랜섬웨어 갱단들이 제조 분야를 강력하게 공격하는 중입니다. 적어도 미국에서는 이런 현상이 두드러지게 나타나는 중이라고 합니다. 새롭게 등장하는 랜섬웨어 단체들도 처음부터 제조업체들에 총구를 겨눌 정도니 지금 제조업에서는 랜섬웨어에 대한 비상 경보가 시끄럽게 울리는 중입니다.
보안 업체 드라고스(Dragos)가 3사분기 동안 전 세계 제조 산업에서 발생한 랜섬웨어 사건들을 분석한 결과 36%가 북미 지역에서 나타났음을 알게 되었다고 합니다. 전 사분기에 비해 10% 증가한 수치입니다. 2사분기 동안 북미 지역에서는 전 세계 제조 산업의 랜섬웨어 공격의 25%가 발생했었습니다. 흥미롭게도 북미에서 이렇게 랜섬웨어 사건이 증가하는 동안 전 세계적으로는 변동이 없다시피 했습니다.
보안 업체 룩아웃(Lookout)의 수석 관리자인 스티븐 반다(Stephen Banda)는 “최근 제조업에서 클라우드로의 이전이 상당히 활발하게 일어나는 중”이라고 말했습니다.
“물론 모든 산업군이 다 그렇지만 제조업은 빠른 디지털화와 함께 클라우드의 이용 비율이 크게 증가하고 있습니다. 비용을 감소시키고, 사이버 공격으로 인한 다운타임을 줄이면서 생산 효율성을 높이는 데에 집중하고 있기 때문입니다. 고착화 된 제조업에 디지털 기술이 한 줄기 희망이 되는 것입니다. 그러면서 새로운 위협들이 생겨나고 있지만 말이죠.”
반다의 말을 요약하면 다음과 같습니다. “산업 전체가 경쟁력을 높이기 위해 변하는 중이고, 그 과도기에 랜섬웨어 공격이 집중되고 있습니다.”
하지만 대부분의 회사가 이 문장의 앞 부분, 즉 경쟁력을 높이는 데에만 힘을 쏟지, 뒷부분에는 큰 노력을 기울이지 않는 게 현실이라고 반다는 설명합니다.
“변화가 일어나는 도중에는 뭐든지 취약해지기 쉽습니다. 그리고 효율과 생산성에만 집중하는 것 역시 위험한 일이라는 건 수없이 증명되어 온 일입니다. 공격자들이 이런 부분을 대단히 날카롭게 노리고 들어온 것입니다.”
제조업 외에는 식음료 산업과 에너지 산업, 제약 산업들에서 랜섬웨어 사건이 점점 늘어나는 분위기였습니다. 역시 활발한 IT 전환이 일어나는 곳이라고 요약할 수 있습니다.
공격자의 측면에서 보면 록빗(LockBit)이 가장 왕성하게 활동하는 것으로 나타났습니다. 전 세계 제조업을 겨냥한 랜섬웨어 공격 중 무려 35%가 록빗에 의해 자행되고 있었습니다. 라그나록커(Ragnar Locker)나 블랙캣(BlackCat)과 같은 유명한 랜섬웨어 단체들은 주로 에너지 분야에 집중하는 모습을 보였습니다. 제조업을 겨냥한 새로운 랜섬웨어 집단들이 대거 출몰하기도 했는데, 그 중 눈에 띄는 건 스파르타블로그(Sparta Blog), 비안리안(BianLian), 도너츠(Donuts), 오닉스(Onyx), 얀루오왕(Yanluowang)이라고 반다는 설명했습니다.
“각 단체별로 독특한 특징과 장점들을 가지고 있는 것으로 조사됐다”고 드라고스는 설명합니다.
1) 라그나록커 : 에너지 분야를 집중적으로 노립니다.
2) 클롭(Cl0p) : 하오수 처리 시설과 상수 시설만 노립니다.
3) 카라쿠르트(Karakurt) : 2사분기에는 교통 산업만, 3사분기에는 제조업만 노렸습니다.
4) 록빗 3.0 : 화학, 시추, 산업 공급망, 인테리어 디자인 산업을 노린 유일한 그룹입니다.
5) 스토머스(Stormous) : 베트남만 공격합니다.
6) 로렌즈(Lorenz) : 미국만 공격합니다.
7) 스파르타블로그 : 스페인만 공격합니다.
8) 블랙바스타(Black Basta)와 하이브(Hive) : 운송 교통 분야만 대부분 공격합니다.
보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “특정 랜섬웨어 패밀리가 한 지역이나 산업만 집중적으로 노린다는 정보는 방어에 있어 매우 중요한 첩보가 된다”고 귀띔하고 있습니다. “드라고스가 이번에 공개한 것처럼 랜섬웨어의 독특한 특징을 조사해 알리는 것은 아주 바람직한 일입니다. 그리고 실질적인 도움이 되기도 하고요. 랜섬웨어는 이제 기업이 개별적으로 방어할 수 있는 위협이 아닙니다. 산업 전체, 심지어 나라 전체가 같이 방어해야 하는 것이죠. 그러려면 이런 유용한 정보 공유가 선행되어야 합니다.”
브룸헤드는 “앞으로 랜섬웨어 공격은 더 심화되고 확대될 것”이라고 보고 있습니다. “제조업이 주요 표적이 되고 있는 건 결국 OT와 IT가 결합하고 있기 때문입니다. OT와 IT의 융합은 앞으로 계속해서 이어질 것이며 따라서 랜섬웨어는 더욱 거세질 것입니다. 이는 OT와 IT의 융합이 이뤄지는 모든 산업이 앞으로 위험해질 것이라는 뜻이기도 합니다. 지금은 제조업이지만 점차 다른 산업으로도 퍼질 수 있다는 소리이지요. OT와 IT의 융합과 관련된 모든 산업에서 활발히 정보가 공유되어야 할 것입니다.”
출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=111047)