Home > 전체기사
에너지 산업 대상 정보 유출·시설 파괴 목적 표적공격 증가
  |  입력 : 2014-02-20 17:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

사물 인터넷 통한 핵심 시설간 통신 증가로 더 많은 표적공격에 노출


[보안뉴스 김태형] 최근 국가 경쟁력의 근간이 되는 에너지 산업, 사물 인터넷(IoT) 통한 핵심 시설간 통신 증가하면서 더 많은 표적공격에 노출되고 있는 것으로 나타났다.

    


시만텍(www.symantec.co.kr)이 에너지 산업에 대한 표적공격(Targeted Attack) 동향을 조사, 분석한 최신 보고서를 발표했다.


국가 핵심 인프라 중 하나인 에너지 산업은 최근 스마트그리드(지능형 전력망) 및 사물 인터넷이 차세대 에너지 산업 발전을 이끌어 갈 핵심 기술로 자리 잡으면서 이를 겨냥한 사이버 범죄에 대한 정보보호 및 보안의 필요성도 함께 증가하고 있다.


미국 국토안보부는 지난해 사이버공격을 국가안보상 위험 중 하나로 지정하고 에너지 분야를 포함한 주요 산업부문들이 위기를 평가하고 조치를 취할 수 있도록 하는 지침을 발표했으며, 지난 2월 12일에도 자국 기업들이 사이버공격으로부터 시스템을 보호할 수 있도록 적극적으로 지원하겠다고 약속한 바 있다.


이에 정보보호 및 관리 분야 글로벌 리더인 시만텍은 전 세계 에너지 산업 기업들이 사이버 범죄에 효과적으로 대응할 수 있도록 돕기 위한 노력의 일환으로 이번 보고서를 발표했다.


이번 시만텍 보고서에 따르면 에너지 산업에 대한 표적공격의 주요 트렌드로는 △타깃 기업의 특정 임직원을 노린 대규모 이메일 공격 △정보 유출 및 기반시설 파괴가 주요 목표 △정부 지원 기반 및 청부 해커 집단, 악의를 품은 임직원의 공격 △스마트 미터(Smart Meter), 스마트 그리드(Smart Grid)의 발달로 사물 인터넷(Internet of Things, IoT)이 새로운 진입구로 부상 △워터링홀(Watering hole)과 스피어 피싱(Spear-phishing)기법을 이용한 공격이 증가한 것으로 나타났다.


타깃 기업의 특정 임직원을 노린 대규모 이메일 공격

시만텍 보고서에 따르면, 2013년 상반기에 확인된 전체 표적공격의 7.6%가 에너지 기업을 타깃으로 했다. 이에 앞서 2012년 하반기에는 그리스의 한 석유 기업을 대상으로 감행된 대규모 표적공격으로 인해 전체 표적공격 중 에너지 산업이 차지하는 비중이 16%까지 급증하면서 정부/공공기관(25.4%)에 이어 두번째로 많은 표적공격을 받은 산업군으로 급부상 한 것으로 나타났다.


특히, 표적공격의 타깃이 되었던 정유 회사는 2012년 9월 한 달 동안 무려 34배나 더 많은 양의 수상한 이메일을 받았는데, 136명의 수신자 중에서도 단 한 명의 영업 관리자와 인사 담당자가 각각 412건과 90건의 이메일을 집중적으로 수신한 것으로 나타났다.


정보유출 및 기반시설 파괴가 표적공격의 주요 목표

공격자들은 대체로 새로운 가스전 지도나 효율적인 태양광 발전소에 대한 조사 결과 등 에너지 산업에 큰 투자를 하고 있는 국가 혹은 경쟁업체의 핵심 정보를 노리는 경우가 많다. 이렇게 유출된 정보는 해커 집단에게 직접적인 이익을 가져다 주지는 않더라도 향후에 피해 업체를 협박해 금전적인 이익을 얻거나 해당 업체에게 더 큰 피해를 입히기 위한 작업 등에 악용될 수 있다.


뿐만 아니라 에너지 산업은 간접적인 이익을 노린 사보타주(sabotage) 공격의 주요 표적이기도 해서 전통적인 에너지 설비 업체들은 스턱스넷(Stuxnet)이나 디스트랙/샤문(Disttrack/Shamoon)과 같이 서버 장애를 유발하고 산업 시설을 공격하는 보안 위협에 대해 가장 크게 우려하고 있다. 경쟁 업체가 자신의 사업에 유리한 방향으로 상황을 이끌어 가려는 의도로 부정적인 언론 보도를 유도하거나 고객이 경험하는 서비스 품질을 저하시키고자 표적공격을 사주할 수도 있기 때문이다.


정부 지원 기반 및 청부 해커 집단, 악의를 품은 임직원의 공격

공격자의 분류를 좀 더 구체적으로 살펴보면 경쟁 업체가 조직화된 해커 집단에게 특정 업체를 공격하도록 사주하여 부당하게 이익을 취하려 하거나, 정부 지원을 받는 해커 집단이 주요 기반 시설 파괴를 목적으로 공격을 하는 경우가 있다. 또한 인터넷을 통한 컴퓨터 해킹을 투쟁 수단으로 사용하는 새로운 형태의 행동주의자를 뜻하는 핵티비스트(Hacktivist) 집단이 자신들의 정치적인 목표를 이루고자 사설 업체를 공격할 수도 있다.

한편, 간혹 회사에 불만을 품은 직원이 공격자로 돌변하기도 하는데, 이 경우 내부 핵심 프로세스와 시스템에 대한 노하우를 활용해 오랜 시간에 걸쳐 발각되지 않은 채로 회사 시스템을 임의로 변경하는 등 더욱 심각한 피해를 초래할 수 있어서 매우 위험하다. 또한 직원의 단순 실수로 시스템 구성에 오류를 일으키거나 결함을 유발하는 등의 사고가 일어나기도 한다.


스마트 미터, 스마트 그리드의 발달로 인해 사물 인터넷이 새로운 진입구로 부상

원격제어감시시스템(SCADA)이나 산업제어시스템(ICS, Industrial Control Systems)과 같이 전통적인 보안 체계의 범주에 포함되지 않는 새로운 컴퓨터 시스템의 도입으로 인해 현대의 에너지 시스템은 예전에 비해 매우 복잡해졌다. 특히 스마트 미터(Smart Meter), 스마트 그리드(Smart Grid) 등 정보통신기술을 접목시켜 양방향 통신이 가능한 차세대 에너지 신기술이 점점 세를 확장함에 따라 더 많은 에너지 시스템들이 사물 인터넷을 통해 서로 연결되면, 앞으로 새로운 보안 취약점들이 대두될 것으로 예상된다.


한편 몇몇 국가들은 소규모 민간 기업에 에너지 시장을 개방하기 시작했다. 이러한 업체들은 설비를 관리할 전임 IT 인력을 제대로 갖추고 있지 않은 경우가 많고, 검증되지 않은 새로운 기술, 혹은 알려지지 않은 취약점을 내재하고 있는 기술을 사용할 가능성이 있다. 비록 에너지 사업 전반에서 이들 업체가 차지하는 비중은 작지만, 사소한 사고나 변화가 업계 전체에 영향을 끼칠 수 있기 때문에 주의를 기울여야 한다.


스피어 피싱 기법을 이용한 표적공격 증가

스피어 피싱(Spear-phishing)은 알려지지 않은 취약점을 활용해 악성코드를 유포하는 워터링 홀(Watering hole)과 함께 기업을 대상으로 가장 흔히 사용되는 표적공격 기법 중 하나다. 이메일의 악성 첨부파일이나 링크 등을 통해 공격 대상에 침투하며, 소수의 표적에게 대량 유포한다. 이러한 이메일 공격은 표적 컴퓨터가 악성코드에 감염될 때 까지 반복된다.


시만텍 조사를 통해 분석된 악성 첨부파일의 과반수는 더블클릭을 통해 바로 실행되는 파일 확장자로 확인됐다. 이 중 38퍼센트는 .exe 파일, 12퍼센트는 .src 파일이었으며, 오직 6퍼센트만이 .pdf, .exe와 같이 표적을 속이기 위해 이중 확장자 파일을 첨부한 것으로 나타났다. 뿐만 아니라 23퍼센트는 MS워드 파일을 가장해서 컴퓨터에 침투한 후 공격자가 의도한 동작이나 명령을 실행하도록 하는 익스플로잇 (Exploit) 공격이었다.


에너지 기업을 위한 보호 및 피해 완화 방안

현재까지는 에너지 기업을 대상으로 한 성공적인 사보타주(Sabotage) 공격 사례가 많지 않았지만, 산업제어시스템에 대한 중앙집중제어 및 다양한 연결 기기의 증가는 곧 사이버 보안 위협을 위협하는 요소의 증가로 이어질 것이다. 그러므로 에너지 기업 및 관련 설비 업체는 모두 이러한 위험성을 인식하고, 기업의 귀중한 정보와 산업제어시스템(ICS), SCADA 네트워크를 보호하는 방안을 수립해야한다.


시만텍은 사이버 공격으로부터 네트워크를 안전하게 보호하기 위해서 아래와 같은 방안을 제안한다.


-각 임직원들이 사용하는 컴퓨터가 해커 집단에게 악용되지 않도록 기본적인 엔드포인트 보안 지침을 이행한다.

-전반적인 기업 보안을 향상시키기 위해서 각기 다른 형태의 보안 기능을 제공하는 여러 개의 제품군을 활용해서 다계층 보안 시스템을 구축한다.

-웹, 네트워크 응용프로그램, 산업제어시스템(ICS)에 대한 침투 테스트를 통해 취약점을 파악하고 치료한다.

-기업에서 규정한 보안 정책이 제대로 지켜지고 있는지, 모든 컴퓨터에 보안패치가 적용되었는지, 시스템이 호환 되는지를 확인한다.

-산업제어시스템(ICS)에 대한 세밀한 보호와 감시를 위해 제어 시스템과 제어 네트워크의 보안을 강화하고 인트라넷과 분리시킨다.

-일부 시스템의 경우 사이버 공격이 감지되었을 때 즉시 주요 기계의 연결을 차단하거나 분리하는 방안을 세워두어야 한다.


시만텍코리아 조원영 사장은 “에너지 산업은 직접적인 핵심 정보 탈취뿐만 아니라 간접적인 이익을 노려 산업 시설을 공격하는 보안 위협의 표적이 되기도 한다. 또한, 스마트 그리드의 발달 및 사물인터넷 트렌드의 확장으로 새로운 보안 취약점에도 대비해야한다”며, “이러한 다양한 보안 위협을 이해하고 각각의 위험성에 대비해 정교한 보안 시스템을 구축하는 것이 매우 중요하다”고 밝혔다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)