‘비밀번호 1111’··· 이란 조직의 초보적 공격에 당한 미 상수도 업계

이란 ‘CyberAv3ngers’ 그룹이 미국의 수도 설비 기업 유니트로닉스 PLC를 공격했다. ‘초보적인’ 이번 공격은 미국 수도 시설에 내재한 사이버 보안 취약점, 인터넷에서 장치를 분리해야 할 필요성, 재발 방지용 규제 필요성 등에 대한 주의를 환기하고 있다.
 

미국의 중요 인프라 업계와 연방 당국은 산업 제어 시스템(ICS) 환경에 배포된 인터넷 연결 장비의 보안 허점을 악용하는 이란 조직의 공격에 직면하고 있다. 특히 수도 시설에 대한 일련의 공격이 최근 발생했다.

하마스-이스라엘 전쟁으로 인해 촉발된 것으로 보이는 이러한 종류의 공격은 당분간 계속될 것으로 관측된다. 그러나 일부 사이버 보안 및 산업 제어 시스템 보안 전문가들은 이번 공격의 아마추어적인 특성을 고려할 때 이란이라는 국가가 배후에 있는 것이 맞는지 의구심을 제기하고 있다.

그럼에도 불구하고 이들 전문가들은 모두 영세한 수도 시설 조직들이 이러한 공격에 속수무책으로 당하고 있다는 점, 이들 조직이 보호되지 않은 장치를 개방형 인터넷에서 제거함으로써 방어할 수 있다는 점에 동의한다. 일부 전문가들은 이번 사건을 계기로 물 분야 규제에 대한 관심이 다시 높아짐으로써 수도 관련 기업들이 사이버 보안에 더 유의미한 자금을 투입할 수 있기를 희망한다.

수도 시설에 대한 사이버 공격 타임라인
11월 25일, 펜실베이니아주 알리퀴파 시 수도국은 사이버 공격으로 인해 손상된 유니트로닉스 PLC(프로그래밍 가능 로직 컨트롤러) 모델인 V570-57-T20/V290-19-T20으로 인해 부스터 스테이션에 대한 제어권을 잃었다고 밝혔다. 공격자는 장치의 기본 제조업체 비밀번호인 ‘1111’을 악용했지만 정확한 침해 방법은 아직 밝혀지지 않았다.

CyberAv3ngers로 알려진 이란의 소위 ‘핵티비스트’ 공격자들은 이 장비의 화면을 “당신은 해킹 당했다. 이스라엘과 함께 다운되었다. 모든 ‘이스라엘산’ 장비는 CyberAv3ngers의 법적 표적이다”라는 메시지로 훼손했다. 수도국은 시스템을 오프라인으로 전환하고 수동 작동으로 전환했다. 시의 식수나 수도 공급에 대한 위험은 발생하지 않았다.

11월 28일, 미국 사이버 보안 및 인프라 보안국(CISA)은 사이버 위협 행위자들이 취약한 비밀번호 보안과 인터넷 노출 등 사이버 보안 약점을 악용하여 상하수도 시스템(WWS)을 표적으로 삼고 있다고 경고했다. CISA는 다른 유니트로닉스 고객들이 이러한 공격을 방어하기 위해 배포할 수 있는 방법에 대한 지침을 제공했다.

12월 1일, 미국 사이버보안 및 인프라 보안국(CISA), 미국 연방수사국(FBI), 국가안보국(NSA), 환경보호국(EPA), 이스라엘 국가사이버국(INCD) 등은 이란 정부 이슬람혁명수비대(IRGC)와 연계된 지능형 지속 위협(APT) 사이버 공격자, 특히 CyberAv3ngers의 운영 기술 장치에 대한 지속적인 악성 사이버 활동을 강조하기 위해 더욱 강력한 경보를 발령했다. 센티넬원의 연구원들은 CyberAV3ngers의 임무가 기술적으로 정교하지 않은 해킹을 활용해 불화를 조장하고 위기감을 조장하는 것이라고 분석했다.

이들 기관은 공격 단체가 미국의 여러 주와 에너지, 식음료, 제조, 의료 등 다양한 산업 분야를 표적으로 삼았다고 경고했다. 또한 IRGC 사이버 작전과 관련된 침해 지표(IOC)와 전술, 기법 및 절차(TTP)에 대한 정보를 공유했다.

쇼단의 조사에 따르면 공격 발생 5일 후 인터넷을 통해 전 세계에서 약 1,800개의 유니트로닉스 PLC에 접속할 수 있었으며, 이 중 약 280개는 알리퀴파 시 수도국에서 사용 중인 유형이었다. 12월 8일 현재 전 세계에서 연결 가능한 유니트로닉스 PLC의 수는 1,619개로 줄었고, 펜실베이니아에서 악용된 유형의 PLC는 258개로 감소한 것으로 쇼단 검색 결과 밝혀졌다.

CyberAv3ngers의 이중적 평판 
CyberAv3ngers는 텔레그램 채널과 기타 소셜 미디어에서 자신들의 공격을 선전한 전력이 있는데, 그 중 일부는 거짓으로 판명된 바 있다. 일례로 이 조직은 10월 초 이스라엘의 도라드 민간 발전소를 해킹했다고 주장했는데, 이후 카스퍼스키의 연구원들은 이 공격이 2022년에 모세스탭이라는 핵티비스트 그룹의 이전 공격에서 재활용된 이미지와 데이터를 사용했다는 사실을 발견했다.

그러나 이들의 소행으로 유력한 공격도 있다. 10월 중순, 이 그룹은 이스라엘의 연료 소매 결제 서비스 제공업체인 오르팍을 공격하여 200대의 주유 펌프를 시스템에서 분리한 것이 자신들이라고 주장했다. 당시텔아비브와 하이파 주민들은 소셜 미디어를 통해 주유 펌프가 동작하지 않음을 공유했었다.

10월 말, 이 단체는 이스라엘의 수도 시설 10곳을 해킹했다고 주장하며 그 증거로 이미지와 동영상을 제시했다. 이 단체는 명령줄 터미널에서 해킹이 어떻게 이루어졌는지 보여주는 자세한 동영상을 제공했으며, 여기에는 공격받은 시스템과 관련된 일부 IP 주소가 포함되어 있다.

수도 시설 공격은 초보적이었다
CISA와 센티넬원 모두 CyberAv3ngers가 IRGC와 연계된 그룹이라고 분석하고 있다. 그러나 일부 전문가들은 강력한 사이버 위협 능력으로 잘 알려진 이란 정부와 핵티비스트 간의 관계가 실제로 얼마나 긴밀한지에 대해 회의적이다. 크리티컬 인사이트의 창립자이자 전 시애틀 시의 CISO였던 마이크 해밀턴은 “국가가 지원하는 그룹으로 보이지는 않는다”라고 말했다.

그는 “수도 시설을 운영하는 사람들이 인터넷에 연결된 장비의 기본 비밀번호를 변경하지 않았다. 그래서 CyberAv3ngers는 유니트로닉스 제품과 함께 제공되는 기본 비밀번호를 찾아서 로그인하기만 하면 됐다. 정교한 해킹과는 거리가 먼 이야기다. 이란의 국가가 후원하는 그룹의 실력은 출중하다. 만약 그들이 공격했다면 와이퍼, 맬웨어 등을 활용해 영구적인 손상을 입혔을 것”이라고 말했다.

소나 시스템즈의 현장 CTO인 론 파벨라는 CyberAv3ngers와 IRGC의 연계가 러시아가 자국 국경 내에서 금전적 동기를 가진 랜섬웨어 공격자들을 눈감아주는 것과 비슷하다고 추정했다. 그는 CSO에 “이란이 이 사람들을 체포하지 않는다고 해서 그들이 자금을 지원받거나 연계되어 있다는 의미는 아니다”라고 말했다.

하지만 암페어 인더스트리얼 시큐리티의 CEO 패트릭 밀러는 공격이 정교하지 않다고 해서 공격자들이 아마추어라는 뜻은 아니라고 설명했다. 그는 “정교한 공격자들도 레드헤링을 제공하는 것과 같은 일을 할 수 있다. 공격의 수준이 낮다고 해서 정교한 공격자들이 우회 방법 같은 것을 사용하지 않을 것이라는 것은 아니다”라고 말했다.

핵심은 ‘제대로 보호되지 않는 수자원 인프라’
수도 시스템 공격이 주목을 받았지만, 공격은 산발적으로 이루어졌으며 적어도 한 곳의 양조장을 포함하여 다양한 대상을 겨냥한 것으로 보인다. 파벨라는 “위협 행위자는 미국에 기반을 둔 폐수 및 수도 시스템을 표적으로 삼지 않았다. 그들은 이 특정 TCP 포트에서 수신 중인 모든 것을 표적으로 삼았다. 그것이 전부다”라고 말했다.

미국 수도 협회의 연방 관계 담당 매니저인 케빈 몰리는 CSO에 “그들이 명시적으로 상수도 시스템을 표적으로 삼았는지는 모르겠다. 이번 공격은 여러 분야에서 사용되는 상당히 저렴한 장치에 대한 단순한 공격이었다. 철도나 운송 또는 다른 분야에 종사하는 사람들은 ‘아, 물 문제구나. 걱정할 필요가 없겠지’라고 생각할 수 있다. 절대 아니다. 이것은 물 문제가 아니다. 이것은 PLC 제어 문제이다”라고 말했다.

사이버 보안을 제대로 처리할 자금이나 인력이 부족한 만성적으로 자금이 부족한 수도 시설은 공격의 표적이 될 수 있다. 해밀턴은 “주목해야 할 핵심은 우리의 상수도 인프라가 얼마나 취약하게 보호되고 있는가 하는 점이다”라고 말했다.

인프라가드 휴스턴의 사장 직무대리 마르코 아얄라는 CSO에게 “돈도 없고, 자원도 없는 소규모 공공 유틸리티 업체에 안타까운 마음이 든다. 내가 생각하는 가장 큰 문제는 수도 시설이 사이버 보안에 대한 자금이 턱없이 부족하다는 것이다”라며 동의했다.

문제 중 하나는 미국 내 수도 시설의 수가 너무 많은데 대부분 소규모이며 손익분기점을 간신히 넘기고 있다는 점이다. CISA에 따르면 미국에는 약 15만 3,000개의 공공 식수 시스템과 1만 6,000개 이상의 공공 소유 폐수 처리 시스템이 있다. EPA에 따르면 공공 상수도 시스템의 92%는 1만 명 이하의 고객에게 서비스를 제공한다.

몰리는 “수도 부문은 지역 요금 납부자의 자금으로 운영된다. 수도 부문에는 연방 정부의 보조금이 없다. 고속도로와 다르다”라고 말했다.

네트워크 내 쓰레기부터 치워야
어떤 조직이든 기본 비밀번호 변경과 같은 적절한 사이버 보안 조치를 실천해야 한다. 또 이러한 종류의 공격을 막기 위해 할 수 있는 중요한 일은 장치가 인터넷에 무방비 상태로 방치되지 않도록 하는 것이다. 

밀러는 “많은 유틸리티 업체가 기본 비밀번호를 변경하지 않는 이유는 직원 이탈률이 높고, 매번 비밀번호를 변경하고 싶지 않기 때문일 수 있다. 운영상 여러 가지 이유로 비밀번호를 변경하고 싶지 않을 수 있다. 하지만, 그렇게 할 필요성을 최소화하기 위해 가장 중요한 것은 인터넷에서 쓰레기를 치우는 것이다”라고 말했다.

아얄라는 “시스템과 인터넷 연결을 정상화하는 게 핵심이다. 조직이 보안이 강화되고 다단계 인증과 같은 보호 기능이 있는 VPN과 같이 정의된 원격 액세스 연결 지점을 통과하여 시스템이 인터넷을 통과하지 않고 공개되지 않도록 해야 한다. 요즘에는 합리적인 비용으로 이를 쉽게 구현할 수 있다. 구매나 유지 관리 비용이 그렇게 비싸지 않다”라고 조언했다.

상수도 산업을 위한 새로운 보안 규정의 명확한 요구
이러한 최근의 공격으로 인해 얻을 수 있는 것이 있다면, 물 산업의 사이버 보안 관행을 규제해야 한다는 새로운 요구일 것이다. 수도 유틸리티 업체들은 사이버 보안을 강화할 수 있는 규제 규칙 측면에서 다른 주요 인프라 부문보다 뒤처져 있다. 

지난 3월, 미국 환경보호국(EPA) 주도 하에 바이든 행정부는 주정부가 수도 유틸리티의 사이버 방어를 검사하도록 하는 새로운 요건을 마련했다. 그러나 아칸소, 아이오와, 미주리 주 공화당 법무장관의 반대로 인해 10월 좌초된 바 있다.

해밀턴은 “EPA를 다시 참여시켜야 한다. EPA가 이 일을 하지 못할 이유가 없다. EPA는 외면당했고 이런 일이 벌어졌다. 그들은 해킹을 당하고 있다”라고 말했다.

밀러는 “내가 규제 당국자라면 이 기회를 잡을 것이다. 규제를 도입해야 하는 이유에 대한 포스터 이벤트로 활용할 것이다. 내가 규제 옹호론자라서가 아니다. 하지만 전직 규제 당국자로서 이런 이벤트는 거의 항상 규제 논의를 다시 시작하기 위한 발판이나 마중물로 활용될 수 있는 촉매제 역할을 할 수 있다”라고 말했다. 

게다가 새로운 규제는 상수도 부문이 사이버 보안에 더 많은 자금을 투입하는 데 도움이 될 수 있다. 밀러는 “그들은 돈이 없다. 그러면 그들은 규정을 준수할 돈이 없다고 불평하지만, 허술한 보안은 결국 실적 악화로 이어진다. 닭과 달걀의 상황이다. 초기에는 약간의 고통이 있을 수 있지만 핵심 인프라 운영자가 보안 관점에서 ‘이 정도 높이’를 확보하기 위해서는 최소한의 규제가 필요하다. 그리고 그들이 돈을 벌 수 있는 유일한 방법은 우리가 최소한의 규제를 마련하는 것이다. 그것이 현실이다. 끔찍하지만 그것이 현실이다”라고 말했다. ciokr@idg.co.kr