금전 이익 노린 해킹그룹, 랜섬웨어 더 늘어난다

“사이버범죄가 기업화되며 기업 대상 랜섬웨어 공격이 급증하고 있다. 이런 공격은 앞으로 더욱 증가하고 체계적으로 발생할 것으로 예상되는 만큼 기업의 생존을 위해선 전방위로 보안 체계를 구축해야 한다.”

클래로티 산하 연구조직 팀82의 보안 연구소장 샤론 브리지노브는 위와 같이 말하며 기업 생존을 위한 보안의 중요성을 강조했다.

■ 해킹그룹, 확실한 거액 위해 기업 공격 집중

샤론 브리지노브 소장은 “현재 사이버 공격 트렌드는 재무적인 이득을 얻기 위한 랜섬웨어 공격 이 대다수를 차지하고 있다”며 “이로 인해 확실하게 거액을 얻을 수 있는 기업을 대상으로 한 공격이 점점 늘어나는 추세”라고 설명했다.

전 세계적으로 급증하는 사이버 공격을 분석한 결과 제조업을 노린 랜섬웨어 비중이 19%로 가장 높았다.

제조업이 주요 타깃이 된 이유는 사업 특성상 장비나 시설이 멈추면 납기일을 맞출 수 없어 협상을 유리하게 이끌 수 있기 때문이다. 특히, 발전소, 정유소 등 에너지기업이나 수도공사 같은 경우 사용자 피해가 극대화되며, 제철소는 제조라인의 원자재를 모두 폐기 처분해야 하는 등 시간의 영향을 크게 받기 때문이다.

그는 “지난해 미국 콜로니얼 마비 공격에 이어 최근에는 일본 최대 항만인 나고야항이 랜섬웨어로 인해 일시적으로 업무가 중단되기도 했다”며 “특히 심각한 경우는 병원을 직접 공격해 환자를 인질로 삼아 재무적인 이득을 보는 경우도 있다”며 제조업을 비롯해 각 산업 관계자는 보안에 대해 신중하게 고려해볼 것을 제안했다.

랜섬웨어로 인해 하루 간 운영이 중단됐던 나고야 항(이미지=나고야 항 관리 조합)

■ 공격자보다 앞서 선제 대비 필수

샤론 브리지노브는 미국 데프콘, 대만 히트콘 등 보안 컨퍼런스에서 연구를 발표한 바 있으며 데프콘 27에서 ICS CTF를 수상하며 블랙배지를 받은 전문 OT/IoT 분야 보안 연구원이다.

그는 ‘이블 PLC 공격(Evil PLC Attack)’을 공개하며 급증하는 제조기업의 보안 취약점 대비를 촉구했다.

이블 PLC 공격은 프로그래머블 로직 컨트롤러(PLC)에 침투해 엔지니어링 워크스테이션을 손상시키는 공격이다. PLC를 공격 대상이 아닌 도구로 사용해 엔지니어가 유지·보수 작업이나 진단을 위해 손상된 PLC에 PC를 연결하는 순간 점염을 확대시킨다.

이 공격은 전기, 제조, 중공업 등 산업 전반에 걸쳐 작업하는 엔지니어를 노려 막대한 피해를 발생시킬 수 있어 예방 및 완화가 중요하다.

보안팀에서 이런 공격 방법을 개발하는 이유에 대해 샤론 브리지노브 소장은 공격자들이 이를 약용해 피해가 발생하기전에 기업에서 대응할 수 있는 방안을 제공하기 위함이라고 설명했다.

그는 “최근 사이버 공격이 급증하고 AI 등 최신 기술이 적용되면서 기업에서 이를 모두 대응하는 것은 현실적으로 한계인 상황”이라며 “우리는 이스라엘 텔아비브에 마련한 연구소에서 수백 종의 장비를 활용해 끊임없이 연구하며 취약점 개선을 위해 노력하고 있다”고 말했다.

■ 누구나 사이버공격할 수 있는 시대, 통합 보안 필수

샤론 브리지노브 소장은 현재 글로벌 보안 업계에 가장 주목하는 트랜드로 인포스틸러를 지목했다.

인포스틸러는 개인정보 및 기업 인프라 접속 권한, 해킹툴 등을 전문적으로 수집 및 판매하는 전문 브로커다. 직접 사이버공격을 시도하지 않는 대신 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼인 셈이다. 국내에서는 초기 침투 전문 브로커’(IAB)로 알려져있다.