중국 정부의 지원을 받는 해커들이 미국의 중요한 인프라에 ‘대혼란’을 일으킬 수 있는 지능형 공격을 조율하고 있다고 미국 연방수사국(FBI) 국장인 크리스토퍼 레이(Christopher Wray)가 밝혔다.
그는 목요일 내슈빌에서 열린 현대 분쟁에 관한 서밋(Summit on Modern Conflict)에서 참석자들에게 “수처리 시설과 에너지 그리드부터 교통 및 정보 기술에 이르기까지 모든 것이 우리 사회의 중추를 형성한다”고 말했다.
그런 것들이 공격을 받으면 어떻게 될까? 레이는 그러한 시나리오가 언제든지 발생할 수 있다고 경고했다.
그는 “중국은 ‘그냥’ 터무니없는 절도 캠페인 그 이상을 위해 대규모 해킹 기업(50대 1)을 포지셔닝하고 있다”고 덧붙였다. “그것은 그 질량과 숫자를 사용하여 선택한 시간에 우리의 중요한 인프라에 물리적으로 큰 피해를 입힐 수 있는 능력을 스스로 부여하는 것이다.”
레이는 민간 기업들에게 “경계를 표명”하고 “적들이 우리를 상대로 무엇을 하고 있거나 무엇을 준비하고 있는지에 대한 중요한 정보를 생성하는 중앙 방어 역할”을 수행할 것을 촉구했다.
주목해야 할 3개의 OT 스타트업
웨드부시의 애널리스트 타즈 코우잘기(Taz Koujalgi)에 따르면 레이의 발언은 “전혀 과장적이지 않다”. 이는 OT(운영 기술, operational technology) 전문가들의 중요성이 커지고 있음을 강조한다.
아래 3개 기업들을 살펴보자:
- 드라고스(Dragos Inc.)는 ‘OT 분야의 선도적인 개척자 중 하나’라고 코우잘기가 Benzinga에게 말했다. 메릴랜드 주 하노버에 본사를 둔 이 회사는 지금까지 벤처 캐피털로 약 4억 4천만 달러를 모았다.
- 현재까지 6억 3,500만 달러 이상의 자금을 조달한 뉴욕 소재 클래로티(Claroty)는 지난달 추가로 1억 달러의 지원을 확보했다.
- 그리고 샌프란시스코에 본사를 둔 노조미 네트웍스(Nozomi Networks)도 지난달 신규 자금 1억 달러를 확보해 총 2억 6천만 달러가 넘었다.
오늘날 대부분의 “보안 지출”은 전통적인 IT 인프라 공간에서 발생한다고 코우잘기가 말했다. “그러나 실제 기반 시설인 파이프라인, 전력망 및 수처리 공장은 투자 및 보안 지출 측면에서 상당히 뒤처져 있다.”
그리고 벤처 지원이 전반적으로 부족하다는 점을 고려하면 OT 하위 부문에서 자본을 조달하는 것은 특히 어렵다.
또 다른 어려움은 이러한 유형의 기반 시설 공격이 “꽤 새로운” 현상이며 “빠르게 변화하고 있다”는 점이다.
매일 새로운 소프트웨어가 만들어지고 있으며 악의적인 행위자들이 일상적으로 해당 소프트웨어에서 허점을 발견함에 따라 5년 전의 코드는 쓸모 없게 될 위험에 처해 있다고 코우잘기가 설명했다.
말하자면, “나쁜 놈들의 속도에 맞추기가 어렵다”는 것이다.
나쁜 놈들은 누구인가?
우리는 이미 2023년에 마이크로소프트 (NASDAQ:MSFT)와 서방 정보 기관들의 보안 분석가들이 ‘볼트 타이푼'(Volt Typhoon)‘으로 알려진 국가 후원의 중국 해킹 그룹이 다양한 미국의 핵심 기반 시설 기관을 스파이했다는 사실을 밝혀냈다는 것을 알고있다.
중국과 미국은 일상적으로 서로를 감시하고 있다. 그러나 분석가들은 이번 사건이 미국의 중요 인프라에 대한 중국의 가장 광범위한 사이버 스파이 활동 중 하나였다고 말한다.
중국은 지난 3월 이러한 사이버 공격 주장을 ‘순수한 정치적 책략’이라고 일축했다.
중국 외교부의 린 지안 대변인은 “미국이 중국에 대한 자체 사이버 공격을 그만두도록 요청한다”고 말했다.
하지만 레이가 말한 대로, 볼트 타이푼은 “지속적인 PRC 접근 … 그들은 우리 네트워크 안에 숨어들어 ‘리빙 오프 더 랜드(living-off-the-land)’라고 알려진 전술을 사용했다. — 즉, 피해자 네트워크에 이미 존재하는 내장 도구를 악용하여 악의적인 작업을 수행했다. 네트워크 방어자가 사용되고 있을 것으로 예상하는 도구들이기 때문에 의심을 불러일으키지 않는다. 동시에 그들은 보트넷을 운영하여 그들의 악의적인 활동과 그것이 중국에서 온 것임을 더욱 숨기고 있었다. 이 모든 것은 중국 정부에게 치명적인 타격을 가할 수 있는 적절한 순간을 기다릴 능력을 부여하기 위한 목표로 이루어졌다.”
** 참고: living-off-the-land란 자급자족식 공격으로 타깃 시스템에 미리 설치되어 있는 도구를 활용하여 공격을 하는 행위.
그리고 그것은 단지 중국뿐만 아니다. 2021년에 콜로니얼 파이프라인(Colonial Pipeline)에 대한 사이버 공격의 책임이 있는 다크사이드(DarkSide)라는 해커 그룹도 있었고, 이로 인해 완전한 폐쇄가 발생했다.
같은 해, 삼엄한 경비를 받고 있는 이란의 나탄즈(Natanz) 공장에 사이버 공격이 발생했다. 이번 중단으로 인해 테헤란의 핵 프로그램이 9개월 지연된 것으로 알려졌다. 미국과 이스라엘 모두 사보타주 캠페인으로 여겨지는 행위에 관여했다는 사실을 인정하지 않았다.
ETF도 고려해보자: 여기 주목할만한 사이버 보안 ETF 5개가 있다: