이번 시간에 우리는 몇 년 간격으로 일어난 두 가지 사건에 초점을 맞춰보고자 합니다. 두 사건은 모두 ‘파워그리드’ 그리고 ‘인프라 기업’들을 타겟으로 벌어진 일입니다.
2015년에 일어난 일인데요, 당시에 러시아와 우크라이나의 정치적 긴장감은 정점에 도달해 있었던 것을 기억하실 겁니다. 그리고 2015년 12월에는 우크라이나의 파워그리드가 사이버 공격을 받았습니다. 이 공격은 파워그리드에 대한 사이버 공격 중에서는, 가장 처음 일어난 성공적인 공격으로 알려져 있습니다.
해커들은 우크라이나의 에너지유통기업들의 정보체계를 손상시킬 수 있었습니다. 그리고 몇 시간 동안이나 전기 공급을 교란시킬 수 있었죠.
이 공격은 매우 전문적인 공격이였습니다. 성공적인 공격과 극도의 혼란을 초래하기 위해서 다양한 단계를 밟고서 진행한 공격이였죠.
먼저, 해커들은 다양한 기법의 ‘이메일 피싱’을 사용했습니다. 직원들을 ‘낚시’하는 방식을 통해서 악성코드가 심어져 있는 이메일의 파일이나 링크를 열어보고 작동하도록 유도했습니다.
직원들이 ‘맬웨어’를 그들의 컴퓨터에서 작동시키기만 하면 부지불식간에 일은 진행되었습니다. 그 맬웨어는 네트워크에 연결되어있던 SCADA 기기들을 장악했고, 그리고 아주 큰 피해를 입히고자 했습니다.
그와 더불어, 그 ‘맬웨어’는 네트워크에 연결되어 있었던 컴퓨터와 서버로부터 파일들을 지울 수 있었습니다.
동시에 그 ‘맬웨어’는 감염되어 있던 기업들의 콜센터를 대상으로한 서비스공격을 시작했습니다. 이로 인해서 고객들은 기업들과 연락을 할 수 없었고, 말 그대로 고객들은 어둠 속에 버려지게 되었습니다.
전기공급을 복구시키는 데에 몇 시간이나 걸렸습니다. 그리고 그렇게나 오래 걸렸던 이유에 대해서 일부 전문가들의 설명으로는, 그 해킹 공격으로 인해서 컨트롤러들이 망가졌고, 직접 파워 스위치를 켜야 했고, 그러려면 멀리 있는 곳까지 이동해야 했다고 말입니다.
또 다른 전문가들의 설명으로는, 손으로 직접 작동해야 하는 송전장치를 사용한지 꽤 오래 됐고, 그 장치의 작동방식을 아는 사람들은 은퇴를 했기 때문이라고 합니다. 수십년이나 오래되었고, 디지털이 아닌 시스템을 다시 작동시키기 위해서는 그들을 부를 수밖에 없었죠.
The Second Attack
2018년 7월 말, 미국토안보부에서는 러시아 정부가 고용한 해커들이 미국 내 수백여 곳의 전기공급과 관련된 공기업에 접근권을 갖게 되었다고 밝혔습니다.
그 발표에 따르면, 이번에는 해커들이 진짜 피해를 입히기 전에 발각 되었다고 합니다.
해커들이 기업들 내부전산망에 대한 접근을 얻기 위해 공격을 감행했던 방식이 이번에는 달랐습니다.
해커들은 자신들이 타겟으로 삼은 공기업에 서비스를 제공하는 ‘핵심적인 공급기업’들의 네트워크에 진입할 수 있었는데, 그 공급기업들은 이미 타겟이 되었던 공기업들과 신뢰관계를 맺고 있던 기업들이였습니다. 다시 말해, 공기업과 쭉 거래를 해오던 기업들을 대상으로 해킹을 진행했고, 그러한 서비스 제공 기업들을 공략 함으로써 공기업에 대한 접근도 얻어낼 수 있었던 겁니다.
이렇게 해서 해커들은 ‘맬웨어’를 많은 공기업들의 네트워크 상에 설치할 수 있었습니다. 그 직원들이 알지도 못한 상태에서 말이죠. 하지만 그들은 오직 하나의 네트워크를 해킹하는 것으로 충분했습니다.
미국토안보부는 비밀취급인가를 갖고 있는 공기업의 경영진들을 대상으로 보안관련경고를 해왔습니다. 주로, 러시아 해커 단체가 2014년 이후로 중요한 사회기간시설을 대상으로 위협을 가하고 있다는 점이였죠.
하지만 미국토안보부는 최근에 ‘classified’(비밀정보)가 아니라, ‘unclassified’ 수준으로 보안 관련 브리핑을 열었습니다. 많은 정보들을 공개하면서 말이죠. 이런 적은 이번이 처음입니다.
하지만, 그들은 일부의 희생자들만을 언급하고 있을 뿐입니다. 하지만 수백의 다른 희생자들이 있었고, 수십도 안되는 희생자들이 언급되었을 뿐이죠.
이번 공격으로 피해를 받은 희생자들을 공개하길 꺼리는 또다른 이유는 일부 회사들이 아직까지도 그들이 공격을 받았다는 사실을 모를 수 있다는 것 때문입니다.
해커들이 공기업의 전산망에 침투하기 위해서 실제 근무자들의 신임을 이용했고, 이 사건을 더 공개한다면 그 침투 경로를 발견하기 더 어렵게 만들 가능성이 있기 때문입니다.
저희 사이트를 방문해주세요.
더 많은 정보보안지식과 팟캐스트가 준비되어 있습니다: www.cybercure.ai