[데이터넷] 이스라엘 자동화 솔루션 기업 유니트로닉스(Unitronics)의 PLC를 악용한 위협 활동이 잇달아 발견되고 있다. 상하수 시스템(WWS)에 사용되는 PLC의 열악한 비밀번호 등 보안 약점을 이용해 공격자들이 펜실베니아, 플로리다 등 10여곳의 수자원 시설을 공격하고 있는 것으로 알려졌다.

플로리다 수자원 기관의 경우, 랜섬웨어 조직이 이 기관을 공격해 훔친 데이터를 공개하겠다고 협박하고 있으며, 일부 상수도 시설에서 장애가 발생한 것으로 알려진다. 지난달에는 펜실베니아 수도시설이 침입을 받았는데, 이 사건의 배후에 있는 해커들은 소셜 미디어 피드를 이란 지도자에 대한 언급으로 채웠으며, 이스라엘과 관련이 있거나 이스라엘 제품과 관련된 모든 기업을 공격하겠다고 공언했다.

미국 CISA는 지난달 유니트로닉스 PLC 취약성 악용 공격을 경고하며 수자원 시설 등의 주의를 당부했다. WWS 부문에서 사용되는 PLC는 탱크와 저수지를 채우기 위해 펌프장에서 펌프를 켜고 끄는 것, 화학물질 투입 등의 조절과 규제준수 데이터 수집 등을 위해 사용된다.

CISA와 FBI, NSA, 이스라엘 국가사이버국 등이 공동으로 발표한 경고문에서는 유니트로닉스 비전 시리즈 PLC를 표적으로 공격 활동을 벌이는 조직은 이란 정부의 이슬람혁명수비대(IRGC)와 연결돼 있는 ‘CyberAv3ngers’이며, 지난달부터 유니트로닉스 기기의 자격증명을 손상시키면서 위협 활동을 하고 있다.

이들이 공격도구로 삼는 유니트로닉스의 기기는 제어·모니터링 기능을 원격에서 통제할 수 있어 인터넷에 노출되는 경우가 많다. 그런데 이 기기의 비밀번호를 ‘1111’ 등 쉬운 조합으로 사용하는 경우가 많아 쉽게 접근할 수 있으며, 설비 운영 중단을 넘어서는 더 심각한 위협 활동을 전개할 수 있다.

CISA는 공격 피해를 막기 위해 PLC와 HMI에 강력한 비밀번호를 사용하며, IT 네트워크와 외부 네트워크, OT 네트워크에 대한 원격 액세스에 다단계 인증을 적용할 것, PLC와 인터넷 연결을 끊고 원격접속이 필요한 경우 VPN 등을 통해 제어할 것을 권고했다. 더불어 PLC 로직과 구성 백업, 랜섬웨어 피해 시 취해야 할 공장 초기화와 장치 구성 배포 프로세스 숙지할 것 등을 조언했다.

김선애 기자 다른기사 보기