보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

콜로니얼 파이프라인 랜섬웨어 사건 2주년, 방어력은 아직 한참 모잘라

입력 : 2023-05-09 13:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2년 전 미국 사회를 떠들썩하게 했던 콜로니어러 파이프라인 랜섬웨어 사건 이후 미국 정부는 여러 가지 보안 강화 시도를 해왔다. 그에 대하여 미국 보안 전문가들은 ‘아직 갈 길이 멀었다’고 평가한다. 물론 잘한 것도 있다고 칭찬하면서다.

[보안뉴스 문정후 기자] 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건 2주기가 다가오는 중이다. 그 동안 사회 기반 시설의 보안은 충분한 강화의 과정을 거쳤을까? 이제 제2의 콜로니얼 파이프라인 사태는 없는 걸까? 전혀 아니라고 전문가들은 입을 모은다. 2년 전 그 난리를 겪었지만 아직 갈 길이 멀다는 소리도 나오고 있다.

[이미지 = utoimage]


당시 콜로니얼 파이프라인의 IT 인프라에 침투한 랜섬웨어 공격자들 때문에 콜로니얼 측은 회사 역사상 처음으로 회사 인프라 전체의 가동을 중단시켜야만 했다. 이 때문에 미국 일부 지역에서 연료가 동나는 사태가 벌어졌고, 가스비가 오르기도 했다. 미국 4개 주에서는 비상사태가 선포됐으며, 미국 연방 정부 차원에서의 대응도 시작됐다. 얼마나 큰 소동이 벌어졌는지 공격을 성공시킨 당사자들도 잠시 활동을 중단했을 정도였다.

그 사건이 있고 나서 미국 정부는 사회 기반 시설을 겨냥한 랜섬웨어 공격에 테러리즘이라는 딱지를 붙이기 시작했다. 바이든 대통령은 행정명령에 서명까지 하며 사회 기반 시설의 사이버 보안 강화에 정부 차원에서의 압력을 행사했다. 그리고 아직까지도 기반 시설의 보안 강화와 복구력을 높이기 위한 다방면에서의 노력이 진행되고 있다.

그럼에도 사회 기반 시설이 랜섬웨어 공격에 당할 확률은 높은 채로 유지되고 있다. 불과 얼마 전 미국의 가장 큰 냉동 저장 업체인 아메리콜드(Americold)도 랜섬웨어에 당했다. 아메리콜드도 콜로니얼 파이프라인처럼 모든 사업 행위와 서비스를 중단시켜야 했다. 지난 한 해 FBI가 접수 받은 랜섬웨어 관련 불만 사항은 총 2385건이었는데, 그 중 870건은 사회 기반 시설과 관련이 있었다.

남아 있는 일들
보안 전문가들은 대부분 사회 기반 시설 강화가 지난 2년 동안 없었던 것은 아니라는 의견이다. 열심히 했지만 아직 할 일이 훨씬 많이 남은 것이라고 많은 이들이 설명한다. 소프트웨어 업체 포털리스 솔루션즈(Fortalice Solutions)의 CEO 테레사 페이턴(Theresa Payton)은 콜로니얼 파이프라인을 계기로 정부가 진행한 사업들 중 긍정적인 것들이 꽤나 많다고 설명한다. 대통령의 행정명령 14028호가 그 중 하나다.

“국가 사이버 보안 강화를 위한 명령이었죠. 특별히 사회 기반 시설들을 강화 대상으로 지정한 행정명령이었습니다. 제로트러스트라는 모델의 도입까지도 언급되어 있지요. 그 외에도 ‘기반 시설 사이버 사건 보고 법안(Cyber Incident Reporting for Critical Infrastructure Act)’도 눈여겨 볼 만합니다. 전부 긍정적인 방향에서 나타나는 현상들이죠. 게다가 FBI가 악명 높은 하이브(Hive) 랜섬웨어 그룹을 궤멸시킨 것도 우리가 발전하는 중이라는 것을 나타내는 지표입니다.”

그럼에도 필요한 것들이 남아 있다고 페이튼은 강조한다. “사회 중요 기반 시설을 관리하는 조직들에 적용될 보다 구체적이고 명확한 규정이 필요합니다. 지금까지 우리가 갖추고 있는 건 ‘최소한의 보안 필요 사항’이었습니다. 그것을 발판 삼아 한두 걸음 더 내디딜 차례죠. 인증이나 신원 확인에 필요한 강화된 절차를 도입한다든지, 랜섬웨어 공격을 예방하기 위한 보다 상세한 실천 사항을 수립한다든지 하는 식으로 말입니다.”

사이버 보안 업체 크리티컬인사이트(Critical Insight)의 CISO 마이크 해밀턴(Mike Hamilton)의 경우 “콜로니얼 랜섬웨어 사태로 가장 확연히 드러난 건 미국 기반 시설들의 형편없는 복구력”이었다는 입장이다. “주의에 주의를 기울인다는 의미에서 파이프 운영 시설을 전부 차단한 건 이해할 수 있습니다. 하지만 그 시스템들을 복원시키고 정상 가동시키기까지 걸린 시간이 너무나 길었습니다. 복구력에 근본적인 문제가 있다고 봐야 합니다. 권투에서 다운된 선수에게 10분씩 쉬라고 시간을 주지는 않죠.”

랜섬웨어 공격자들의 비용 부담 늘려야
지난 2년 동안 미국 정부는 랜섬웨어 공격 성공률을 낮추고, 랜섬웨어 공격자들이 짊어져야 할 비용을 높이는 데에 집중해 왔다고 해밀턴은 말한다. “예를 들어 재무부의 경우 랜섬웨어 공격자들에게 돈을 지불할 때 암호화폐 거래소를 활용하지 못하도록 금지시켰습니다. 사법부도 공격자들의 인프라를 폐쇄시키는 데 보다 공격적으로 움직이고 있고, 처벌도 엄중하게 하는 편입니다. 메시지는 확연하죠. 범죄에 대한 대가를 반드시 무겁게 치르게 하겠다는 겁니다.”

여기까지는 정부가 잘하고 있는 부분이라고 해밀턴은 강조한다. “다만 이제 더 나아가야 합니다. 이전보다 더 강력히 방어하고 더 빠르고 확실하게 공격자들의 인프라를 무력화시켜야 한다는 겁니다. 무엇보다 범죄자들을 단순히 기소하는 것에서 그치지 않고 확실히 체포할 수 있을 만한 제도나 방법을 확실히 구축할 필요가 있습니다. 결국 체포만큼 공격자들에게 부담이 되는 건 없거든요.”

보안 업에 오냅시스(Onapsis)의 CEO 마리아노 누네즈(Mariano Nunez)는 미국의 사이버 보안 전담 기관인 CISA의 역할에 대해 말한다. “CISA는 KEV라는 취약점 목록을 만들어 민간 기업들에 활발히 공유합니다. 공격자들이 활발히 익스플로잇 하고 있는 취약점들만을 모아서 알리는 것이죠. 게다가 최근에는 랜섬웨어취약점경고파일럿(RVWP)이라는 프로그램도 신설해서 랜섬웨어에 대한 보다 빠른 대응을 촉진시키고도 있습니다.”

누네즈는 정부가 랜섬웨어의 위협이라는 것에 보다 진지하게 대응하기 시작한 것이라고 설명한다. “올해에만 벌써 각 산업 내 60개 조직들에 랜섬웨어 관련 첩보를 내보낸 것으로 알고 있습니다. 랜섬웨어 공격이 있기 전에 미리 알려 사건을 예방한다는 게 CISA의 취지죠. 이랬거나 저랬거나 랜섬웨어 공격은 사후 처리보다 사전 예방이 훨씬 나은 게 맞습니다.”

종식되지 않는 랜섬웨어
누네즈는 이런 식으로 랜섬웨어 관련 정보를 빠르게 전파하는 것이 그 무엇보다 중요하다고 강조한다. “왜냐하면 랜섬웨어 공격자들의 수위나 활동력은 계속 증가하고 있기 때문입니다. 우리가 사용하고 있는 시설과, 우리가 누리고 있는 환경들이 점점 상호 연결되고 있다는 것을 공격자들이 잘 이해하고 있다는 뜻이죠. 우리 사회가 연결성을 강조하면 할수록 랜섬웨어 공격자들이 얻어갈 것은 많습니다. 그러므로 이들은 앞으로 우리 모두의 골칫거리로 남아있을 예정입니다.”

그렇기 때문에 랜섬웨어 피해자들이 피해 사실을 늦게 알리거나 감추려 하는 건 랜섬웨어 대응력을 낮추는 지름길이라고 누네즈는 지적한다. “정보의 빠른 공유가 있어야 랜섬웨어를 약화시킬 수 있습니다. 우리가 빠르게 피해 사실을 알려 다음 피해를 막으면 공격자들 입장에서 허탕을 치는 확률이 높아지는 것이거든요. 공격자들에게는 그런 손해가 매우 크게 다가옵니다.”

3줄 요약
1. 콜로니얼 파이프라인 랜섬웨어 사건 2주년.
2. 그 동안 미국 정부가 잘 한 것도 있지만, 더 해야 할 일도 있음.
3. 랜섬웨어 공격자들은 앞으로 사라지지 않을 것.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)