미국 주유소 탱크 게이지 시스템 900여개가 공격에 노출
미국 전역에 걸쳐 900개가 넘는 자동 탱크 게이지(ATG) 시스템이 온라인에 노출돼 있으며, 연료 및 화학 물질 저장 탱크를 모니터링하는 다양한 핵심 인프라 분야에서 지속적인 공격에 취약한 것으로 확인되었습니다.
ATG 시스템은 저장 탱크에 보관된 연료, 화학 물질 또는 기타 액체를 원격으로 추적하는 전자 모니터링 장치로, 재고 관리 자동화, 환경 누출 감지 및 규제 준수를 지원합니다. 주로 주유소에서 연료 탱크 수준을 모니터링하는 데 사용되지만, 산업 현장에서 화학 물질 저장 탱크를 추적하는 데에도 활용됩니다.
화요일, 사이버보안 및 인프라 보안청(CISA), FBI, NSA, 에너지부 및 기타 미국 정부 파트너들은 공동 권고문을 발표해 핵심 인프라 조직에 인터넷에 노출된 ATG 시스템을 보호하도록 경고했습니다. (자세한 내용은 여기를 참고)
연방 기관들은 위협 행위자들이 하드코딩된 자격 증명, 인증 우회, SQL 인젝션 취약점, OS 명령 실행 결함, 권한 상승 취약점 등 다양한 보안 결함을 악용해 시스템 설정을 변경하고 명령 실행 공격을 수행한다는 점을 경고했습니다.
“작성 기관들이 관찰한 최근 악성 사이버 활동—미국 정부가 아직 국가 차원이나 특정 위협 그룹에 귀속시키지 않은—은 인터넷에 노출된 ATG 시스템을 침해한 뒤 명령 실행을 통해 시스템을 변조하는 형태입니다.” — 공동 권고문에서 경고
CISA는 침해가 성공하면 공격자가 시스템 알림을 비활성화시켜 누출이나 장비 고장의 위험이 증가하고, 심지어 목표 탱크 시스템에 영구적인 손상을 입힐 수 있다고 경고했습니다.
CISA의 권고에 따라, 인터넷 보안 감시 기관인 Shadowserver는 오늘 1,000개가 넘는 ATG 시스템이 온라인에 노출돼 있으며, 그 대부분(909대)이 미국에 있다고 발표했습니다. (자세한 통계는 여기)
온라인에 노출된 ATG 시스템 지도 (Shadowserver)
“우리는 2026‑06‑05에 포트 10001/tcp에서 1,061개의 IP가 관찰된 자동 탱크 게이지(ATG) 시스템 스캔을 접근 가능한 ICS 보고에 추가했습니다,” 라고 Shadowserver는 말했습니다. “대부분이 허니팟(포트 8001/9001 포함)으로 보이는 경우를 제외하고 말이죠.”
핵심 인프라 조직은 가능한 한 빨리 인터넷을 통한 ATG 시스템 원격 접근을 차단하고, 방화벽, VPN 또는 접근 제어 목록을 통해 제한된 접근만 허용하도록 권고됩니다.
또한 기본 비밀번호를 강력한 인증 정보로 교체하고, 보안 업데이트를 적용하며, 무단 변경 여부를 모니터링하고, 가능한 경우 다중 인증(MFA)을 도입해야 합니다.
CISA의 경고는 5월에 발표된 CNN 보도와 맞물립니다. 해당 보도에 따르면 이란 해커들이 미국 전역 여러 주유소의 인터넷에 연결된 ATG 시스템을 침해한 것으로 알려졌습니다. 이란 해킹 그룹은 과거 연료 관리 시스템 및 기타 산업 제어 기술을 표적으로 삼은 이력이 있습니다.
해커들은 약하거나 비밀번호가 없는 장치를 해킹한 뒤 디스플레이 값을 조작했지만 실제 연료 수준은 변경하지 않았다고 전해졌습니다. 물리적 손상은 없었지만, 이러한 공격이 자동 연료 누출 감지 및 기타 안전 관련 기능을 방해할 수 있다는 우려가 제기됩니다.
4월에는 또 다른 공동 권고문이 발표돼, 미국 연방 기관이 이란 국가 지원 해커들이 2026년 3월부터 Rockwell Automation/Allen‑Bradley PLC 장치를 목표로 한 공격과 연관돼 재정 손실 및 운영 중단을 초래했다고 밝혔습니다.
사이버 보안 업체 Censys는 하루 뒤에 보고서를 통해 전 세계적으로 온라인에 노출된 산업 제어 시스템 중 74.6%(3,891대)가 미국에 있음을 밝혔습니다.
보안 팀은 성공적인 공격의 54%만 기록하고, 그 중 14%만 경고합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지를 피하지 못하도록 하는지 보여줍니다.