인터넷에 노출되어 있거나 취약한 OT/ICS 시스템 표적, 기본 비밀번호와 무차별 대입 공격 방식으로 무단 접근 시도
미국 사이버보안 및 인프라 보안국(CISA)이 최근 주요 인프라 네트워크를 노리는 사이버 공격이 활발히 진행되고 있다고 경고했다. 이 공격은 인터넷에 노출된 산업 장비를 대상으로, 기본 자격 증명과 무차별 대입(brute force) 공격 같은 비교적 단순한 수법을 활용해 이뤄지고 있다. 특히 이들은 운용 기술(OT)과 산업 제어 시스템(ICS)을 노리고 있으며, 상수도 및 폐수 처리 시스템을 중점적으로 공격하고 있다.
CISA의 최근 발표에 따르면, 이번 공격은 인터넷에 노출되어 있거나 취약한 OT/ICS 시스템을 표적으로 삼아, 기본 비밀번호와 무차별 대입 공격 등의 방식으로 무단 접근을 시도하고 있다. 이러한 공격이 특히 상수도 처리 시설 같은 분야에서 문제가 되고 있는데, 해당 시설의 OT 장비는 수처리 과정, 배수 및 수압 조절 등의 중요한 역할을 담당하고 있다. 만약 이러한 시스템이 해킹될 경우, 안전하고 안정적인 수자원 공급이 위협받을 수 있다.
2022년 이후 CISA는 OT 장비의 잘못된 설정이나 보안이 취약한 장비를 악용한 공격이 증가하고 있음을 관찰했다. 특히 올해 들어서는 친러시아 성향의 해커들이 북미와 유럽의 산업 제어 시스템을 목표로 삼아 공격 범위를 확대하고 있는 것으로 알려졌다.
최근 캔자스주 아칸소 시(Arkansas City)에서는 상수도 처리 시설에 대한 사이버 공격으로 인해 상수도 처리 시스템을 수동 조작으로 전환하는 사건이 발생했다. 이처럼 실제로 중요한 인프라 분야에 대한 사이버 공격이 늘어나면서, 업계 전반의 보안 강화 필요성이 대두되고 있다.
CISA의 이번 경고는 미국 환경보호청(EPA)이 지난주 상수도 및 폐수 처리 시스템 운영자들에게 사이버 보안 관행을 평가하고 강화할 것을 촉구한 것과 맥락을 같이한다. EPA는 이를 통해 주요 수자원 인프라의 사이버 공격 노출을 줄이고 전반적인 보안성을 높이는 데 목표를 두고 있다.
올해 3월에는 백악관과 EPA가 주지사들에게 상수도 시스템의 사이버 공격 방어를 강화할 것을 요청했으며, 지난 7월에는 미국 정부가 러시아 사이버 범죄자들을 대상으로 제재 조치를 취했다. 이들은 수자원 분야를 공격 대상으로 삼아 온 것으로 알려져 있다. 이밖에 최근 몇 년간 이란과 중국의 국가 지원 해커 그룹도 미국의 상수도 시스템 해킹에 연루된 사례가 확인되기도 했다.
CISA는 이번 권고에서 OT/ICS 운영자들이 사이버 공격에 대비할 수 있도록 구체적인 보안 수칙을 제시했다. 주요 권고 사항은 다음과 같다.
-기본 비밀번호 변경: 기본 자격 증명은 공격자들의 주요 목표이기 때문에, 정기적으로 비밀번호를 변경하고 보안을 강화해야 한다.
-다중 인증(MFA) 활성화: 다중 인증은 추가적인 보안 계층을 제공하며, 비밀번호가 유출되더라도 공격자의 접근을 차단하는 역할을 한다.
-인간-기계 인터페이스(HMI) 방화벽 설치: HMI를 방화벽 뒤에 배치하면 공격자가 주요 제어 시스템에 무단으로 접근하는 것을 방지할 수 있다.
-VNC 설치 강화: 가상 네트워크 컴퓨팅(VNC) 설치를 올바르게 구성하여 공격의 가능성을 줄여야 한다.
-최신 보안 업데이트 적용: 정기적인 소프트웨어 보안 업데이트는 알려진 취약점으로부터 시스템을 보호하는 데 필수적이다.
이러한 수칙을 준수하면 OT/ICS 시스템을 겨냥한 사이버 공격에 대한 방어력을 크게 높일 수 있다.
사이버보안 전문가들은 이러한 공격 수법이 비교적 "단순"하더라도 OT/ICS 환경에서의 보안 관행 및 설정 부실로 인해 효과적일 수 있다고 지적했다. OT 보안 전문가인 제임스 시플렛(James Shiflett)은 "기본 자격 증명에 의존하고 기본적인 사이버 보안 위생이 부족한 경우, 공격자들이 이러한 시스템을 쉽게 침해할 수 있다"고 말했다.
시플렛을 비롯한 전문가들은 산업 환경에 특화된 연속 모니터링, 위협 탐지 및 대응 기능을 제공하는 OT 보안 솔루션에 대한 투자가 필요하다고 강조했다. 또한 정기적인 보안 감사, 직원 교육, IT와 OT 팀 간의 협업을 통해 잠재적인 취약점을 적극적으로 해결해야 한다고 조언했다.
결론적으로, 이러한 해커들의 수법이 단순해 보일지라도 주요 인프라 운영자들이 기본적인 사이버보안 조치를 시행하지 않을 경우 그 영향은 치명적일 수 있다. 앞으로는 OT/ICS 환경의 보안성을 확보하기 위해 보다 적극적인 방어 전략을 수립하고 적용해야 할 것이다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[특별기고] 데이터와 기업 자산, 이제 아이덴티티 중심 전략으로 관리해야](https://www.dailysecu.com/news/photo/202409/159703_187226_3322.jpg)