Home > 전체기사

[블랙햇 2022] 콜로니얼 파이프라인 사건, 전형적인 OT 피해 사례

  |  입력 : 2022-08-12 20:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
작년의 콜로니얼 파이프라인 사건은 OT 보안의 중요성을 드러내는 중요한 사태였다. 그런데 저 먼 옛날 발생한 스턱스넷 사건과 연결해 보면, 그리고 콜로니얼 파이프라인 사건 직전에 발생한 일련의 일들을 돌이켜 보면, 콜로니얼 파이프라인 사건은 사회 기반 시설을 대하는 우리의 자세가 얼마나 안일한지를 드러낸다.

[보안뉴스 문가용 기자] 작년 발생한 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건은 스턱스넷(Stuxnet) 사건이 일어나 12년이 지난 지금도 사회 주요 기반 시설의 보안 상태가 한참 뒤쳐져 있다는 사실을 드러냈다. 미국 라스베이거스에서 열린 보안 행사 블랙햇(Black Hat)의 기조 연설자 중 하나로 나온 킴 제터(Kim Zetter)는 그 사건을 되짚으며 콜로니얼 파이프라인 경영진들이 충분히 대처하고도 남았어야 했다고 강력히 비판했다.

[이미지 = utoimage]


제터는 지난 20년 동안 사이버 보안 사건을 취재해 온 기자이자 작가로, “2010년 이란에서 발견된 멀웨어인 스턱스넷은 당시 새로운 표적 공격의 시대를 예고하는 충격적 사건”이었다고 설명한다. “스턱스넷이 2010년 처음 발견됐을 때, 세상은 그 전까지 거의 아무도 몰랐던 사회 기반 시설들의 취약점에 대해 알게 되었습니다. 보안 업계는 거의 모든 역량을 IT 네트워크에만 쏟아붓고 있었지 우리가 지금 OT라고 알고 있는 요소들은 쳐다보지도 않았습니다. 사실 사회의 모든 요소들이 그 OT 망을 기반으로 돌아가고 있었는데 말이죠.”

당시 스턱스넷은 USB 드라이브를 통해 피해 시스템을 감염시켰고, 웜 기능을 가진 멀웨어와 윈도 바로가기 파일(.lnk), 악성 파일을 감추기 위한 룻키트로 구성되어 있었다. 지금은 이런 요소들이 별다른 감흥을 불러일으키지 못하지만 당시에는 거의 모든 것이 충격이었다. 그러면서 스턱스넷은 현재 우리가 겪고 있는 주요 사이버 위협들의 조상처럼 여겨지게 되었다. “심지어 당시 오로라(Aurora)라는 APT 단체의 존재가 세상에 처음 드러나기도 했습니다. 그러면서 국가 정부 기관의 해킹 공격이라는 개념이 현실로 다가오기 시작했죠.” 제터의 설명이다.

“스턱스넷의 모든 것이 획기적이고 창조적인 혁신이었다고 말하기는 힘듭니다. 다만 모든 사람들의 눈을 뜨게 만드는 계기가 되었습니다. 컴퓨터 코드만으로 기반 시설에 물리적 피해를 주는 게 가능하다는 사실에 대한 눈을 뜨게 했다는 뜻이죠. 그렇지만 이 스턱스넷 이전에도 여러 가지 경고의 신호가 있었습니다. 따라서 대비를 할 수도 있었고, 스턱스넷 공격이라는 게 조용히 묻힐 수도 있었습니다. 예나 지금이나 알고 있는 것들이지만 대비를 못해서 당하는 경우가 몰라서 당하는 경우보다 훨씬 많습니다.”

어찌됐든 스턱스넷 때문에 세상이 받은 충격은 어마어마했다. 그러면서 네 가지 큰 변화가 자리를 잡기 시작했다. 제터에 따르면 이는 다음과 같다.
1) 공격 테크닉과 도구들을 발전시키는 낙수 효과를 일으켰다.
2) 오늘날의 사이버 군비 경쟁을 촉발시켰다.
3) 보안 연구와 사이버 방어의 ‘정치화’가 시작됐다.
4) 사회 기반 시설의 취약점 문제를 사회적으로 부각시켰다.

제터는 마침 그 시기에 오로라가 발견된 것도 꽤나 중요한 영향을 미쳤다고 강조한다. “구글, 어도비, 주니퍼의 소스코드 리포지터리와 34개 기업들을 겨냥한 중국 해킹 단체의 정찰 혹은 정보 수집 목적의 캠페인이 기억나실 겁니다. 조금 더 기억이 생생하시다면 오로라가 RSA C 리포지터리를 겨냥한 공격을 실시했다는 것도 떠오르실 것이고요. RSA C 리포지터리는 다중인증 시스템의 엔진과 같은 요소였죠. 즉 오로라의 그 당시 공격 기법이 지난 해부터 큰 문제가 되고 있는 공급망 공격이었다는 것이죠.”

ICS의 리스크, 여전히 높아
다시 이야기를 작년으로 돌려 콜로니얼 파이프라인 사건을 제터는 되짚기 시작했다. “콜로니얼 파이프라인은 미국 동부 해안 지역에서 소비되는 연료 45%를 혼자서 보급하는 주요 기반 시설입니다. 하지만 랜섬웨어 공격 한 번에 5500 마일에 달하는 파이프라인이 마비됐고, 공격자들에게 440만 달러를 지급한 후에야 복구됐습니다. 하지만 이 공격이 그 누구도 예상할 수 없었던 사각에서 교묘히 들어온 자연재해 같은 사건이었을까요? 오히려 그 반대입니다. 일단 이미 랜섬웨어가 매주 역대급 기록을 갱신하던 때였고, 모든 기관이나 기업들이 랜섬웨어에 대한 방비에 온갖 노력을 기울이고 있었습니다. 심지어 콜로니얼 파이프라인의 CEO가 청문회 때 ‘긴급 상황 시 대응 계획’을 가지고 있었지만 그 계획 안에 랜섬웨어가 없었다고 말하기도 했지요.”

계속해서 제터는 “랜섬웨어 공격자들이 사회 기반 시설을 노린 건 최소 2015년부터”라고 말하기도 했다. “게다가 콜로니얼 파이프라인 사태가 터지기 1년 전 보안 업체 맨디언트(Mandiant)가 ‘7개의 랜섬웨어 패밀리들이  2017년부터 산업 제어 시스템을 집중적으로 노리기 시작했다’는 내용의 보고서를 발표하기도 했었습니다. 사건 10개월 전에는 CISA가 국토안보부가 발표했던 파이프라인사이버보안계획(Pipeline Cybersecurity Initiative)를 다시 한 번 강조하는 권고문을 따로 냈었고요. 이 계획은 2018년에 처음 완성된 것이죠.”

그리고 사건 두 달 전, 국토안보부는 파이프라인 류의 기반 시설을 운영하는 기업이나 단체에서 반드시 참고해야 할 새로운 사이버 보안 필요 요건들을 발표한 바 있다. 주기적으로, 꾸준히 경고가 나온 것이나 다름이 없다. “저는 콜로니얼 파이프라인을 허물어 뜨리고 싶은 게 아닙니다. 그냥 가장 최근에 나타난, 어쩌면 가장 전형적인 사례이기 때문에 말하는 겁니다. 콜로니얼 파이프라인이 이번에 대표로 당했을 뿐, 다른 시설 관리 업체가 당했어도 상황은 비슷했을 겁니다. 결국 기반 시설의 보안이라는 것이 아직 피상적인 개념으로만 남아 있다는 건 어디나 똑같거든요.”

3줄 요약
1. 사회적, 심지어 국가적으로 큰 피해 일으켰던 사회 시설 랜섬웨어 사건.
2. 스턱스넷으로부터 사건 두 달 전까지 계속해서 경고가 나왔건만...
3. OT 보안 혹은 사회 기반 시설 보안은 여전히 피상적인 개념.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)