CISA "산업장비 기본설정 비밀번호, 심각한 보안 위협…즉시 변경해야"
미국 사이버보안 및 인프라 보안국(CISA)이 심각한 보안 위협을 초래하는 비밀번호에 대해 경고하며 이를 다른 인증보안으로 대체할 것을 제조업계에 촉구했다. CISA는 최근 연방수사국(FBI), 국가안보국(NSA), 환경보호국(EPA), 이스라엘 국가사이버국(INCD)과 공동으로 작성한 공동 사이버보안 권고(CSA)를 발표했다. 이번 권고안은 이스라엘-하마스 전쟁으로 인해 활발해진 이란의 이슬람혁명수비대(IRGC) 산하 지능형 지속 위협(APT) 공격에 대항하기 위해 마련됐다. 특히 이들이 적극적으로 활용하는 프로그래밍 가능 논리 컨트롤러(PLC) 공격을 방어하기 위한 방안이 제시됐다. PLC는 스마트팩토리, 발전소, 스마트팜 등의 대규모 산업 장비를 통합관리 및 모니터링하기 위한 장비다. 이를 공격당할 경우 시스템 전체를 제어하거나 악성코드를 모든 장비로 감염시키는 등 치명적인 피해가 발생할 수 있다. CISA는 이러한 공격을 막기 위해 실제 IRGC 관련 사이버공격자의 행동과 공격 패턴을 분석하고 조사를 실시했다. 분석 및 조사 결과 산업 장비에 기본으로 적용된 비밀번호 가장 큰 취약점으로 나타났다. 최근 제조업 등에 납품되는 산업장비는 보안 시스템이 마련돼 있지만 이를 운영 및 관리하기 위한 비밀번호는 공개적으로 문서화되거나 동일하게 제공된다. 장비를 수령한 고객사에서 직접 비밀번호를 수정해 사용할 수 있도록 취한 조치다. 하지만 조사결과 상당수의 제조기업들이 비밀번호를 바꾸지 않은 채 그대로 업무에 사용해왔다. 이에 IRGC의 사이버공격 조직은 초기 비밀번호를 그대로 사용하는 장비를 중점적으로 노려 미국의 주요 인프라를 공격한 것으로 나타났다. CISA는 “연구 및 조사에 따르면 비밀번호 같은 기본 자격증명을 사용하는 것이 미국의 중요 인프라를 포함한 시스템에 액세스하기 위해 악용되는 가장 큰 약점으로 나타났다”며 “4자리로 이뤄진 기본 비밀번호를 그대로 사용하는 것은 제조업계에 상당한 피해를 일으킬 가능성이 상당하다"고 밝혔다. 특히, 기본 비밀번호의 경우 사이버 범죄자들이 일반적으로 사용하는 다크웹의 포럼 등에 배포돼 있어 이를 악용할 여지가 큰 상황이다. CISA는 사이버 공격을 막기 위해 주기적으로 비밀번호를 교체하는 방식 역시 한계가 있는 만큼 다중 인증(MFA), 물리적 분산 등으로 암호를 보완할 방안을 마련해야 한다고 강조했다. CISA는 “수년 간의 분석 및 증거에 따르면 수천 명의 고객에게 비밀번호 변경을 맡기는 것은 불충분하다”며 “기술 제조업체들이 공동으로 중요 인프라 조직들이 직면한 심각한 위험을 인식하고 높은 수준의 인증 보안 체계를 갖춰야 대응할 수 있다는 것이 입증됐다”고 설명했다.