인가된 원격관리도구(RAT)가 산업 네트워크에 최대 위협으로 부상했다. 해커가 산업제어시스템(ICS)에 설치된 RAT를 악용해 랜섬웨어를 감염시키고 암호화폐 채굴 활동을 벌였다.
카스퍼스키랩 ICS CERT 보고서에 따르면 RAT는 모든 산업 전반에서 사용 빈도가 늘었다. 카스퍼스키랩 제품으로 보호되는 ICS 컴퓨터 약 3분의 1에 RAT이 설치됐다. ICS 소프트웨어 20%에 아예 RAT 기능이 들어 있다. 시스템 관리자는 RAT 기능 여부를 모른 상태에서 공격자 활용 수단이 됐다.
RAT는 제3자가 원격으로 컴퓨터를 접속하는 데 사용하는 합법 소프트웨어 도구다. 제조업체 직원이 리소스를 절약하기 위한 수단으로 활용한다. 해커는 표적한 컴퓨터 권한을 훔치는 도구로 쓴다.
해커는 목표 네트워크에 무단으로 접근권한을 획득하는 용도로 RAT를 선호한다. 네트워크에 악성코드를 감염시키는 용도로 이용된다. 랜섬웨어나 채굴 악성코드를 감염시켜 수입을 올리거나 사이버 스파이, 사보타주 공격을 한다.
해커는 RAT를 활용해 공격 대상 시스템에 대해 높은 수준의 권한을 획득한다. 실제 상황에서 해커는 한 기업에 대해 무제한 수준 접근 권한을 얻었다. 해커는 비밀번호를 찾을 때까지 가능한 모든 조합을 시도하는 무차별 공격으로 접근 권한을 획득한다. 해커는 RAT 소프트웨어 자체 취약점을 찾아내서 악용하기도 한다.
이창훈 카스퍼스키랩코리아 대표는 “RAT로 인한 공격은 심각한 피해를 가져온다”면서 “ICS 네트워크에서 사용하는 애플리케이션과 RAT에 감사를 해야 한다”고 말했다. 이어 “산업 공정에 필요하지 않은 RAT는 제거한다”면서 “공정에 필요한 모든 원격 제어 세션을 모니터링하고 이벤트를 기록한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com