금전 이익 노린 해킹그룹, 랜섬웨어 더 늘어난다

남혁우 기자 2023. 7. 13. 15:33
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[인터뷰] 클래로티 산하 연구조직 팀82 샤론 브리지노브 보안 연구소장

(지디넷코리아=남혁우 기자)“사이버범죄가 기업화되며 기업 대상 랜섬웨어 공격이 급증하고 있다. 이런 공격은 앞으로 더욱 증가하고 체계적으로 발생할 것으로 예상되는 만큼 기업의 생존을 위해선 전방위로 보안 체계를 구축해야 한다.”

클래로티 산하 연구조직 팀82의 보안 연구소장 샤론 브리지노브는 위와 같이 말하며 기업 생존을 위한 보안의 중요성을 강조했다.

팀82 샤론 브리지노브 보안 연구소장(이미지=클래로티)

 해킹그룹, 확실한 거액 위해 기업 공격 집중

샤론 브리지노브 소장은 “현재 사이버 공격 트렌드는 재무적인 이득을 얻기 위한 랜섬웨어 공격 이 대다수를 차지하고 있다”며 “이로 인해 확실하게 거액을 얻을 수 있는 기업을 대상으로 한 공격이 점점 늘어나는 추세”라고 설명했다.

전 세계적으로 급증하는 사이버 공격을 분석한 결과 제조업을 노린 랜섬웨어 비중이 19%로 가장 높았다.

제조업이 주요 타깃이 된 이유는 사업 특성상 장비나 시설이 멈추면 납기일을 맞출 수 없어 협상을 유리하게 이끌 수 있기 때문이다. 특히, 발전소, 정유소 등 에너지기업이나 수도공사 같은 경우 사용자 피해가 극대화되며, 제철소는 제조라인의 원자재를 모두 폐기 처분해야 하는 등 시간의 영향을 크게 받기 때문이다.

그는 “지난해 미국 콜로니얼 마비 공격에 이어 최근에는 일본 최대 항만인 나고야항이 랜섬웨어로 인해 일시적으로 업무가 중단되기도 했다”며 “특히 심각한 경우는 병원을 직접 공격해 환자를 인질로 삼아 재무적인 이득을 보는 경우도 있다”며 제조업을 비롯해 각 산업 관계자는 보안에 대해 신중하게 고려해볼 것을 제안했다.

랜섬웨어로 인해 하루 간 운영이 중단됐던 나고야 항(이미지=나고야 항 관리 조합)

■ 공격자보다 앞서 선제 대비 필수

샤론 브리지노브는 미국 데프콘, 대만 히트콘 등 보안 컨퍼런스에서 연구를 발표한 바 있으며 데프콘 27에서 ICS CTF를 수상하며 블랙배지를 받은 전문 OT/IoT 분야 보안 연구원이다.

그는 ‘이블 PLC 공격(Evil PLC Attack)’을 공개하며 급증하는 제조기업의 보안 취약점 대비를 촉구했다.

이블 PLC 공격은 프로그래머블 로직 컨트롤러(PLC)에 침투해 엔지니어링 워크스테이션을 손상시키는 공격이다. PLC를 공격 대상이 아닌 도구로 사용해 엔지니어가 유지·보수 작업이나 진단을 위해 손상된 PLC에 PC를 연결하는 순간 점염을 확대시킨다.

팀82에서 공개한 이블PLC 공격(이미지=클래로티)

이 공격은 전기, 제조, 중공업 등 산업 전반에 걸쳐 작업하는 엔지니어를 노려 막대한 피해를 발생시킬 수 있어 예방 및 완화가 중요하다.

보안팀에서 이런 공격 방법을 개발하는 이유에 대해 샤론 브리지노브 소장은 공격자들이 이를 약용해 피해가 발생하기전에 기업에서 대응할 수 있는 방안을 제공하기 위함이라고 설명했다.

그는 “최근 사이버 공격이 급증하고 AI 등 최신 기술이 적용되면서 기업에서 이를 모두 대응하는 것은 현실적으로 한계인 상황”이라며 “우리는 이스라엘 텔아비브에 마련한 연구소에서 수백 종의 장비를 활용해 끊임없이 연구하며 취약점 개선을 위해 노력하고 있다”고 말했다.

■ 누구나 사이버공격할 수 있는 시대, 통합 보안 필수

샤론 브리지노브 소장은 현재 글로벌 보안 업계에 가장 주목하는 트랜드로 인포스틸러를 지목했다.

인포스틸러는 개인정보 및 기업 인프라 접속 권한, 해킹툴 등을 전문적으로 수집 및 판매하는 전문 브로커다. 직접 사이버공격을 시도하지 않는 대신 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼인 셈이다. 국내에서는 초기 침투 전문 브로커’(IAB)로 알려져있다.

미국 연방수사국(FBI)에 의해 폐쇄된 인포스틸러 제네시스 마켓(이미지=FBI)

이들로 인해 사이버 공격자 수가 급증했을 뿐 아니라 사이버 범죄 생태계가 글로벌화 되고 조직화 및 체계화되며 빠르게 공격자의 침투 성공 확률도 높아지고 있다.

샤론 소장은 “최근 공격자들은 인포스틸러에게 구입한 기업 내부 데이터 등을 이용해 외부 보안 시스템을 우회해 내부로 진입하는 것이 가능하다"며 "그래서 마치 양파처럼 시스템 내부에도 각 레이어마다 적합한 보안 시스템을 구축하고 모든 접근이나 이동을 제한하는 제로트러스트와 이상감지 그리고 이를 통합 모니터링하는 시스템이 필수적으로 필요하다"고 설명했다.

이어서 “모든 산업이 IT와 디지털에 의존하는 비중이 커질수록 보안은 기업의 생존에 큰 영향을 미치는 요소가 되고 있다”며 “그동안 보안은 만약의 사태를 대비한 보험적인 요소였다면 이제는 물속에서 생존을 위한 산소통 같은 존재라고 할 수 있다”고 강조했다.

남혁우 기자(firstblood@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?