DP World, 사이버 공격으로 항만 운영 지연

호주의 DP World은 최근 사이버 보안 공격으로 모든 터미널 작업을 중단해야 했다. 이 결정은 고객과 직원의 안전을 최우선으로 하기 위한 결정이라고 밝혔다. DP World은 호주 언론과 소통하며 현재 수사를 진행 중이며, 사이버 보안 전문가들의 도움을 받으며 관련 당국과 사건의 전체적인 범위를 조사하고 있다고 공개했다. 이 공격은 11월 10일에 처음으로 감지되어 해당 날짜부터 시드니, 멜버른, 브리즈번, 프리맨틀의 DP World 터미널에서 작업이 중단되었다. 호주 터미널 물량의 40%를 관리하는 DP World은 이 공격에 대응하기 위해 모든 항만 시스템을 인터넷에서 분리해야 했다. 이로 인해 운송트럭은 해당 공격을 받은 지역으로 컨테이너를 운송할 수 없었다. DP World 웹사이트를 방문한 이용자들은 ＂사이트 연결이 안전한지 확인 중＂과 “dpworld.com은 계속 진행하기 전에 연결의 보안을 검토해야 합니다＂와 같은 경고 메시지를 볼 수 있었다. 그러나 사이트의 공개 섹션은 여전히 접근 가능한 상태였다. 호주 정부의 사이버 보안 담당관인 Darren Goldie는 영향을 받은 사이트를 복구하는 데 상당한 진전이 있으며 이를 몇 일 내에 다시 온라인으로 복귀시킬 것으로 예상된다고 발표했다. 아직까지 공격 주체는 식별하지 못했다고 덧붙였다.

DP World, 항만운영시스템 복구

항만운영시스템을 신속히 오프라인으로 전환하고 서서히 복구함에 따라 항만 운영은 약 3일 동안 중단되었다. 항만운영중단은 11월 11일부터 12일까지 주말 동안 발생했으며 DP World는 11월 13일 월요일 오전에 주요 시스템을 성공적으로 테스트하고 복구했다고 발표했다. 그러나 이 기간 동안 30,000 개의 컨테이너가 운송중지 되었으며 이들은 처리되기까지 몇 일 더 걸릴 것으로 예상된다. DP World는 사이버 공격이 현재 종료된 것으로 간주되며 운영이 대부분 정상화되었지만 이후 몇 일 동안 항만 운영에 계속 장애가 발생할 수 있다고 경고했다. 다행히 운송지연으로 인한 주요 일상 소비재와 필수품의 공급망에는 심각한 영향이 없는 것으로 보이며 호주의 주요 소매업체들은 사이버 공격으로 호주 내 물류산업에는 큰 영향은 없을것으로 예상한다고 밝혔다.

DP World, 사이버공격 원인 분석

DP World는 "사이버 공격＂으로 정의된 이 공격은 아직 원인규명되지 않았으며, 랜섬웨어와 연관된 것으로 보이지만 동반된 비용 요구는 없었다고 발표했다. DP World는 사이버 공격의 가해자를 특정하지 않았으며, 공격의 성격에 대한 구체적인 세부 사항도 공개하지 않았다. 그러나 시스템을 신속히 종료하여 몇 일 동안 항만 운영을 중지시킨 점에서 랜섬웨어의 가능성을 생각해 볼 수 있다. 호주 연방 경찰도 수사 중이지만 추가적인 의견은 아직 공개되지 않았다. 현재까지 어떤 데이터 속에도 랜섬웨어 그룹 중 어떤 그룹을 특정할 수 있는 단서는 확인 되지 않았다. 이와 같은 최근의 사이버 공격은 호주의 안보 환경을 신속하게 변화시켰다. DP World 사이버 공격은 최근에 중국산업상업은행(ICBC)에 대한 공격과 유사한 면이 있으며, 해당 사건은 미국 지점만이 몇 일 동안 거래에 일부 방해를 일으켰다. Semperis의 보안 연구 담당 디렉터인 Yossi Rachman은 이번 연휴 시즌에 운송 산업에 대한 유사한 공격이 예상된다고 말했다. 그는 "항만 당국에 대한 사이버 공격은 새로운 것이 아니며 사이버 범죄자들은 공격이 초래하는 혼란을 완전히 이해하고 있다.”라고 말했다. 그는 실제로 연말 시즌에 소매업자 및 공급업체에 대한 해커들의 사이버 공격을 예상했다. 그는 “ 사이버 공격자들은 연말 시즌에 더 많은 소매업자들이 지연시간을 감당할 수 없기 때문에 몸값을 지불할 가능성이 높다는 것을 알고 있다.” 라며 소매업자들은 공격이 발생하기 전에 자사의 중요한 시스템을 알고 있어야 한다고 당부했다.

자료 참고 :Splash 247, Call for federal investigation into DP World cyber attack Down Under, CPO MAGAZINE, Cyber Incident at DP World Austraila Shut Donw Port Operations, Backed up 30,000 Shipping Containers

일부 언론사·기관 등의 취약점 방치로 北 해킹창구로 악용 소지 포착

국정원은 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자동 삭제 등 능동적 대응에 나설 계획임을 밝혔다. 지난 6월 국정원은 北 정찰총국이 보안인증 S/W 취약점을 악용, 공공기관·언론사·방산·IT 등 50여개 기관을 해킹했다며, 신속한 해당 S/W 업데이트 및 삭제를 당부한 바 있다. 해당 소프트웨어인 ‘MagicLine4NX(매직라인)’는 국가·공공기관, 금융기관 등 홈페이지에 공동인증서를 활용하여 로그인할 경우 본인인증을 위해 PC에 설치되는 소프트웨어다. 대부분 기관은 국정원의 사이버보안 권고(6.28)에 따라 S/W 업데이트 또는 삭제 등 조치를 완료했으나, 일부 기관과 일반 사용자들은 업데이트나 삭제를 하지 않아 여전히 해킹 위험에 노출되어 있었다. 실제로 국정원은 최근 일부 기관과 일반 사용자들이 보안조치를 미루는 사이에 북한의 해킹 창구로 악용되는 것을 탐지했다. 특히, 패치가 안 된 일부 언론사의 경우 北 해커가 해당 취약점을 악용, 해킹 인프라를 재구축하려는 정황이 포착됐다고 밝혔다. 만약 북한 해커의 계획대로 언론사 홈페이지가 해킹되었다면 최신 버전 보안인증 S/W를 사용하지 않는 독자가 홈페이지 방문시 해킹 위험에 노출되는 등 피해 범위가 컸을 것이라고 우려했다.

기업용 백신을 사용하는 기관은 11.15부터 자동 삭제 시행!

이에 국정원은 사안의 중대성을 감안하여 일차적으로 해당 기관들과 구버전 삭제 등 보안대책을 시행토록 지원했다.나아가 국가사이버위기관리단을 중심으로 과학기술정보통신부, 한국인터넷진흥원, 금융보안원과 안랩, 하우리, 이스트시큐리티, 드림시큐리티가 합동으로 기관내 설치된 백신(기업용)에서 구버전 S/W를 탐지, 삭제토록 할 계획이다. 실제로 11.15부터 안랩(V3)·하우리(바이로봇)·이스트소프트(알약)를 사용 중인 기업은 백신을 통해서 MagicLIne4NX 구버전(1.0.0.26 버전 이하)이 자동 탐지·삭제될 예정이다.

자료 참고 : 보안뉴스_北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중!