지정학적 긴장과 분쟁으로 인해 운영 기술(OT) 네트워크 공격이 증가하면서, OT 보안에 대한 관심이 빠르게 늘고 있다.
산업 보안 기업 드라고스(Dragos)이 조사한 바에 따르면 지난해에는 OT 시스템 공격자 그룹 2개가 새로 등장해 총 9개가 됐다. 또한 공격자들의 보유 도구에는 산업 제어 시스템(ICS)을 노리는 2가지 새로운 멀웨어 계열이 추가된 것으로 나타났다.
드라고스 연구원들은 연례 보고서에서 “2024년에는 OT/ICS를 표적으로 하는 공격자들의 진입 장벽이 계속 낮아지는 추세가 나타났다. 과거에는 OT/ICS를 인식하지 못했거나 무시했을 공격자들이 이제는 혼란과 주목을 얻기 위한 효과적인 공격 벡터로 보고 있다”라고 설명했다.
ICS 멀웨어 위협 외에도 산업 기업, 특히 제조 부문은 랜섬웨어 공격 급증에 대응해야 하는 상황이다. 지난해 OT/ICS 자산 소유자를 대상으로 한 랜섬웨어 공격이 87% 증가했으며, 이런 표적을 노리는 그룹 수는 60% 증가했다.
이란의 새로운 공격 그룹, ICS 표적화 역량 확보
드라고스는 정보 수집이나 ICS 조작을 목적으로 OT 네트워크를 표적으로 삼은 23개의 위협 그룹을 추적하고 있다. 각 그룹의 역량은 ICS 사이버 킬 체인(ICS Cyber Kill Chain) 2단계로 분류된다.
드라고스는 지난해 23개 그룹 중 9개의 활동을 관찰했는데, 이 중 2개는 새로운 그룹이었으며 그중 하나는 ICS 사이버 킬 체인 2단계 역량을 보유한 것으로 나타났다. ‘보크사이트(BAUXITE)’라는 별칭으로 추적되는 이 그룹은 미국 정부가 이전에 이란 혁명수비대(IRGC) 산하 부대로 지목한 해킹 조직 사이버어벤저스(CyberAv3ngers)와 활동 범위가 겹쳤다.
보크사이트는 2023년 11월부터 지난해 1월 사이에 인터넷에 노출된 이스라엘산 유니트로닉스(Unitronics) 유니스트림 및 비전 시리즈 프로그래머블 로직 컨트롤러(PLC)를 침해했다. 이 PLC는 수자원 및 폐수 관리, 에너지 기업을 포함한 100개 이상의 조직에 속해 있었다.
드라고스 연구원들은 “공격자는 컨트롤러에 로직을 다운로드해 ICS 공격을 실행하는 것과 동등한 서비스 거부(DoS)를 유발할 수 있다”라고 밝혔다.
이 그룹은 또한 지난 한 해 동안 소포스(Sophos) 방화벽을 표적으로 삼고 지멘스(Siemens) S7 장치, 시몬 오토메이션(CIMON Automation) 장치, OPC 통합 아키텍처(OPC/UA) 서버를 실행하는 장치, 오므론 팩토리 인터페이스 네트워크 서비스(FINS), 코데시스(CODESYS)를 실행하는 장치 등 여러 OT/ICS 자산에 대한 포트 스캐닝을 실시했다. 이런 프로토콜은 또한 2022년 체르노바이트(CHERNOVITE)라고 불리는 그룹의 소행으로 추정된 ICS 멀웨어 파이프드림(Pipedream) 또는 인컨트롤러(Incontroller)의 표적이기도 하다.
보크사이트는 지난해 400개 이상의 글로벌 OT/ICS 장치와 방화벽을 침해해 IO컨트롤(IOControl)이라는 맞춤형 임베디드 리눅스 백도어를 배포한 것으로 나타났다.
우크라이나에 집중하는 새로운 러시아 그룹
지난해 산업 조직에의 공격 캠페인을 시작한 2번째 새로운 그룹은 그래파이트(GRAPHITE)라고 불린다. 그래파이트는 APT28 활동과 중복되는 부분이 있는데, 팬시 베어(Fancy Bear) 또는 폰 스톰(Pawn Storm)으로도 알려진 APT28은 러시아 총참모부 본부 정보국(GRU) 산하 조직으로 추정되고 있다.
그래파이트는 동유럽과 중동의 수력 발전, 에너지 및 정부 기관을 대상으로 지속적인 피싱 캠페인을 벌이며, 알려진 취약점을 악용해 자격 증명을 훔치는 멀웨어를 배포하고 있다. 아직 ICS 사이버 킬 체인 2단계 역량을 보여주지는 않았지만, 러시아 정부 및 GRU와 연결된 다른 그룹들, 예를 들어 샌드웜(Sandworm)으로도 알려진 일렉트럼(ELECTRUM)은 이런 역량을 보유하고 있다.
우크라이나 분쟁에서 사용된 새로운 ICS 멀웨어
러시아 그룹들은 전쟁이 시작되기 전부터 최근 몇 년간 우크라이나 기업을 대상으로 여러 차례 OT/ICS 공격을 실행해 정전 및 가동 중단을 일으킨 바 있다.
공격 중 하나는 지난해 1월에 발생했으며 프로스티구프(FrostyGoop)라는 멀웨어와 관련이 있었다. 이 공격으로 인해 한겨울 영하의 날씨에 우크라이나 리비우시 아파트 600곳 이상의 난방이 중단됐다.
프로스티구프는 모드버스 프로토콜을 통해 ENCO 컨트롤러를 표적으로 삼았지만, 드라고스 연구원들은 그 역량이 ENCO 장치에만 국한되지 않으며 PLC, DCS, 센서, 액추에이터 및 현장 장치와도 상호 작용할 수 있다고 말했다.
이에 우크라이나 기반 그룹들은 자체 공격으로 대응했다. 지난해 4월 블랙잭(BlackJack)이라는 핵티비스트 그룹은 가스, 수도 및 하수도 네트워크의 통신 시스템을 담당하는 모스크바 시립 조직인 모스콜렉터(Moskollektor)를 침해했다. 이 그룹은 수천 개의 산업용 센서에 대한 통신을 방해했다고 주장했다.
연구원들은 블랙잭이 ‘Fuxnet’이라는 새로운 멀웨어를 사용했다고 확인했다. 이는 지금까지 발견된 8번째 ICS 특화 멀웨어 계열이다. 이 멀웨어는 미터-버스 요청을 대량으로 전송해 센서를 무력화한다. 미터-버스는 수도, 가스 및 전기 계량기에서 데이터를 읽기 위한 프로토콜이다. 또한 Fuxnet은 센서 게이트웨이의 파일 시스템을 지우는 리눅스 와이퍼 구성 요소도 갖고 있는 것으로 나타났다.
연구원들은 “모스콜렉터에 대한 공격은 지정학적 분쟁에 의해 주도되는 그룹들에 의한 산업용 장치 공격의 정상화를 강조한다”고 기술했다. “Fuxnet은 모스콜렉터에 맞춤화되어 있으며 코드베이스의 중요한 변경 없이는 다른 산업 환경에 사용될 가능성이 낮다.”
연구원들은 “모스콜렉터 사례는 지정학적 분쟁을 배경으로 한 그룹들의 산업용 장치 공격이 일상화되고 있음을 보여준다. Fuxnet은 모스콜렉터에 맞춤 제작된 멀웨어로, 코드를 크게 수정하지 않고는 다른 산업 환경에 사용하기 어려울 것”이라고 덧붙였다.
취약점 4분의 1이 네트워크 경계에서 악용 가능
지난해 드라고스는 ICS 장치에 대한 공개 취약점 권고 606개를 검토하고, 취약점을 ‘지금’, ‘다음’, ‘절대 안 함’ 범주로 나누는 자체 패치 우선순위 프레임워크를 적용했다. 결함의 6%는 인증 없이 원격으로 악용할 수 있는 ‘지금’ 범주에 속했으며, 현재 적극적으로 악용되거나 개념 증명 단계에 있는 것으로 나타났다. 63%는 네트워크 위생 및 세분화로 완화될 수 있어 ‘다음’ 범주에 포함됐다.
전체적으로 취약점의 22%는 네트워크를 통해 악용될 수 있고 네트워크 경계 장치에 위치해 공격자가 인터넷을 통해 더 쉽게 표적으로 삼을 수 있었다. 이는 2023년의 16%에서 증가한 수치다.
ICS 장치는 중요한 프로세스를 처리하는 경우가 많아 셧다운 예약 및 유지 관리 기간이 필요하다. 패치가 항상 쉽거나 빠르지 않기 때문에 패치보다는 완화가 선호된다. 하지만 패치를 제공한 권고의 57%는 대체 완화 방법을 제공하지 않았으며, 권고의 18%는 패치나 완화 방법을 전혀 제공하지 않았다.
연구원들은 “공격자들은 OT 네트워크를 단순히 테스트하는 것이 아니라 중요 인프라에 적극적으로 침투해 장기적인 접근, 운영 중단 및 잠재적인 대규모 결과를 초래할 수 있는 위치를 확보하고 있다. 사후 대응적 보안의 시대는 끝났다. 방어자들은 OT 환경에 맞춤화된 지속적인 모니터링, 사전 위협 헌팅 및 사고 대응 능력으로 나아가야 한다”라고 설명했다.
[email protected]