IoT 봇넷, 중국·미국·한국서 가장 많이 발견···IoT 감염 위해 무차별 암호 대입 공격
[데이터넷] 제조산업을 노리는 사이버 공격이 급증하는 가운데, 지난해 하반기에 공개된 제조분야에 영향을 미치는 취약점이 230% 증가한 것으로 나타났다.
노조미네트웍스의 ‘2023년 하반기 위협 환경 평가’에 따르면 미국 CISA가 지난해 하반기 공개한 공통 취약점 및 노출(CVE) 885개 중 약 70%인 621개가 중요 제조부문을 노린 것이었으며, 다양한 산업군에 영향을 주는 것이 169개였다. 상반기에는 641개의 CVE가 공개됐으며, 그 중 다양한 산업군에 영향을 주는 것이 320개로 가장 많았으며, 중요 인프라는 188개로 그 다음을 차지했다.
IoT 봇넷 위협도 계속 증가하고 있는데, 상위 공격자 IP 주소는 상반기에 이어 하반기에도 중국, 미국, 한국 순이었다. 하반기 놎미 네트워크 허니팟이 감지한 IoT 봇넷 감염 시도는 하루 평균 712건이었으며, 가장 많은 공격이 발생한 날은 10월 6일로 1860건이었다.
IoT 공격 공격 시도는 기본 인증 정보를 사용해 IoT 디바이스에 액세스하려는 것이며, 무차별 암호 대입이 가장 많이 발생한다. 표적공격, 악성 소프트웨어 실행을 위해서는 원격 코드 실행(RCE)이 주로 이용된다.
“1차 방어선 통과한 정교한 공격 크게 늘어”
노조미 네트웍스가 탐지한 OT·IoT 공격은 네트워크 이상징후로 전체 38%를 차지했다. 네트워크 공격 중에서는 네트워크 스캔이 가장 많이 탐지됐으며, 시스템에 대량의 트래픽을 전송해 해당 시스템을 다운시키거나 액세스할 수 없게 만들어 피해를 유발하는 TCP 플러드 공격이 거의 비슷한 비중으로 발견됐다.
TCP 플러드는 ICS 시스템에서 흔히 발생하는 것이지만, 지난 6개월 동안 확인된 경보를 분석하면 이전과 다르게 진화한 모습을 보이고 있다. 이는 공격자의 적응형 전략이나 강화된 탐지 기능을 반영하는 것일 수 있다고 보고서는 설명했다. 더불어 TCP 폭주, 비정상 패킷 경보 유형도 지난 6개월 동안 총 경보 수와 고객당 평균 경보 수 모두 크게 증가하여 각각 2배, 6배 이상 증가했다는 사실을 주목해야 한다고 설명했다.
보고서는 “이러한 추세는 공격자들이 중요 인프라를 직접 공격하기 위해 더욱 정교한 방법을 채택하고 있으며, 이는 전 세계적으로 적대 행위가 증가하고 있다는 사실을 나타낸다”며 “이상 징후가 크게 증가했다는 것은 위협 행위자들이 처음에 생각했던 것보다 더 깊숙이 침투하면서 1차 방어선을 통과하고 있으며, 이는 높은 수준의 정교함이 필요하다는 것을 의미할 수 있다. 방어자들은 기본적인 방어에 더 능숙해졌고, 공격자들은 이를 우회하기 위해 빠르게 진화하고 있다”고 경고했다.
네트워크 공격에 이어 많이 발견된 것이 인증정보와 패스워드 도용 시도(19%), 액세스 제어와 인가 문제(10%)였다. 이 분야에서 여러 번의 로그인 실패와 무차별 대입 공격이 크게 늘었으며, OT에서의 ID·액세스 관리와 사용자 비밀번호와 관련된 기타 문제가 지속되고 있고 있다는 사실을 보여줬다.
보고서는 OT 보안위협에 대응하기 위해서는 반드시 ▲자산 인텔리전스 배포 ▲권한 있는 액세스 관리 사용 ▲VPN 기술에 대한 최신 패치 적용 ▲비싱이나 SIM 스와핑에 취약하지 않은 강력한 멀티팩터 인증(MFA) 사용 ▲비밀번호 자주 변경하기 ▲비싱 및 전반적인 소셜 엔지니어링에 대한 직원 교육 강화 등이 필요하다고 강조했다.
