약 3년 전, 콜로니얼 파이프라인이 공격을 받아 6일간 가동이 중단되어 가스 부족 사태가 발생했습니다. 워싱턴 D.C.를 비롯한 17개 주가 비상사태를 선포했습니다.

콜로니얼 파이프라인 공격 개요

콜로니얼 파이프라인은 2021년 5월 랜섬웨어 공격을 받아 여러 디지털 시스템에 영향을 미쳐 며칠 동안 가동이 중단되었습니다. 이 사건은 미국 동부 해안 지역의 소비자와 항공사 모두에게 영향을 미쳤습니다. 이 파이프라인은 정유 공장에서 산업 시장으로 석유를 운송하기 때문에 국가 안보에 위협이 되었고, 조 바이든 미국 대통령은 비상사태를 선포했습니다.

콜로니얼 파이프라인은 미국에서 가장 크고 중요한 송유관 중 하나로, 1962년 멕시코만에서 동부 해안까지 석유를 수송하기 위해 개통되었습니다. 텍사스에서 출발하여 뉴저지를 통과하는 5,500마일(약 8,000km) 이상의 파이프라인으로 구성된 이 시스템은 동부 해안 연료의 거의 절반을 담당합니다. 휘발유, 항공유, 가정용 연료용 정제유를 공급합니다.

2021년 5월, 미국 내 여러 주유소에서 콜로니얼 파이프라인 시스템 폐쇄로 연료 부족 현상이 발생하고 있다. 사진: NBC 뉴스

2021년 5월 6일, DarkSide 해커 그룹은 Colonial Pipeline의 네트워크에 접근하여 2시간 만에 100GB의 데이터를 훔쳤습니다. 그런 다음 IT 네트워크를 랜섬웨어로 감염시켜 회계 및 청구 시스템을 포함한 여러 컴퓨터 시스템에 영향을 미쳤습니다.

콜로니얼 파이프라인은 랜섬웨어 확산을 막기 위해 파이프라인을 폐쇄해야 했습니다. 이후 보안 업체 맨디언트가 공격 조사를 위해 투입되었습니다. FBI, 사이버보안 및 인프라 보안국(CISA), 에너지부, 국토안보부도 참여했습니다.

2021년 5월 7일, 미국 최대 규모의 파이프라인 회사는 해커들에게 약 440만 달러 상당의 비트코인 75개를 몸값으로 지불하고 해독 키를 얻어야 했습니다. 해당 파이프라인은 2021년 5월 12일부터 다시 운영되었습니다.

2021년 6월 8일 미국 의회 청문회에서 맨디언트(Mandiant)의 수석 부사장 겸 최고기술책임자(CTO)인 찰스 카마칼(Charles Carmakal)은 공격자가 VPN 계정에서 유출된 비밀번호를 사용하여 네트워크에 침투했다고 밝혔습니다. 많은 조직이 VPN을 사용하여 보안 기업 네트워크에 원격으로 접속합니다.

카마칼의 증언에 따르면, 콜로니얼 파이프라인 직원이 다른 계정과 VPN 비밀번호를 공유한 것으로 보이나, 그 비밀번호는 또 다른 데이터 유출 사고로 인해 노출되었습니다. 여러 계정에 비밀번호를 공유하는 것은 많은 사람들이 저지르는 실수입니다.

또한 청문회에서 콜로니얼 파이프라인 CEO 조셉 블런트는 몸값을 지불하기로 결정한 이유를 설명했습니다. 공격 당시 그는 감염이 얼마나 광범위한지, 시스템 복구에 얼마나 걸릴지 알지 못했습니다. 따라서 복구 시간을 단축하기 위해 몸값을 지불하기로 결정했습니다.

미국 법무부는 결제 내역을 추적한 후 공격자가 사용한 지갑의 디지털 주소를 알아내고 비트코인을 압수하라는 법원 명령을 받았습니다. 그 결과, 작전을 통해 약 240만 달러 상당의 비트코인 64/75개를 회수했습니다.

식민지 파이프라인 공격의 "유산"

랜섬웨어는 미국 전역에서 처음으로 주목을 받은 사례로, 의회는 새로운 법안을 통과시키고 연방 기관들은 새로운 사이버 보안 요건을 도입하도록 촉구했습니다. 랜섬웨어 공격은 새로운 것이 아닙니다. 콜로니얼 파이프라인 사건 이전에도 정부, 의료 시설, 학교를 휩쓸었던 랜섬웨어 공격이 있었습니다. 하지만 인프라 보안 회사 드라고스(Dragos)의 서비스 담당 부사장인 벤 밀러는 지역적인 영향이 다르다고 말했습니다.

"사람들의 삶에 실질적인 영향을 미칠 때는 어느 정도 관심이 필요하다는 것을 나중에야 깨달았습니다." 콜로니얼 사건 조사를 도운 보안 회사 맨디언트의 수석 부사장 찰스 카마칼의 말이다. "가스나 고기 같은 것에 관해서는 사람들이 정말 신경을 씁니다."

콜로니얼 파이프라인 사고로 많은 항공사들이 연료 부족 사태를 겪었고, 일부 공항은 운행이 제한되었습니다. 휘발유 부족에 대한 우려로 여러 주의 주유소에는 공황 상태와 긴 줄이 발생했습니다. 파이프라인 가동 중단으로 주유소의 평균 가격 또한 급등했습니다. 일부 주에서는 사람들이 비닐봉지에 휘발유를 붓기까지 하면서 미국 소비자제품안전위원회(CSPSC)는 휘발유를 전용 용기에 담아 사용하라는 경고를 발표했습니다.

콜로니얼 파이프라인 공격으로 인해 모든 사람이 보안 위험을 심각하게 받아들이고 이전에는 간과되었던 정책을 채택하게 되었습니다. 시애틀 시의 전 최고정보보안책임자(CISO) 마이크 해밀턴에 따르면, 연방 정부가 중요 인프라 보안 요건을 우선시하도록 하는 것은 어려운 과제였습니다.

2021년 후반에 발생한 일련의 사건들(육류 생산업체 JBS Foods를 표적으로 삼은 사건 포함)은 정책 입안자, 규제 기관, 그리고 경영진에게 더 큰 압박을 가했습니다. 이 사건들은 경영진들이 자체 랜섬웨어 대응 계획을 검토하도록 하는 계기가 되었습니다. 밀러는 대응 계획에 대한 관심이 훨씬 더 높아졌다고 말했습니다.

그럼에도 불구하고 규제와 업계의 변화는 필요합니다. 팔로알토 네트웍스 유닛 42의 위협 인텔리전스 담당 수석 부사장인 웬디 휘트모어는 랜섬웨어 단속을 위해 국가 간 다자간 협정이 마련되어야 한다고 말했습니다.

(Axios, Tech Target에 따르면)