[mgc6611님 曰] 흔히들 침투 테스트 하면 시스템 침입만 떠올리고 물리적 침투 테스트는 생각하지 않는 경향이 있죠. 미국 IT 전문매체 Tech Insider의 해커 동행 취재 기사는 독일, 우크라이나 등 국가 주요기반시설 ICS가 위협받는 요즘 우리에게 많은 과제를 던져 주는 것 같습니다. 웬만한 액션 영화보다 재미납니다!
[기사 요약] 최근 Tech Insider 기자는 레드팀 시큐리티社 해커들과 중서부 지방을 여행했다. 지방의 한 작은 전력 발전소로부터 의뢰받은 침투 테스트를 위한 출장 여행이었다. 레드팀 해커들은 발전소 시설 내 8개 구역에 대하여 물리적 침입과 시스템 침입을 모두 성공리에 마쳤다. 레드팀이 사용한 기법을 살펴 보자.
1. 소셜 엔지니어링
라이언 맨십(35세. 주특기 소셜 엔지니어링)은 엔지니어 복장을 하고, 허리에 장비와 네트워크 케이블을 두르고 발전소 사무실 안내 데스크로 가서 “모 통신사에서 인터넷 속도를 점검하러 왔다”고 말하며 자넷과 이야기가 되어 있다고 말했다. 자넷은 이 회사 네트워크 관리자 이름이다. 맨십은 통신사 로고와 컴퓨터 몇대가 인쇄된 종이를 보여 주었다.
데스크 여직원은 신분증이나 기타 서류를 요구하지 않았고, 안내해 줄 직원이 올 때까지 기다리라고 말했다. 맨십은 일부러 불편한 척 한숨을 쉬면서, “몇분이면 끝나는 일인데…” , “이전에도 온 적이 있다”고 말하며 안내 데스크 직원을 재촉했다.
다른 여직원이 와서 자기가 안내해 주겠다고 말했다. 물리적 진입이 거의 성공하나 싶었는데 그순간 난데없이 상사로 보이는 남자 직원이 나타났다. 그는 맨십에게 신분증을 요구했다. 차에 두고 왔다고 하자 직원은 IT 책임자에게 전화를 걸어 맨십을 바꿔줬다. 이 IT 책임자는 바로 레드팀에게 보안 점검을 의뢰했던 부서 담당자였다. 이로써 1차 시도는 실패했다.
2. RFID 스캐너
쿠르트 무흘(26세. 주특기 프로그래밍, 취약점 발견)은 발전소 사무실에 전화를 걸었다. 무흘은 자신을 현지 모 공과대학 학생이라고 소개하고, 현재 재활용 에너지 프로젝트를 수행 중인데 전문가 인터뷰가 필요하니 직원 한 사람을 인터뷰 하게 해 달라고 부탁했다. 발전소측은 허가해 주었고 다음날로 약속을 잡았다. 다음날 무흘과 기자는 발전소에 가서 빌을 만났다. 빌은 두사람을 작은 회의실로 안내했다.
약 20분간 대화를 나눈 뒤 빌은 현장을 구경시켜 주겠다고 했다. 무흘은 프로젝트 발표 자료에 사용할 사진과 동영상을 촬영해도 좋은지 물었고 빌은 허락했다. 해커들은 나중에 무흘이 찍은 사진을 분석해 서버실에 물리적으로 진입하는 데 사용했다.
무흘의 노트북 가방에는 노트북 대신에 RFID 스캐너가 들어 있었다. 이 스캐너는 60-90cm 거리에 놓인 출입증을 무선으로 스캔해 데이터를 저장하는 장치로 이 데이터만 있으면 어떤 출입증이든 원격 복제가 가능하다. 무흘은 건물을 둘러보면서 가방을 빌의 출입증에 가능한 가까이 갖다 대려고 노력했다.
3. 몰리적 침입, 패스워드 획득
다음날 레드팀 시큐리티 사장 예레미아 탈라멘테스(42세. 주특기 네트워크 스캔, 잠금장치 해제)와 직원들은 발전소로 향했다. 며칠 전 발전소 주변을 자동차로 돌면서 탐색한 결과 야외에 감시 카메라는 없는 것으로 보여 건물로 직접 진입했다.
발전소 본관 출입문 앞에서 전날 복제한 가짜 카드를 대자 문이 열렸다. 알람도 울리지 않았고 경비도 없었다. 건물 내부에 감시 카메라가 있었지만 해커들이 서버실로 가는 것을 막지 않았다.
어둠이 깔리자 팀원들은 검은 옷을 입고 서버실이 있는 사무실로 향했다. 20달러에 구입한 간단한 툴을 돌리자 단 10초만에 사무실 문이 열렸다. 레드팀 시큐리티는 얼마 전 스티브 카운(26세)을 신입 직원으로 영입한 바 있다. 카운은 이라크전 참전용사 출신으로 주특기는 물리적 장벽이나 원적외선 센서 통과다.
사무실에 들어간 해커들은 IT 담당자 책상으로 가서 패스워드를 종이에 적어서 보관할만한 곳(키보드 밑이나 책상 서랍 등)을 뒤졌다. 루트 패스워드를 적어놓은 메모지가 발견되었다. 마음만 먹는다면 고객 정보를 빼내는 건 물론, 전력 공급을 차단해 정전시키는 것도 가능한 주요 시스템에 접속할 수 있는 패스워드였다. 해커들은 USB처럼 생긴 기기를 컴퓨터에 꽂아 준비해 간 코드도 실행했다.
서버실 문은 잠겨 있었다. 맨십은 전문 도구를 문 밑으로 밀어넣어 서버실 문을 여는 데 성공했다.
직원들은 서버실로 들어가 트래픽을 가로채는 하드웨어를 눈에 띄지 않는 곳에 설치했고, USB Rubber Ducky를 컴퓨터에 꽂아 데이터를 빼냈다. 그리고 서류함을 뒤져 중요한 서류나 파일을 찾았다.
호텔로 돌아간 해커들은 최소한 3개의 관리자 패스워드를 크랙했고, 회사 네트워크에 침입해 내부를 둘러 보았다. 텔레멘테스에 의하면 네트워크 관리자들과 경영진들은 약한 패스워드를 사용하는 경우가 많다고 한다.
이번에 침투 테스트를 수행한 것 같은 소규모 발전소가 미국에는 약 1,000개 정도 있어 수천만 미국인에게 전력을 공급하고 있다. 해킹 사고는 개인정보 유출이 대부분이지만 작년 12월 발생했던 우크라이나 해킹 사고처럼 전력 공급이 차단되는 무시무시한 결과도 가져온다. 최근 미국 국토안보부 보고서는 이런 시나리오가 가능은 하되 발생할 가능성은 적다고 평가절하한 바 있다. 하지만 백악관은 가이드를 발행했고, NSA 국장은 최근 열린 사이버보안 컨퍼런스에서 이런 사고는 시간 문제라고 말한 바 있다.
레드팀이 침투 테스트 보고서를 제출하면 발전소 직원들은 어떻게 달라질까? 보안을 좀 더 진지하게 생각하고 외부인을 조심하고, 다시는 패스워드를 종이에 적어 사무실에 놓는 일은 없을 것이다.
Tech Insider 기사:
http://www.techinsider.io/hackers-social-engineering-power-company-2016-4
http://www.techinsider.io/red-team-security-hacking-power-company-2016-4