[아이뉴스24 김국배기자] 랜섬웨어 위협이 산업제어시스템(ICS)까지 번지고 있다. 특히 향후에는 산업·제조 현장의 설비자동제어장치(PLC)가 랜섬웨어의 공격 대상이 될 수 있다는 경고가 나온다.
7일 보안 업계에 따르면 랜섬웨어 공격자들은 더 높은 목표로 ICS까지 공격 대상을 확장하기 시작했다.
실제로 지난해 4월에는 미시간 발전소 수자원시설이 랜섬웨어 공격을 당했다. 악성파일을 첨부한 이메일을 통한 스피어 피싱으로 회사 직원이 이메일 첨부파일을 확인함과 동시에 파일이 암호화됐다. 결국 내부 네트워크에 감염이 확산돼 추가 피해를 방지하기 위해 회사 내부 시스템을 중단했다.
같은해 11월에는 미국 캘리포니아 주 샌프란시스코 대중교통 수단인 샌프란시스코 시영철도(MUNI) 시스템이 HDD크립토의 변종인 맘바(Mamba) 랜섬웨어에 감염됐다. 그 결과 2천 대 이상의 교통 시스템이 잠겨 무료 서비스를 제공하는 사태가 벌어졌다.
또 12월에는 킬디스크(KillDisk) 변종 랜섬웨어가 발견됐다. 킬디스크는 2015년 우크라이나 전력망 사이버 공격에 사용된 랜섬웨어다. 이 변종 랜섬웨어는 리눅스 시스템을 대상으로 하며 암호화 키를 서버로 전송하지 않아 복호화가 불가능하다.
ICS-서트(CERT)에 따르면 2010년부터 2015년까지 발견된 ICS 취약점 수는 1천400개 이상이다. 2015년에만 370개가 넘게 발견됐다.
여기에 최근엔 PLC가 랜섬웨어의 공격 대상이 될 가능성이 높다고 보안 전문가들은 점치고 있다.
인터넷에 직접 연결돼 있는 수 천 개의 PLC가 랜섬웨어 초기 감염 대상이 될 수 있다는 분석이다. PLC는 사물인터넷(IoT) 검색엔진 '쇼단' 등에서 쉽게 찾을 수 있기도 하다.
공격자는 인터넷에 연결된 PLC 중 하나를 대상으로 초기 감염을 위한 공격을 시도하고, 시스템 내부 정보를 획득해 공격을 확장하려는 목적으로 내부 네트워크 정찰을 통해 추가 감염을 시도하는 단계를 거치게 된다.
또 피해자가 PLC 감염 사실을 알고 복구하는 것을 방해하기 위해 암호 설정 등의 방법으로 PLC에 접근하지 못하도록 차단한다. PLC 상의 프로그램이나 데이터를 암호화해 암호화된 자료는 마지막 단계에서 피해자와 협상 수단으로 이용한다.
이같은 PLC 랜섬웨어 공격 사례는 아직 나오지 않았지만 PLC 대상 최초의 랜섬웨어인 '로직락커(LogicLocker)' 시연으로 위험성은 이미 증명된 바 있다. 로직락커는 도시 수처리 시설 모형에서 세 가지 유형의 PLC를 감염시킨 뒤 조작한 데이터를 휴먼머신인터페이스(HMI)에 전송했다.
보안업체 관계자는 "장비 자체에 대한 보안을 강화하는 엔드포인트 보안과 내부망에 연결된 시스템 사이의 네트워크 감시를 통한 네트워크 보안, 인적 보안의 기반이 되는 정책 설정을 통해 공격에 대비해야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기