세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
랜섬웨어, 공장 및 산업 시설 노리기 시작한다
  |  입력 : 2017-01-12 13:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
데이터 손실이 치명적으로 작용하는 업계는 랜섬웨어의 표적
요즘 랜섬웨어 공격자들은 백업 서버까지 알아내 침투


[보안뉴스 문가용 기자] 공장 가동이 멈춘다거나 파워그리드가 나간다거나, 그래서 정전 사태가 발생하면 대부분 ‘러시아’를 먼저 떠올린다. 그 다음은 ‘사이버전’이나 ‘적국 정부’와 비슷한 개념들이 머리를 훑고 지나간다. 의외로 그렇게도 유명해진 랜섬웨어가 먼저 생각나지는 않는다.


2016년 1월, 한 작은 에너지 업체가 삼삼(Samsam)이라는 랜섬웨어의 공격을 받았다. 삼삼은 이 에너지 업체의 공급을 중단시켰고, 그로 인해 업체 클라이언트들은 얼마간 마비되는 현상을 겪었다. RSA의 사건 대응 팀원인 마크 스테이시(Mark Stacey)는 “공격자들이 웹 서버에서 취약한 부분을 발견해 침해했고, 권한 상승 공격을 실행시킨 후 추가적인 멀웨어(삼삼 랜섬웨어)를 설치했다”고 당시 상황을 설명한다.

당시 공격자들은 감염된 시스템 하나 당 1 비트코인을 내라고 요구했다. 당시 환율로는 400달러에 달하는 금액이었다. 업체는 이를 지불했고 복호화 키를 얻어낼 수 있었다. 그러나 해당 키로 복호화하는 데에는 실패했다. 스테이시는 “당시 범인들로부터 감염된 시스템의 이미지를 받긴 했지만 복호화는 아직도 이뤄내지 못하고 있다”고 설명한다.

다행히 해당 업체는 백업된 자료를 가지고 있었다. 완전하지는 않았지만 어느 정도는 서버와 데이터를 복구시킬 수 있었다. 공격이 일어나고 이틀 후, 업체는 정상 가동에 성공했다. 공격자들이 1차적인 랜섬웨어 가동에 성공하긴 했지만, 백업 시스템에까지 닿을 정도로 숙련자들은 아니었기 때문이었다. 복호화가 잘 되지 않은 것도 이 ‘숙련도’ 문제인 것으로 분석된다.

하지만 앞으로 일어날 랜섬웨어 공격들은 이와 다를 것이다. “요즘 랜섬웨어들은 네트워크에 침투한 후 아무런 활동을 하지 않은 채 가만히 모니터링만 합니다. 파일이 어디서부터 어떤 식으로 움직이는지 파악하고 분석해 백업 서버가 있는 곳을 알아낸 후 거기서부터 공격을 시작하죠.” 스테이시의 설명이다.

브라질의 산업 통제 시스템(ICS) 및 SCADA 보안 전문업체인 TI세이프(TI Safe)의 CEO 마르셀로 브란키뇨(Marcelo Branquinho)는 “ICS 및 SCADA 현장을 방문할 때마다 랜섬웨어를 발견한다”고 말한다. “랜섬웨어의 수익률이 높다는 게 알려진 이상, 더 많은 랜섬웨어 공격이 발생하지 않는 게 오히려 이상할 정도죠.”

그러면서 마르셀로는 브라질의 한 가구 공장을 예로 들었다. 이 공장은 고객 및 파트너사 정보를 2015년 8월에 도난당했다. RSA-4096 랜섬웨어를 통한 공격 때문이었다. “하지만 이 공장은 3천 달러라는 범인들의 요구를 들어주지 않았습니다. 그리고 약 보름 동안 생산 설비를 가동할 수 없었습니다. 이 때문에 10만 달러의 손해를 봤습니다.”

또, 브라질 남부에 있는 대형 전기 업체의 예도 있다. 이 업체는 최근 크립토락커(CryptoLocker)라는 랜섬웨어의 공격을 받았다. 윈도우 7을 기반으로 하고 있는 관리자 컴퓨터 및 서버 네 대가 USB로 공격을 당한 것이었다. 다행히 이 기업의 경우 데이터를 잃거나 범인들에게 돈을 내거나 하지 않았다. “2차 통제 센터가 있었기 때문이죠. 이건 단순 백업과는 차원이 다른 것으로, 1차 통제 센터가 다운되자 곧바로 2차 통제 센터를 가동시켜서 랜섬웨어 공격을 아무렇지도 않게 견뎌냈습니다.”

그러나 브라질에서 2차 통제 센터를 운영할 수 있을 정도로 여유가 있는 기업은 흔치 않다. 즉 ‘랜섬웨어에 당하기 싫으면 2차 통제 센터를 마련하세요’라고 하는 건 실용적이지 않다는 뜻이다. 마르셀로는 “랜섬웨어 공격자들은 많은데, 뾰족하고 실용적인 방어체제가 없어서 앞으로 브라질 사이버 공간은 큰 혼란에 휘말릴 것 같다”고 말한다.

스테이시는 “공장 및 산업 시설을 겨냥한 랜섬웨어 공격은 해커들 입장에서 금맥을 캐는 것과 같다”고 비유한다. “지난 해 병원들이 홍역을 겪었죠. 업무 특성 상 데이터가 사라지는 게 대단히 결정적인 작용을 하는 곳은 랜섬웨어의 1차 목표가 될 수밖에 없습니다. 공장과 산업 시설도 여기에 포함되죠. 예를 들어 댐 시스템 같은 경우, 랜섬웨어에 걸리면 관계자들은 돈을 내고 싶어서 안달일 걸요?”

하지만 아직까지 사이버전에서 랜섬웨어가 대동되는 예는 발견한 적이 없다고 스테이시는 밝힌다. “국가의 후원을 받거나 정치적인 목적을 가진 단체가 랜섬웨어를 사용한 예는 아직 보지 못했습니다. 하지만 이 역시 시간의 문제일 뿐이라고 생각합니다. 아니면 저희가 아직 발견하지 못했거나요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)