패키징 분야의 큰 손 웨스트록이 멈춰 섰다. 약속된 상품들을 납품도 못하고 있다. 이런 시간이 길어지면서 손실이 천문학적으로 쌓이고 있다. 이렇게 된 이유는 다름 아니라 랜섬웨어. OT 보안의 중요성이 다시 한 번 강조되는 사건이다.

[보안뉴스 문가용 기자] 기업 가치가 170억 달러에 달하는 패키징 회사 웨스트록(WestRock)이 사어버 공격에 당해 마비됐다. 들리는 소식에 의하면 IT망과 OT망 모두가 공격의 영향을 받았다고 한다. 이 때문에 중요 사업 행위들이 중단된 상태이며 일부 제품의 납품이 되지 않는 상황이다. 공격과 관련된 세부 사항은 공개되지 않았다.

​

[이미지 = utoimage]

웨스트록의 CEO인 스티브 부어히스(Steve Voorhees)는 공식 발표를 통해 “조사를 완료하고 업무 정상화를 서두르기 위해 최선을 다하고 있다”고 발표했다. “최선을 다해 고객들께 약속된 물건을 납품하기 위해 현재 필요한 모든 자원이 투자되고 있다”고도 덧붙였다. 웨스트록은 보안 전문 업체와 함께 사고의 원인을 밝히는 중이라고 한다. 하지만 이익 손실은 이미 대량 발생 중이다.

현재 사건을 일으킨 멀웨어는 랜섬웨어로 알려져 있다. 보안 업체 버브 인더스트리얼(Verve Industrial)의 CEO인 존 리빙턴(John Livington)은 “OT 환경이 사이버 공격에 당했을 때 그 영향력이 얼마나 큰지 잘 보여주는 사건”이라고 말한다. 특히 최근처럼 IT와 OT가 연결이 되어 인터넷으로까지 접속이 가능해질 때 이런 사건은 발생할 수밖에 없는 것처럼 보이기도 한다.

하지만 이런 상황에서 제대로 엔드포인트를 보호하고 있는 사례를 찾기가 힘들다고 리빙턴은 말한다. “아주 초보적이고 간단한 수준의 네트워크 제어 장치를 제외하고는 보안이 전무한 상황일 때가 많습니다. OT에 연결되어 있는 윈도 PC, 네트워크 장비, 임베드 된 장비, PLC 등은 벌거벗겨진 채 열려있을 때가 많습니다.”

예를 들어 OT 환경에 있는 윈도 장비들은 대부분 주요 자산들을 제어하는 데에 사용되는데 액티브 디렉토리 환경에 연결되어 있지는 않다. 그렇기 때문에 사용자들과 계정을 관리할 방법이 없는 것과 마찬가지다. PLC 시스템들 역시 인터넷에 연결될 것을 염두에 두고 설계되지 않았기 때문에 불안한 점을 다수 내포하고 있다. 비밀번호 없이 인터넷에 연결된 PLC를 찾는 건 일도 아니다.

게다가 OT 환경의 윈도 시스템들이 업데이트 되는 것도 대단히 드문 일이다. 패치를 설치하다가 시스템 내부에서 충돌이 발생해 가동이 중단되는 일이 발생할까봐 두려워서다. OT 환경 내 시스템들은 작동을 중단하면 안 되는 경우가 많은데, 패치는 장비를 껐다 켜야 하는 과정을 필요로 하기 때문에 패치 적용이 쉽지 않다.

지난 한 해 동안 OT 환경의 보안 문제는 계속해서 제기되어 왔다. 7월에는 미국의 국토안보부 산하 사이버 보안 전담 부서인 CISA가 사회 기반 시설 및 편의 시설 분야의 OT 보안 강화를 촉구했었다. 특히 오래된 OT 자산들의 경우 IT 보안 개념이 전혀 없는 상태에서 만들어졌고, 그런 상태에서 IT와 연결되기 때문에 공격자들이 노리기에 좋은 표적이 된다는 경고가 있었다.

현재까지 OT 환경으로의 침투 공격은 대부분 IT 네트워크의 침해를 통해 이뤄졌다. 즉 IT와 OT가 제대로 분리되어 있지 않은 상황을 공격자들이 노린 것이다. 리빙스턴은 “버브 인더스트리얼이 목격한 모든 OT 침해 사고는 IT를 통해 일어났다”고 말한다. 또 다른 보안 업체 아돌러스(Adolus)의 CEO인 에릭 바이어스(Eric Byres)는 “웨스트록의 OT 역시 IT 요소로부터 시작된 공격에 무너졌을 가능성이 높다”고 말한다.

하지만 OT를 직접 타격하는 게 불가능한 건 아니다. 심지어 그런 식의 공격은 점점 증가하는 추세다. 지난 해 보안 업체 파이어아이(FireEye)는 분석 보고서를 통해 공격자들이 주요 프로세스와 네트워크를 셧다운 시킬 때 주로 사용하는 ‘킬 스위치 목록’을 발표한 바 있다. 공격자들은 이 ‘킬 스위치’들을 활용해 시스템을 마비시킨 후에 랜섬웨어 등을 심는다고 한다. 그리고 이런 공격이 OT 프로세스에 적용되는 사례가 계속해서 늘어나고 있다고 썼다. 특히 메이즈(Maze), 도플페이머(DoppelPaymer), 록커고가(LockerGoga), 메가코텍스(MegaCortex) 랜섬웨어 운영자들이 이러한 움직임을 보이고 있다고 했다.

당시 파이어아이는 “OT 네트워크들에 접근하는 것이 점점 더 쉬워지고 있다”며 “공격자들이 굳이 IT를 거치지 않고도 능숙하게 OT로 다가간다”고 경고했다. 그러면서 “IT를 위협하던 요소들이 OT를 위협하는 것도 이제는 새로운 일이 아니”라고 결론을 내렸다. “이제 공격자들에게 있어 OT는 한 가지 새로운 유형의 네트워크에 불과합니다. 특별할 거 없다는 뜻입니다.”

3줄 요약

1. 웨스트록이라는 거대 포장 전문 기업, 랜섬웨어로 마비됨.

2. OT를 겨냥한 사이버 공격, 여태까지는 IT를 통해서 이뤄지는 것이 대부분.

3. 하지만 OT를 직접 타격하는 사이버 공격자들도 점점 늘어나고 있음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=94468&page=1&mkind=1&kind=)]