본문 바로가기 주메뉴 바로가기 검색 바로가기
이란 해커 APT33가 산업용 컴퓨터를 노린다
상태바
이란 해커 APT33가 산업용 컴퓨터를 노린다
韓 전력계통망, 교통관제시스템, 원자력발전시스템 보안 위협 가중

지난 10년간 중동과 미국 컴퓨터를 대상으로 IT 네트워크 공격 및 해킹을 감행했던 이란 국적의 해킹조직APT33이 최근 공격목표를 바꿨다. 그 대상은 산업용 제어장치이다. 산업용 제어장치는 정제시설, 제조시설, 전력시설을 포함하기에 제어 억제력을 잃을 경우 대규모 사고로 이어지기에 주의가 당부된다.

네드 모란(Ned Moran) 마이크로소프트(MS) 보안 연구원은 지난 17일 미국 버지니아 주 사이버워콘(CyberwarCon) 컨퍼런스에서 APT33의 활동 변화를 보여주는 새로운 연구결과를 발표했다. APT33는 작년 한 해 수만 개 사용자 계정에 공통된 비밀번호로 로그인하는 소위 ‘암호 스프레이’ 공격을 감행했다. 최근 두 달동안 수십 만의 기관에서 2만 개의 기관으로 공격 범위를 좁히고 대신 해당 기관의 계정을 10배 이상 늘리는 방식으로 해킹 전략을 바꿨다.


◆암호 스프레이 공격이 부른 교훈, "비밀번호는 어렵게"

암호 스프레이 공격은 다양한 계정과 서비스에서 가장 흔히 사용되는 암호를 무차별 주입 후 실제 암호를 알아내 상대 컴퓨터를 장악하는 방식을 취한다.  이 공격 패턴은 개별 사용자나 회사의 시점에서 볼 때 단순히 단일 로그인 실패처럼 보이므로 대처가 늦다.

이러한 가장 흔한 암호를 이용 접속할 확률은 0.5~1.0%뿐이지만, 공격자가 수천 개의 계정을 공격하면 그중 몇 번은 성공하기에 충분한 효율을 가지는 공격 방식이다. 해킹에 성공한 계정을 사용해 상대의 전자 메일에서 데이터를 가져오거나 연락처 정보를 수집하고  피싱 링크를 전송해 암호 스프레이 공격대상을 확장하게 된다. 공격자 해커는 최초 대상이 누구인지에 대해서는 별로 신경을 쓰지 않는다는 특징이 있다. 공격에 성공해 목적만 달성하면 된다. 

 

글로벌해커 조직에 의한 산언용 제어장치 해킹 시도가 안보 위협을 가하고 있다.[사진=픽사베이]
글로벌해커 조직에 의한 산언용 제어장치 해킹 시도가 안보 위협을 가하고 있다.[사진=픽사베이]

포브스에 따르면, APT33은 2012년 사우디아라비아의 국영 기업 아람코의 컴퓨터 수만 대를 먹통으로 만들었던 샤문(Shamoon) 바이러스 유포로 잘 알려져 있다. 또한, 미국과 중동의 석유 및 가스 산업을 대상으로 공격했던 장본인이기도 하다. 

APT33의 해킹 의도뿐만 아니라 이 조직이 해킹에 성공한 산업제어 장치가 어느정도인지도 확인이 불가능하다. APT33의 해킹공격이 이란 정부가 직간접적으로 지원했을 것이라고 추측만 하고 있을 뿐 아직까지 뚜렷한 증거는 포착하지 못한 상태다.

보안업체 크라우드 스트라이크의 정보 담당 부사장인 아담 마이어스는 "산업용 조종 장치를 목표로 하는 것은 파괴적인 공격을 수행하기 위한 수단이 될 수도 있다"고 언급했다. MS는 이러한 암호 스프레이 공격을 막으려면 ▲클라우드 인증 사용 ▲다단계 인증사용 ▲쉽게 풀기 어려운 비밀번호 등을 사용할 것을 권하고 있다.  


◆中 해커집단, 한국 산업 제어시설 공격 가능성 

미국 캘리포니아주에 위치한 사이버 보안업체 파이어아이에 따르면, 중국 소재의 해커 집단인 ‘톤토팀’은 2018년 12월 '캄손'과 '고스트'란 악성소프트웨어(멀웨어)를 이용해 국내 에너지 기업을 공격했다. 캄손은 뉴스 사이트로 가장한 도메인에 숨어있으며, 고스트는 시스템 정보를 수집하고 원격으로 파일을 생성, 삭제, 실행, 전송한 것으로 드러났다. 캄손과 고스트 둘 다 해킹 도구이다.

톤토팀 외 중국의 또 다른 해킹조직인 탬프틱이 최근 연합전선을 펼친 것으로 알려져 한국과 일본의 전력계통망, 교통관제시스템, 원자력발전시스템 등 사회 기반시설에 대한 사이버 위협은 더 거세질 것으로 보인다. 


 

와이어드 코리아=문재호 기자 jmoon@wired.kr
이 기사를 공유합니다
RECOMMENDED