2021년은, 램섬웨어 갱들이 주요 인프라로 눈을 돌려, 제조업, 에너지 유통, 식품 생산을 중심으로 한 기업을 타켓으로 한 해로 기억될 것이다.
Colonial Pipeline(콜로니얼 파이프라인)의 램섬웨어 공격은, IT 네트워크에 대한 랜섬웨어 공격이 연료를 분배하는 파이프라인을 제어하는 운용 네트워크로 확산될 우려 때문에, 결과적으로 5500마일(약 8850km)의 파이프라인을 정지시키는 사태가 발생.
운용, 제어 기술(OT)네트워크는, 생산라인, 발전소, 에너지 공급을 계속적으로 실시하기 위해서 중요한 기기를 제어하는 것으로, 중요한 하드웨어를 사이버 공격으로부터 보다 적절히 격리할 수 있도록 통상, 기업의 인터넷용 IT 네트워크로부터 세그먼트화 되어있다.
OT 네트워크게 대한 공격이 성공하는 경우는 드물지만, Colonial에 대한 랜섬웨어 공격을 계기로 CISA(미국 국토안전 보장부 사이버 보안, 인프라 보안청)는 주요 인프라 소유자에게 있어서 위협이 증대하고 있다고 경고하고 있다.
보안 연구자는 현재, 이들 OT 네트워크상에 있는 임베디드 기기가 초래할 위험에 대해 경종을 울리고 있다. 임베디드 기기 전용의 시큐러티 프로바이더 Red Ballon Security는, 실제의 네트워크에서 사용되고 있는 임베디드 시스템으로 랜섬웨어를 전개하는 것이 가능한 것을, 새로운 조사에서 분명히 했다.
이 회사에 따르면,Schneider Electric의 Easergy P5 보호 필레이에 취약성이 발견됐다. 이 장치는 장애가 발견되면 서킷 브레이커를 작동시켜, 현대 전력망의 운용과 안정성에 중요한 역할을 하는 것.
이 취약성을 악용하여 랜섬웨어의 payloon을 전개할 수 있으며, Red Balloon은 이 과정을 "고도지만 재현가능"이라고 말하고 있다. Schneider Electric의 한 대변인은 "사이버 위협은 매우 경계하고 있다"며 "Schneider Electric의 Easergy P5 보호 릴레이의 취약성을 알고, 즉시 이를 해결하기 위해 대응했다"고 말했다.
레드 볼룬의 창업자 겸 공동 CEO Ang Cui 씨는, 랜섬웨어 공격은 중요 인프라 프로바이더의 IT 네트워크를 공격하고 있지만, OT 내장 기기의 공격에 성공했을 경우는 "훨씬 큰 손해"가 된다고 말하고 있다.
"기업은 임베디드 기기 그 자체에 대한 공격으로부터 회복하는 것에 익숙하지 않고, 경험도 없습니다"라고 Cui 씨는 말한다. 디바이스가 파괴되거나 회복이 불가능할 경우, 대체 디바이스를 조달해야 하는데, 공급량이 제한돼 몇 주가 걸릴 수도 있다.
2021년에 IoT 메이커가 소프트웨어 업데이트를 확실하고 안전하게 디바이스에 전달할 수 있도록 서포트하는 신생기업을 시작한 시큐러티의 베테랑인 Windows Snyder 씨는, 특히 다른 침입 포인트가 보다 회복력을 가지게 되면, 내장 기기는 간단하게 타겟이 될 가능성도 있다고 한다.
임베디드 기기에 관해서, 스나이더 씨는 "그 대부분은 특권 분리가 되지않고, 코드와 데이터도 분리되지 않고, 대부분은 에어갭 네트워크 상에 놓여지는 것을 상정해 개발된 것으로, 그것으로는 불충분합니다"라고 코멘트.
레드 볼룬의 조사에 따르면, 수십 년 전에 제조된 것이 많은 이들 기기에 내장된 보안은 개선될 필요가 있으며, 정부 및 상업 부문의 최종 사용자에 대해 이들 기기를 제조하고 있는 벤더에 대해 보다 높은 기준을 요구하도록 촉구하고 있다.
"펌웨어의 수정판을 발행하는 것은, 가장 미션 크리티컬인 산업이나 서비스에 있어서의 전체적인 시큐러티의 낮음에 대처할 수 없는, 소극적이고 비효율적인 어프로치입니다"라고 Cui 씨는 지적. "벤더는, 임베디드 기기의 레벨까지 시큐리티를 높일 필요가 있습니다", 그는 또, 미 정부가 규제 레벨로 보다 많은 대처를 실시할 필요가 있고, 현재, 디바이스 레벨로 보다 많은 시큐리티를 짜넣는 인센티브가 없는 디바이스 메이커에, 새로운 입력을 가할 필요가 있다고 생각하고 있다.
하지만 스나이더 씨는, 규제 주도의 접근 방식이 도움이 되지 않는다고 본다. "가장 효과적인 것은, 공격 대상 영역을 줄이고 구회화를 진행하는 것이라고 생각. 더 안전한 디바이스를 만들기 위해, 규제를 가할 수는 없을 것입니다. 누군가가, 디바이스에 회복력을 갖게 해야 합니다"라고...
