[단독] 골든 팔콘, 하우스 온도 조절 제어 시스템 해킹

팔레스타인 지지 해킹 조직으로 알려진 '골든 팔콘(Golden Falcon)'이 국내 그린하우스 콘트롤러 시스템을 또 다시 해킹한 정황이 포착됐다.

지난 1일 해커는 "자신이 운영하는 텔레그램을 통해 한국의 그린하우스 콘트롤러 시스템을 해킹했다"고 주장하며 해킹 화면을 공유했다.

해커가 지난 26일 '마곡 도시형 스마트팜' 해킹 영상과 이미지를 공유한지 5일만이다.

해킹된 화면을 살펴보면 하우스 외부 화면, 온실외측, 온실내부, 냉난방, 알림화면, 천장개폐, 부직포, 치마좌측, 좌측 창, 커튼 앞, 커튼 뒤, 치마우측, 우측창, 현재온도, 설정온도 등이 표기돼 있다.

해킹 화면 맨 상단에는 'TighVNC: smart1500' 표기돼 있다. 이는 해커가 원격제어프로그램인 TighVNC를 스캔해 보안이 취약한 시스템에 접근해 아이디와 패스워드를 탈취한 것으로 보인다. 즉 허술한 네트워크 관리와 계정관리가 해킹의 주요 원인이란 얘기다.

해커 정체에 대해 보안회사 '소크레이더(SOCRadar)'는 골든 팔콘을 팔레스타인 지지 해커 조직으로 분석했다. 2024년 6월 13일 텔레그램 채널을 개설한 해커조직은 친팔레스타인 캠페인과 친러시아 해커 활동가 단체와의 서로 전략적 동맹을 강화하며, 교류하는 것으로 잘 알려져 있다.

친러시아 해커 조직 제트 펜테스트(Z-Pentest)와 엘리게이트 블랙햇(Alligator Black Hat)도 지난해 10월 31일 국내 농가 등서 사용하는 제어 시스템을 해킹, 텔레그램에 공개한 바 있다. 당시 해킹된 제조사 시스템은 모두 대만산 제품으로 모두 똑같은 원격제어 패드 모델로 파악됐다. 

유추하기 쉬운 비밀번호를 사용하거나 초기 설정된 비밀번호를 바꾸지 않아 해킹되는 사례가 빈번히 발생할 수 있단 얘기다. 뿐만 아니라 네트워크 스캔을 통해 공격자가 취약한 IP를 찾아 무작위 대입 공격을 통해 피해를 입힐 수 있다. 따라서 웝격접속 제한 등시스템 계정관리와 네트워크 보안을 강화해야 한다.

한승연 리니어리티 한승연 대표는 "공개된 화면 캡처에서 공격자가 TightVNC를 통해 접속했음을 알 수 있다"며, "보통 공격자들은 네트워크 스캔이나 쇼단(Shodan) 같은 검색 서비스를 통해 5900번과 같이 원격 접속이 가능한 IP를 찾고, 무작위 대입 공격이나 VNC 서버의 취약점을 이용해 접속을 시도하게 된다"고 밝혔다.

이어 그는 "이러한 공격을 막기 위해서는 VNC 서버의 포트를 추측이 불가능한 번호로 변경하고, 복잡한 아이디와 패스워드를 사용하는 것, 그리고 주기적인 보안 패치 등의 조치를 취해야 한다"고 강조했다.

Related Materials

• Data Leakage 2024+, 2024년
• The CyberThreat Report, June 2024, 2024년
• Global Threat Landscape Report 2H 2023, 2023년