이란 연계 해커, 미국 핵심 인프라 사이트 운영 중단 공격
원제: Iran-linked hackers disrupt operations at US critical infrastructure sites
왜 중요한가
미국과 이스라엘의 군사행동 확대에 따른 이란의 사이버 보복이 핵심 인프라를 직접 겨냥하고 있어 산업보안 강화가 시급함
이란 정부 연계 해커 그룹이 2026년 3월부터 미국 핵심 인프라 시설의 PLC(프로그래머블 로직 컨트롤러)를 표적으로 공격해 운영을 중단시키고 있다고 FBI, CISA 등 6개 정부기관이 화요일 경고했다. 공격은 정부 시설, 폐수 처리 시스템, 에너지 부문에 집중됐다.
FBI, 사이버보안 및 인프라 보안청(CISA), 국가보안청(NSA), 환경보호청(EPA), 에너지부, 미국 사이버사령부는 화요일 공동 경고를 발표했다. 이란계 APT 그룹이 공장, 상수도 처리장, 정유소 등 산업 현장에 설치된 토스터 크기의 PLC 장치들을 표적으로 삼고 있다고 밝혔다. PLC는 자동화 컴퓨터와 물리적 기계 사이의 인터페이스 역할을 한다. 보안업체 Censys는 인터넷에 노출된 Rockwell Automation/Allen-Bradley 제조 PLC 5,219대를 발견했으며, 이 중 75%가 미국에 위치한다고 발표했다. 해커들은 정당한 벤더 소프트웨어인 Rockwell Studio 5000 Logix Designer를 사용해 제로데이 익스플로잇 없이도 직접 PLC에 접근하고 있다. 이들은 비표준 TCP 포트 43589를 통해 원격 데스크톱 프로토콜로 연결하며, DESKTOP-BOE5MUC라는 공통명의 자체 서명 인증서를 사용한다. 2023년에도 이란 혁명수비대 연계 'CyberAv3ngers' 그룹이 미국 PLC 75대를 공격한 바 있다.