랜섬웨어뉴스

경제 구조 자체가 랜섬웨어에 취약할 수밖에 없는 분야가 있으니 바로 공업과 사회 기간 시설 관리다. 공격자들도 이를 알고 OT 시스템에 대한 공격의 강도를 계속해서 높이는 중이다. 그 결과 2023년 OT 랜섬웨어는 기록을 갱신했다. 해킹 피해자 730명에 26억 갈취

[보안뉴스=로버트 레모스 IT 칼럼니스트] 지난 1년 동안 공업 분야에 있는 기업들 중 3/4가 랜섬웨어 공격에 당한 경험을 가지고 있는 것으로 집계됐다. 이 과정에서 OT 시스템에 대한 침해와 공격도 빈번히 이뤄졌는데, 이 때문에 OT 환경은 그 어느 해보다 많은 부침을 겪었다고 한다. 랜섬웨어 공격자들의 레이더 망에 OT 시스템들도 들어간 것으로 보인다.

▲[이미지 = gettyimagesbank]​​

  지난 12개월 동안 랜섬웨어 공격에 당한 공업 분야 기업들은 54%인 것으로 조사됐다고 OT 보안 전문 기업 클래로티(Claroty)가 발표했다. 2021년 클래로티가 같은 조사를 실시했을 때 OT를 겨냥한 랜섬웨어 공격에 당해 본 기업은 47%였다. 2년 만에 적잖은 증가세가 기록된 것이라고 할 수 있다.

실제로 사회 기반 시설(혹은 기간 시설)과 공업 분야에서 랜섬웨어 사건이 발생하는 것은 이전과 비교해 훨씬 흔한 일이 되었다. 최근에는 미국의 한 수도 관리 업체가 이란의 핵티비스트 단체에 의해 사이트 위변조 공격에 당했었다. 이 사건을 조사해 보니 공격자들은 미국 전역의 수도 관리 시스템들을 광범위하게 공격하고 있었던 것으로 나타났다. 2022년 2월에는 타이어 제조사인 브리지스톤(Bridgestone)이 일부 공장문을 며칠 동안 닫기도 했는데, 록빗2.0(LockBit 2.0) 때문이었다.

클래로티의 CPO인 그랜트 게이어(Grant Geyer)는 “OT 시스템을 정확히 노리는 랜섬웨어 공격 시도는 2년 동안 거의 비슷한 수준으로 유지됐는데, 문제는 IT와 OT 시스템 양쪽에 영향을 주는 공격이 증가하고 있다는 것”이라고 설명을 추가한다. “2021년에 조사했을 때 IT와 OT 모두에 피해를 입은 기업은 27%였습니다. 하지만 이번 조사에서는 37%인 것으로 나왔습니다. OT 시스템 대부분 윈도를 기반으로 하고 있기 때문에 IT 환경에서 벌어진 사건이 그대로 흘러들어갈 때가 많은 것으로 밝혀졌습니다. 무슨 뜻일까요? IT와 OT의 분리가 제대로 이뤄지지 않고 있다는 것이죠.”

또 다른 보안 업체 NCC그룹(NCC Group)도 비슷한 내용을 최근 발표했다. 지난 1년 동안 매달 가장 빈번하게 랜섬웨어 공격자들의 표적이 된 건 공업 분야라는 것이다. 10월을 기준으로 공업 분야를 노리는 랜섬웨어 공격은 작년 10월에 비해 81% 증가한 것으로 조사됐다고 한다. “공업 분야와 OT에 랜섬웨어 공격이 자주 발생하는 건 알려진 것보다 오래 전부터 있어왔던 현상입니다. 그렇게 공격하기 쉽고 그렇게 협박하기 좋은 곳을 공격자들이 그냥 놔둘 리가 없지요.”

NCC그룹의 보안 전문가 션 애로스미스(Sean Arrowsmith)는 “세계 곳곳의 지정학적 갈등이 고조되고 있는 것도 공업 분야의 랜섬웨어를 증가시키는 데 한몫 하고 있다”고 덧붙인다. “예를 들어 에너지 시설을 공격해서 조금이라도 전력 공급에 차질을 준다면 어떻게 될까요? 사회적 혼란이 야기될 것이고, 이는 여러 가지 비용 손실로 이어질 겁니다. 적대적 의도를 가진 국가의 공격자들에게 있어서 더 없이 보람찬 일이 되겠죠. 이런 자들이 노리는 건 사회적 파장이 큰 공업 시설일 때가 많습니다.”

공업 분야의 기업들은 기꺼이 돈을 낸다

공업 시설들이 공격하기에 매력적인 이유는 이 분야 기업들은 시설이 중단되는 것을 그 무엇보다 꺼려하기 때문이다. 즉 건드리기만 하면 돈을 내려는 성향을 보인다는 뜻이다. 물론 이는 공업 분야에서만 나타나는 특성은 아니다.

분야를 불문하고 조사했을 때 비교적 작은 규모의 기업들 중 36%는 랜섬웨어 공격자들에게 돈을 낸다고 하고, 비교적 큰 규모의 기업들 중에서는 무려 55%가 돈을 내려 한다고 보안 업체 소포스(Sophos)가 발표한 바 있다. 랜섬웨어 사건 때문에 발생하는 손해가 크면 클수록 범인들과 협상할 가능성이 높아진다는 의미로 해석이 가능한 조사 결과고, 이는 어느 산업에나 적용이 가능하다.

그런데 공업 분야의 경우 랜섬웨어 공격자들에게 돈을 주고 해결하려는 사례는 무려 67%나 되는 것으로 이번에 조사됐다. “전체 분야의 2/3가 돈을 낸다고 하고, 실제 그래 왔습니다. 이것만으로 이 분야의 랜섬웨어 공격이 빠르게 증가하는 이유가 충분히 설명됩니다. 공업 분야 기업들의 마음가짐이나 태도에 문제가 있는 게 아닙니다. 그 분야가 수익을 창출하는 구조 자체가 랜섬웨어와 상극입니다.”

서드파티도 랜섬웨어 공격의 주요한 통로가 되는 것으로 밝혀졌다. “미국의 경우 상위 10위 안에 드는 에너지 기업들이 전부 지난 12개월 동안 침해 사고를 겪은 기업들을 서드파티로 두고 있는 것으로 밝혀졌습니다. 그리고 이 때문에 결국 침해 사고의 피해자가 된 경우들이 거의 다였습니다. 공업 분야 기업들의 덩치가 큰 편이고, 그래서 서드파티와의 계약이 필수적이라는 것도 랜섬웨어 공격자들이 잘 이해하고 있습니다.” 보안 업체 시큐리티스코어카드(SecurityScorecard) 측의 설명이다.

“올해 하반기를 시끄럽게 했던 무브잇(MOVEit) 사태가 이 경우에 해당하죠. 무브잇의 제로데이 취약점 하나 때문에 수많은 사용자 기업들이 협박에 시달렸거든요. 그 중 공업 분야 기업들 혹은 기간 시설 관리 기업들이 상당 수 섞여 있었습니다.” 시큐리티스코어카드의 연구 선임 롭 에임즈(Rob Ames)의 설명이다.

게이어는 “공업 분야의 기업들은 대단히 큰 규모의 시설을 관장하고 있을 때가 많아 크고 부유해 보이는데, 실상은 그렇지 않을 때가 많다”고 말한다. “보안에 쓸 돈이 넉넉치 않은 경우들이 상당하죠. 경제적으로 보안을 생각하는 게 불가능하다는 뜻입니다. 하지만 이들이 관리하는 수도나 전기, 에너지 등은 사회가 돌아가게 하는 데에 필수적인 것들이고요. 너무나 중요한 부분을 맡고 있는 단체가, 사실 주머니 사정이 넉넉치 않아 보안을 생각도 못하고 있다는 건 정부 차원에서 돌아봐야 할 문제입니다.”

  

[ 보안뉴스 ] 문가용 기자원문보기