[기자수첩] IT와 OT를 넘나드는 그놈들

[아이뉴스24 김혜경 기자] 디지털 전환으로 모든 것의 경계가 무너지는 시대. 사이버 범죄자들은 새로운 먹잇감을 호시탐탐 노리고 있다. 과거에는 별개로 여겨졌던 정보기술(IT)과 운영기술(OT) 영역이 디지털 전환 가속화로 밀접하게 연결되면서 해커들은 산업제어시스템(ICS)을 뚫기 위해 부지런히 움직이고 있는 모양새다.

러시아가 우크라이나를 침공한 지 4개월째. 지상에서 비인도적 행위가 벌어지고 있는 만큼 사이버 공간에서의 보이지 않는 위협도 고조되고 있다. 러시아 침공이 장기전 양상을 띄면서 사이버 전장은 우크라이나 외부로 확대되고 있다. 마이크로소프트(MS)에 따르면 지난달 말 기준 42개국‧128개 기관에서 러시아 정보기관과 러시아 연계 해커집단의 네트워크 침입 흔적이 포착됐다.

물리적인 침공이 있기 전인 1월부터 가상세계에는 전조 현상이 감지되는 등 사회 기반시설을 겨냥한 대대적인 공격이 예고됐지만 현재까지 큰 타격은 없는 것으로 알려졌다. 우크라이나 침해사고대응팀(CERT)과 동맹국 보안기업들이 힘을 합쳐 방어한 결과다. 아찔한 순간은 있었다. 우크라이나 당국이 보고서를 통해 밝힌 것처럼 ‘샌드웜(Sandworm)'의 전력망 해킹 시도는 현재까지 우크라이나 인프라를 노린 사이버 공격 중 가장 주목해야 할 사례로 꼽혔다.

지난 4월 12일(현지시간) 우크라이나 CERT와 슬로바키아 보안기업 ESET는 샌드웜이 전력망을 겨냥한 멀웨어인 '인더스트로이어(Industroyer)2'를 조기에 포착해 저지했다고 공개한 바 있다. 이는 인스트로이어에서 파생된 악성파일로, 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이다. 해당 멀웨어는 ICS에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.

악명높은 공격자가 다시 등장했다는 점과 최초 침투 경로가 명확하지 않다는 점에서 주의가 요구됐다. 당시 ESET는 분석 보고서를 통해 "공격자가 IT 네트워크에서 ICS로 어떻게 이동할 수 있었는지 현재까지는 알 수 없다"고 전한 바 있다. 현재 우크라이나 특수정보통신국(SSSCIP) 공식 트위터 계정에는 해당 공격 관련 분석 내용이 메인에 걸려있다.

공격자들이 인터넷에 연결된 외부 시스템과 내부망의 접점에서 어떤 취약점을 발견했을 가능성도 높다는 것. 또 ICS까지 들어간 것인지 혹은 외부 네트워크에서 악성파일이 발견돼 공격을 막은 것인지 명확하게 분석해야 한다는 것이 전문가 의견이다.

트렌드마이크로가 최근 독일과 미국, 일본 등의 전력‧석유‧가스‧제조 부문 ICS 사이버 보안 리더 900명을 대상으로 설문조사를 실시한 결과 응답자의 89%가 지난해 사이버 공격으로 생산과 에너지 공급에 영향을 받았다고 답했다. 석유‧가스산업이 가장 큰 피해를 입었으며, 응답자의 72%는 지난 1년 동안 OT 환경의 사이버 장래를 최소 6번 경험한 것으로 나타났다.

맨디언트는 최근 슈나이더 일렉트릭(Schneider Electric)과 오므론(Omron)의 특정 장비를 겨냥한 ICS 멀웨어인 인컨트롤러를 발견했다. 멘디언트에 따르면 인컨트롤러의 툴은 공격자가 주요 산업 기기에 내장된 ICS를 조작해 ▲가동 중지 ▲산업 프로세스 마비 ▲안전 제어 비활성화 등의 용도로 사용될 수 있다. 인더스트로이어 등과 비슷한 수준의 멀웨어라는 분석이다.

그동안 ICS는 폐쇄망 운영으로 안전하다는 인식이 지배적이었다. 그러나 콜로니얼 파이프라인 해킹 사건 등 최근 대형 침해사고가 잇따르면서 보안 위협 범위는 OT 영역까지 확대되고 있다. 이 같은 유형의 사고는 한 번 발생할 경우 피해 규모가 크고 원자재 가격 상승 등 연쇄적인 피해로 이어질 수 있다. 폐쇄망이라 문제없고 경계보안만 잘하면 된다는 인식에서 벗어나야 한다. 결국 최근 재조명되는 보안 트렌드인 '제로 트러스트(Zero-Trust)' 관점에서 접근해야 하는 셈이다.