, admin: 1234, admin 등의 순으로 나타났다.
공격자가 IoT 기기의 자격증명을 탈취했다 해도 보안 시스템이 공격자가 사용하는 인프라에 대한 정보를 알고 있으며 공격을 미리 차단할 수 있다. 많은 보안 시스템이 공격자 IP 주소 정보를 갖고 있는데, 공격자들은 이를 우회하기 위해 합법적인 IP를 사용한다. 그리고 정상적인 실행 명령어를 사용해 OS가 악의적인 명령을 처리하도록 하는 지능적 공격 수법도 사용한다.
러시아-우크라이나 전쟁으로 OT 위협 수준 더 높아져
이 보고서에서는 올해 새롭게 발견된 OT 타깃 멀웨어 ‘인더스트로이어2(Industroyer2)’에 대해서도 소개했다. 인더스트로이어는 2015년 우크라이나 전력망 공격에 사용한 악성코드로, 이번에 새롭 탐지된 두번째 버전은 더 타깃 맞춤형으로 설계된 것으로 보인다. 다행히 이 악성코드는 초기에 발견돼 실제 피해로 이어지지는 않은 것으로 알려진다.
러시아 기반 공격자들의 활동은 날이 갈수록 심각한 피해를 입히고 있는데, 특히 우크라이나 침공 후 더욱 기승을 부리고 있다. 러시아와 동맹국, 그리고 우크라이나와 서방세계로 진영이 나뉘어 상대진영을 향해 공격을 퍼붓고 있는데, 벨라루스 정부가 러시아를 지원하자 벨라루스 핵티비스트들이 이를 방해하기 위해 국영 철도 서버를 공격하기도 했다.
미국의 통신사 비아샛(Viasat)은 러시아가 우크라이나를 침공한 날 사이버 공격을 받아 고객들의 통신에 장애를 일으켰는데, 그 여파로 독일 에너콘의 5800기 풍력 터빈이 중단되기도 했다.
국가기반 공격자들은 상대 국가의 중요 시스템과 민간기업에 침투해 데이터를 지우거나 시스템을 파괴하는 활동도 벌이고 있다. 비아샛을 공격한 에이시드레인(AcidRain)은 데이터를 지워 기업과 산업 프로세스를 중단시키려고 시도했으며, 외부 장치에 저장된 백업 파일까지 파괴하려고 했다.
OT 전문 인텔리전스 필요
보고서에서는 올해 하반기 더 정교한 OT/ICS 타깃 공격이 성행할 것으로 예상하며, 특히 랜섬웨어 공격자들이 중요 인프라를 대상으로 그들의 수익성을 극대화할 것이라고 전망했다.
보고서는 공격자들이 더 큰 효과를 거둘 수 있는 대규모 조직, 민감한 고객 데이터를 갖고 있는 조직을 주요 공격 목표로 하고 있다고 전했다. 더불어 개인정보뿐만 아니라 기술코드 유출 시도, 특정 기업이나 산업을 무너뜨리기 위해 설계된 표적공격도 진행하고 있다.
이러한 위협으로부터 OT/ICS를 보호하기 위해 반드시 강력한 백업 정책을 수립, 이행하며, 위협 탐지와 대응 기술을 이용해 현재와 미래의 이벤트에 대비하고, 소프트웨어 자재명세(SBoM)를 이용해 취약한 코드를 빠르게 식별해 조치할 수 있게 한다.
사이버 공격으로 데이터와 시스템이 중단되거나 접근할 수 없는 상황에 대배하기 위해 클라우드를 사용하는 것도 제안된다. 클라우드로 이관할 수 있는 데이터와 시스템을 분류하고, 신뢰할 수 있는 클라우드 사업자 중, 해당 산업이나 국가에서 요구하는 보안인증을 받은 서비스를 선택해야 한다.
클라우드를 사용할 때 반드시 데이터를 암호화 \며, ID 관리 도구를 사용하고 MFA를 이용해 계정탈취 공격자의 접근을 막고, 의심스러운 활동을 모니터링한다.
보고서는 OT/ICS 전문 위협 인텔리전스 사용도 권고했다. 사이버 위협 인텔리전스(CTI)는 IT 환경의 위협 정보를 기반으로 새로 탐지되는 위협에 대응할 수 있도록 하는데, 여기에는 OT/ICS 타깃 공격에 대한 전문성이 포함되지는 않았다. OT/ICS 보안 전문성을 갖춘 위협 피드를 사용해 OT 보안 위협을 정확하게 탐지·대응해야 한다.
보고서는 “산업 사이버 보안이 빠른 속도로 변하고 있으므로, 기업은 운영 효율성과 보안을 둘 다 고려해야 한다. 기존의 보안은 신속하게 대응하거나 정보에 입각한 의사결정을 낼 수 있는 충분한 컨텍스트를 제공하지 못한다. 보안 문제에 대해 서로 다른 관점을 가질 수 있는 IT 팀, 규정 준수 책임자 및 리스크 관리자와 같은 조직 내의 서로 다른 이해관계자가 사용할 수 있는 실행 가능한 인텔리전스가 필요하다”고 밝혔다.
