28일 카스터스키랩(한국지사장 이창훈)은 자사 산업제어시스템 사이버공격 긴급대응팀(ICS CERT)의 조사 보고서를 발표했다. 이 보고서에 따르면 카스퍼스키랩 제품을 사용하고 있는 ICS의 1/3에 RAT가 설치돼 있었다. 특히 RAT 중 20%는 ICS 소프트웨어에 기본적으로 탑재돼 있는 것으로 나타났다.

사이버 공격자들이 RAT를 사용하는 이유는 ▲목표 네트워크에 대한 무단 접근 권한 획득 ▲네트워크에 악성코드를 감염시키고, 랜섬웨어, 암호화폐 채굴, 사이버스파이 등 2차 공격 이행 등으로 밝혀졌다.

카스퍼스키랩은 RAT의 가장 위험한 점으로 공격 대상 시스템에 대해 높은 수준의 권한을 획득할 수 있다는 점을 꼽았다. 이를 통해 기업 시스템의 접근 권한을 얻을 수 있어, 기업은 막대한 금전적 손실과 물리적 피해를 입을 수 있다. 이런 접근 권한 탈취는 비밀번호를 찾을 때까지 가능한 모든 조합을 시도해보는 기본적인 무차별 공격을 통해서 확보된다. RAT를 장악하기 위해 무차별 공격이 가장 많이 사용되지만, 공격자들이 RAT 자체의 취약점을 찾아내서 악용하는 경우도 있다.

이창훈 카스퍼스키랩코리아 지사장은 “RAT는 시간과 돈을 절약해주는 유용한 도구이지만, 해커에게 악용될 경우 심각한 피해를 입을 수 있어 기업 보안 담당자의 주의가 필요하다”고 말했다.

카스퍼스키랩 ICS CERT는 RAT로 인한 사이버공격 위험을 줄이기 위해 ▲산업 공정에 필요없는 RAT 제거 ▲산업 공정에 필요한 모든 원격제어 세션을 모니터링하고, 이벤트를 기록할 것 등과 같은 기술적 조치를 취할 것을 권고했다.