송유관 업체 랜섬웨어 감염 사례

오늘은 이전부터 계속 말씀드린다고 했었던 랜섬웨어에 대한 이야기를 해보려고 합니다. 원래 랜섬웨어에 대한 내용을 시리즈로 쓰겠다고 했었는데 생각보다 많이 늦어졌군요. 보안 사고는 지금도 터지고 있기 때문에 쓸만한 주제는 굉장히 많기 때문인데요. 오늘도 다른 보안 이슈를 설명드릴까 하다가 마침 미국에서 송유관을 마비시킨 사건도 있고 해서 이를 기반으로 다뤄보도록 하겠습니다.

​

초반에 썼던 글인 "정상 소프트웨어로 위장한 랜섬웨어 감염 사례"에서 랜섬웨어는 데이터를 암호화하여 이를 인질로 삼아, 몸값을 요구하는 악성코드다..라고 설명을 드렸었는데요. 불특정 다수를 노리고 정상 파일인척 위장한 랜섬웨어를 이메일이나 피싱 사이트로부터 다운로드 받아 실행하도록 유도한다고 말씀드렸죠. 그런데 최근에는 해커들이 개인보다는 돈이 많은 특정 기업을 노리고 랜섬웨어 공격을 자주 감행합니다. 기업에는 고객들에게 서비스하기 위한 데이터들이 굉장히 많이 있을 겁니다. 여기에는 고객의 개인정보도 포함되어 있을텐데, 해커가 랜섬웨어로 서비스를 마비시키고 돈을 주지 않으면 고객의 데이터를 다크웹에 뿌리겠다라고 협박을 하죠. 단순히 데이터를 암호화시켜서 서비스를 제공하지 못하게 하는 것만으로는 별로 돈이 안되니까, 여기에 더해 데이터를 유출시키겠다는 이중 협박 단계로 넘어간 듯 싶습니다.

​

실제로 기업 입장에서는 랜섬웨어에 걸리면 매출이나 주가에 상당한 타격을 입게됩니다. 기업이 랜섬웨어에 걸려 생산 라인에 차질이 생기면 매출이 줄어들게 되고 이에 따라 주가가 하락하겠죠. 최근 이슈가 되었던 콜로니얼 파이프라인이라는 기업도 랜섬웨어에 감염되서 송유관 가동이 멈춘 것으로 알려졌습니다. 시스템으로 송유관 운영을 자동화하고 있는데 운영에 필요한 데이터가 암호화 되었으니 이 데이터가 복호화되지 않는 한 석유를 전달할 수 없겠죠. 즉, 기업의 매출에 심각한 타격을 입힘으로써 돈을 보낼 수 밖에 없는 구조로 만든 겁니다.

​

그런데 문제는 이러한 정유시설 같은 산업 분야나 국방, 수자원 등 국가의 주요기반 시설은 산업제어시스템(ICS, Industrial Control System)으로 운영되는데, 이러한 시스템에 랜섬웨어가 영향을 미쳤다는 것은 그만큼 보안이 취약하다는 말이 됩니다. 원래 산업제어시스템은 기본적으로 인터넷에 연결되지 않은 가상사설망으로 운영되어야 하는데 인터넷에 연결되어 있다던지, 내부 접근제어가 제대로 되어있지 않았겠죠. 물론 공격을 감행한 해커와 관련된 내부자 소행일 가능성도 있습니다만, 아마 미국 NIST(National Institute of Standards and Technology, 미국 국립 표준기술연구소)에서 제시하는 보안 가이드라인을 지키지 않아서 발생한 사고가 아닐까..라는 생각을 해봅니다.

 

美 최대 송유관 마비시킨 '다크사이드'…리얼라이프마저 위협하는 랜섬웨어

 

오늘은 조금 더 기술적인 이야기를 드리고 싶었지만, 너무 길어질 것 같아 다음으로 미루도록 하죠. 여기서는 국가의 주요기반시설이 산업제어시스템으로 운영되는 것과 산업제어시스템을 운영할 때 지켜야할 보안 가이드라인을 국가 차원에서 제시하고 있다..정도를 알고 가시면 될 것 같습니다. 요놈의 보안 가이드라인은 추후 말씀드릴 기회가 또 있을텐데.. 단순하게 말해서 산업제어시스템을 만들 때 네트워크는 외부와 단절되어야 하며, 공격을 당했을 때 위험 관리는 어떻게 해야하는지 등을 적은 문서라고 이해하시면 됩니다. 또한 앞서 말씀드린 가상사설망 같은 망분리 개념도 중요한 이슈이기 때문에 이후에 자세히 다뤄보도록 하겠습니다. 그럼 오늘은 여기서 줄이도록 하죠. 감사합니다.