미국의 핵심 인프라에 대한 전례 없는 식민지 파이프라인 공격이 계속되고 있습니다.

미국 동부 최대 휘발유, 경유 및 천연가스 유통업체인 콜로니얼 파이프라인에 대한 파괴적인 랜섬웨어 공격이 토요일에 보고되었으며, 현재도 계속되고 있으며 이미 석유 및 가스 공급에 영향을 미치고 있어 소비자들의 연료 가격 상승을 촉발하고 있습니다.

한편, FBI는 오늘 랜섬웨어를 서비스로 판매하는 러시아 사이버 범죄 조직인 다크사이드가 이번 공격의 배후임을 확인했습니다. 다크사이드는 지난 8월에 등장한 이후 미국 기업을 대상으로 한 다른 공격에 연루된 것으로 알려졌지만, 미국에 기반을 둔 중요 인프라 제공업체에 영향을 미치고 서비스를 중단시킨 공격은 이번이 처음입니다.

콜로니얼 파이프라인은 IT 시스템에 대한 랜섬웨어 공격을 확인했으며, 위협을 차단하기 위해 시스템을 "선제적으로" 오프라인 상태로 전환했다는 성명을 발표했습니다. 일요일 현재 콜로니얼 파이프라인은 재가동 계획을 수립 중이며 터미널과 배송 지점 사이의 측면 라인은 작동 중이지만 4개의 메인 라인은 모두 여전히 다운된 상태라고 밝혔습니다.

"콜로니얼 파이프라인은 이 문제를 이해하고 해결하기 위한 조치를 취하고 있습니다. 현재 저희는 안전하고 효율적인 서비스 복구와 정상 운영으로 복귀하기 위한 노력에 중점을 두고 있습니다. 이 프로세스는 이미 진행 중이며, 이 문제를 해결하고 고객과 Colonial Pipeline에 의존하는 사람들의 혼란을 최소화하기 위해 부단히 노력하고 있습니다."라고 회사는 준비된 성명에서 밝혔습니다.

일어난 일

처음에는 IT 시스템에 대한 사이버 공격만 인정했다가 랜섬웨어 공격을 확인했다고 성명을 업데이트한 콜로니얼 파이프라인은 자세한 정보를 거의 공개하지 않았습니다.

랜섬웨어는 전 세계 기업에게 재앙입니다. 이러한 공격은 대부분 기회주의적이지만, 산업 전반에 걸쳐 특정 고부가가치 기업을 표적으로 삼는 공격이 점점 더 많아지고 있습니다. 한편, 보안 업체 Sophos에 따르면 랜섬웨어 복구 비용은 올해 두 배로 증가하여 사고당 평균 200만 달러에 육박할 것으로 예상됩니다.

한편, 다크사이드는 작년 여름에 처음 등장하여 고가의 표적 랜섬웨어 공격을 수행했습니다. 이 그룹의 공격은 중요한 시스템을 암호화할 뿐만 아니라 서버를 잠그기 전에 데이터를 훔칩니다. 공개된 보고서에 따르면 다크사이드는 공격과 랜섬웨어 조직과의 파트너십을 통해 수백만 달러의 수익을 올렸습니다. 이 보고서들은 다크사이드를 엄청난 몸값을 지불할 수 있는 피해자들만 노리는 범죄 집단으로 묘사하고 있습니다. 이 그룹은 의료 기관, 교육 기관 또는 정부 기관을 표적으로 삼지 않는 것으로 알려졌습니다. 몸값 요구가 충족되지 않으면 공격으로 탈취한 데이터를 공개하겠다고 협박하여 피해자의 돈을 갈취합니다.

사이버 공격에서 어트리뷰션은 종종 어려운 과제입니다. 전문가들은 포렌식 조사 중에 발견된 전술, 기법, 절차(TTP)를 특정 위협 행위자와 일치시키려고 시도합니다. 그러나 일부 공격자는 조사에서 지문을 남길 수 있는 멀웨어, 익스플로잇 및 기타 아티팩트를 공유하므로 어트리뷰션이 정확한 과학이 될 수 없습니다.

이 공격은 미국의 중요 인프라에 대한 가장 영향력 있는 공격으로 알려져 있습니다. 플로리다주 올즈마 수처리 시설에 대한 공격과 같은 다른 침입은 산업계에서 상당한 헤드라인과 주목을 받았으며, 중요 기반시설 내 사이버 공격에 대한 방어를 개선하기 위한 인식 측면에서 여전히 중요합니다. 그러나 올즈마 공격은 운영자들이 신속하게 대응하여 피해를 최소화하고 업무 중단을 최소화했습니다.

콜로니얼 파이프라인 공격은 다른 종류의 공격입니다. 콜로니얼 파이프라인은 텍사스에서 뉴욕까지 매일 100만 갤런 이상을 운송하는 송유관으로, 가동 중단이 길어질수록 동부 해안의 석유 및 가스 공급에 영향을 미칠 것입니다. 휘발유와 가정용 난방유 가격이 상승할 것으로 예상되어 이 부문에 더 큰 압박을 가할 것으로 보입니다. CNBC는 휘발유 선물은 1.28%, 난방유 선물은 0.73% 상승했으며 미국 석유 벤치마크인 서부 텍사스산 중질유 선물은 이미 61센트 올랐다고 보도했습니다. 예를 들어, 10일 이상 셧다운이 지속되면 정유 공장의 생산량이 줄어들고 산업 전반의 가격과 수익에 영향을 미칠 것입니다.

권장 사항

콜로니얼 파이프라인이 어떻게 공격을 받았는지는 알려지지 않았습니다. 랜섬웨어 공격은 점점 더 정교해지고 있으며, 일부 위협 행위자는 피싱 이메일을 사용하여 피해자를 랜섬웨어로 컴퓨터나 서버를 감염시키는 멀웨어 다운로드 호스팅 사이트로 유인합니다. 다른 침입에는 취약한 소프트웨어를 익스플로잇하거나 공격자가 중요한 시스템에 액세스할 수 있도록 도난당한 자격 증명을 사용하는 등 다른 공격 벡터가 포함될 수 있습니다.

다크사이드는 도메인 자격 증명을 표적으로 삼는 것으로 알려져 있는데, 이는 Microsoft에서 인간이 운영하는 랜섬웨어 공격과 관련된 효과적이고 위험한 전술입니다. 사람이 운영하는 랜섬웨어 공격의 특징으로는 도메인 자격 증명을 손상시키는 과정에서 네트워크 측면 이동과 데이터 수집이 있습니다. Active Directory 관리자 또는 도메인 자격 증명을 가진 공격자는 서버와 워크스테이션은 물론 서비스 계정 전반에 걸쳐 광범위한 관리자 수준의 권한을 갖게 됩니다.

이러한 권한을 가진 공격자는 도메인의 모든 시스템을 실행할 수 있으며 중요한 데이터베이스에 액세스하고 추가 익스플로잇 또는 랜섬웨어와 같은 멀웨어를 배포할 수 있습니다. 많은 랜섬웨어 공격은 위협 행위자가 데이터를 훔치고 몸값 요구가 충족되지 않으면 민감한 회사 문서를 온라인에 공개적으로 유출하겠다고 협박하는 등 본격적인 갈취 행위로 변모했습니다. 이 또한 다크사이드 TTP입니다.

석유 및 가스 및 기타 중요 인프라스트럭처와 같은 운영 기술(OT) 환경에서는 레거시 장비가 가장 중요한 역할을 하는 경우가 많습니다. 이러한 시스템은 오래되었지만 안정적이며 산업 운영에서 원하는 가용성과 안전성을 보장합니다. 더 많은 OT 네트워크와 산업 제어 시스템(ICS)이 IT 시스템과 통합되고 중앙에서 관리됨에 따라, 한때 에어 갭이 존재했던 중요 시스템이 이제는 인터넷에 어느 정도 노출되어 있습니다. 따라서 산업 프로세스를 감독하는 취약한 레거시 Windows 시스템이 제대로 구성되지 않았거나 비즈니스 네트워크에서 분리되어 있지 않으면 이제 OT 네트워크 외부에서 액세스할 수 있습니다.

문제를 더욱 복잡하게 만드는 것은 이러한 구식 기술 중 일부는 패치할 수 없으며, 이러한 기술은 공격자를 막는 데 필요한 만큼 사이버 지식이 부족한 직원이 유지 관리하는 경우가 많다는 사실입니다. 이로 인해 사이버 보안 위험 수준이 허용 가능한 허용치 이하로 떨어지고, 경우에 따라서는 조직이 위험을 인지하지 못하는 상황이 발생하기도 합니다.

파이프라인의 또 다른 위험 요소는 고도로 분산된 환경이며, 자산 운영자에게 원격 연결을 부여하는 데 사용되는 도구가 보안보다는 쉬운 액세스에 최적화되어 있다는 점입니다. 이는 공격자에게 사이버 방어망을 뚫을 수 있는 기회를 제공합니다. 올드스마 공격에서 보았듯이 말이죠.

중요 인프라 부문 중에서도 에너지가 특히 위험에 노출되어 있습니다. 저희 연구원들은 에너지 부문이 ICS 취약점의 영향을 가장 많이 받는 분야 중 하나이며, 2018년 하반기 대비 2020년 하반기에 공개된 ICS 취약점이 74% 증가했다는 사실을 발견했습니다.

한편, 바이든 행정부는 최근 이 과정을 시작하기 위한 100일 계획을 발표하면서 정부 및 중요 인프라 운영자에게 전기 유틸리티 내의 사이버 보안을 개선하도록 압력을 가하기 시작했습니다. 인센티브 중심의 이 계획은 공급망을 잠그고 중요 인프라의 취약성을 강화하는 데 중점을 두고 있습니다. 미국의 주요 인프라 대부분이 민간 소유라는 점을 고려할 때 이러한 유형의 공공-민간 파트너십은 보안 격차를 해소하는 데 매우 중요할 것입니다.