최근 산업계가 디지털 전환을 가속화하면서 OT(운영기술) 영역이 IT(정보기술) 영역과 결합하게 됐다. 하지만 IT와 OT의 만남은 기존 IT에서 발생하던 보안 위험을 OT 영역으로 확장하는 계기가 됐다. 즉, 산업 시설의 스마트화와 함께 클라우드, IoT, AI 등 ICT가 OT에 접목되면서 OT 망이 악성 코드, 해킹 등 다양한 보안 위협에 노출되고 있다. 글로벌적으로 보면 전기·제조기업의 89%가 사이버 공격을 받았다는 조사 결과도 있다. 지난 3월 8일 열린 제조 보안 세미나에서 트렌드마이크로 낭궁석 수석이 ‘산업 디지털 전환과 OT 보안 위협 트렌드’에 대해 발표한 내용을 정리했다.
OT/ICS 보안의 필요성과 사고 사례
예전에는 제조업이 폐쇄적인 환경 탓에 보안을 전혀 고려하지 않았고 어떤 시스템이 들어오는지 알고 싶어 하지도 않았다. 그리고 OT 전용 보안 솔루션이 없었기 때문에 IT 보안 솔루션을 OT 망에 적용하는 일이 일반적이었다. 하지만 OT는 구조 환경 자체가 IT와 다르므로 그 효과성이 떨어질 수밖에 없다.
그러나 최근 OT 보안 사고들이 조금씩 수면 위로 올라오면서 기업들은 피해에 대한 심각성을 느끼기 시작했다.
실제 전기·제조기업의 피해 사례를 보면, 1년 평균 피해 금액이 36억 원이었으며 공격 받은 횟수도 평균 6회인 것으로 나타났다. OT에 대한 보안 대책이 미흡했기 때문으로 보이는데, 이들 기업들은 초기 공격 차단율이 40%에 머물렀고 보안 시스템 미구축률도 48%로 높았다.
몇 개의 사례를 보겠다. 콜로니얼 파이프라인(Colonial Pipeline)은 미국 동부 해안지역에서 소비되는 연료의 45%를 보급하는 큰 회사인데, 2021년 5월 파이프라인을 관리하는 컴퓨터 장비에 영향을 미치는 랜섬웨어 사이버공격을 받았다. 콜로니얼 파이프라인은 공격을 억제하기 위해 모든 파이프라인 작업을 중단해야만 했다. 그리고 해커 그룹이 요구한 440만 달러를 지급한 후 시스템을 복구할 수 있었다.
미국 소프트웨어 회사인 카세야(Kaseya)는 2021년 7월 Revil 랜섬웨어 공격의 피해자가 됐다. 카세야에서 개발한 원격 모니터링 및 관리 소프트웨어 패키지인 VSA(가상 시스템 관리자)가 랜섬웨어에 감염됨으로써 전 세계 1,000개 이상의 기업에 광범위한 다운타임이 발생했다. 소프트웨어의 인증 우회 취약성으로 인해 공격자는 VSA를 손상시키고 소프트웨어에서 관리하는 호스트를 통해 악성 페이로드를 배포하여 공격 범위를 증폭시켰다.
그 외에도 올림푸스(Olympus)는 랜섬웨어 공격으로 네트워크 마비 및 일부 지역에서는 사업 진행이 불가능할 정도였으며, 방콕항공은 LockBit 랜섬웨어 갱단의 소행으로 103GB의 개인정보 유출 피해를 입었다.
이러한 피해 사례들이 아직까지 국내에서는 많이 알려지지 않았지만, 알려지지 않았을 뿐 ‘공격이 없다’라고 얘기할 수는 없을 것 같다.
OT/ICS(산업제어시스템) 분야에 대한 보안 취약점들을 수치화해서 나타낸 ICS-CERT 권고 건수를 보면 1,909건이고 이 권고 건수를 기반으로 한 취약점 건수는 4,436건이었다. 그런데 여기에는 두 번 정도의 변곡점이 있다(그림 2 참조).
2016년과 2017년도 사이를 보면, 이터널블루(Eternal-Blue)의 취약점인 Wannacry 랜섬웨어가 급격히 퍼졌을 때다. 그리고 또 한 번의 변곡점은 2020년 이후다. 이때는 코로나19로 인해서 재택근무자가 증가하다 보니 업무 환경이 클라우드로 많이 바뀌던 시기였다. 사이버 공격자들에게는 매우 좋은 먹잇감이 됐을 것이다. 랜섬웨어를 서비스화 하는 공격 툴들이 많이 생겼고 해커들은 매우 저렴한 비용으로 툴을 구입하여 자신의 경제적인 수단으로 활용할 수 있게 됐다.
우크라이나-러시아 전쟁 또한 그 취약점 식별 건수를 높이는 아주 큰 요인 중의 하나였다. 실제로 전쟁이 발발하기 1년 전부터 이미 사이버 전쟁이 시작됐었다고 한다. 사이버 전쟁에 대한 모니터링을 계속 해왔다면 곧 두 나라의 전쟁은 예측할 수 있을 정도였다.
산업별 보안 위협 현황
그렇다면 산업별 보안 위협 현황은 어떤가. 공장자동화, 리테일, 반도체 분야를 보면 조금 상이할 수는 있으나 공통된 몇 가지 이슈들은 가지고 있다.
먼저 자동화된 공장의 제조업체 61%는 사이버 보안사고 경험이 있으며 이로 인해 시스템 가동 중지 시간이 발생했다. 또한 이들 기업은 사이버 보안 표준을 적용할 전용 솔루션이 부족했다.
리테일 분야는 POS 시스템의 노후화와 애플리케이션 대부분이 개방형 구성으로 되어 있어 내부자에 의한 데이터 유출 방지의 어려움이 있다.
반도체 분야는 짧은 시간 급성장하면서 비용 편의를 위해 승인되지 않은 도구들이 설치되기 시작했고 F&B 장비 유지보수를 위해 원격 연결하거나 중앙 시각적 플랫폼의 부족으로 보안에 취약할 수 있었다.
OT/ICS에 대한 공격 형태도 다양해졌다. 인터넷과 비즈니스 네트워크는 IT 영역에서의 공격 수법인 피싱 이메일, 엑세스 자격증명, USB를 통해 주로 감염되고, OT/ICS 망의 기본 모델인 컨트롤 시스템 네트워크와 필드 디바이스 네트워크는 유지보수 업체의 PC가 내부 시스템에 직접 연결되면서 랜섬웨어에 감염되는 사례가 많았다. 그외 원격 제어 프로그램이나 정상 프로토콜을 이용해 공격하는 형태도 띠었다.
그러면 IT 보안 솔루션으로 OT 망에 적용하면 안 되는 걸까. 결론부터 말하면, 앞서 잠깐 언급했듯이 환경이 달라서 적용하기 어렵고 효과도 보기 어렵다.
환경의 어떤 차이점이 있는지 세부적으로 살펴보면, 첫째는 가용성이 다르다. IT는 서비스 중단의 일부는 허용될 수 있지만, OT/ICS는 설비 시스템이 다운타임이 되면 경제적 손실과 직결될 수 있다.
둘째는 프로토콜이 다르다. IT에서는 표준 TCP/IP 프로토콜(일부 암호화 포함)을 이용하지만 OT/ICS는 표준 TCP/IP 이외에도 다수 설비 시스템에 특화된 OT 프로토콜을 이용한다.
셋째는 네트워크 세그먼트가 다르다. IT는 방화벽이나 스위치 기준의 세그먼트 구분이지만 OT/ICS는 퍼듀의 참조모델링에 기초한다.
넷째는 보안 패치가 다르다. IT는 표준 시스템을 통한 주기적인 보안 패치를 적용하지만, OT/ICS는 설비 제조사에서만 지원하며 레거시 OS/App 특성상 패치 적용이 어렵다.
지금까지 종합을 해보면, OT 보안의 위협 요소로는 OT/ICS 환경의 고착화를 원인으로 들 수 있다. OT에서는 레거시 OS나 애플리케이션들을 많이 사용하고 있고, 그러나 보니 더 이상의 업그레이드와 패치가 불가해졌다. 당연히 보안의 취약점이 노출되고 사이버 공격으로 이어질 수밖에 없는 자연스러운 구조가 됐다.
또 하나는 공격 표면이 다양해졌다. 예전의 OT 망은 완전 폐쇄적이었기 때문에 보안에 전혀 문제가 없었으나 지금은 연결이 되면서 보안을 고려하지 않을 수 없게 됐다. 그리고 사이버 범죄가 성장했다. 랜섬웨어를 서비스화 하는 조직이 많이 생겼고 공격 기법들도 상당히 고도화되고 있다.
보안성을 높이기 위한 3가지 고려 사항
OT 환경을 이해하고 보안성을 높이기 위해서는 다음의 세 가지를 고려해야 할 필요가 있다. 그 중 하나가 OT 네이티브이다. OT는 환경이 IT와 다르기 때문에 설비 시스템 특성을 이해하고 전용 프로토콜을 인식할 수 있어야 한다. 그리고 레거시 OS/App 지원과 함께 프로토콜별 개별 기능을 제어할 수 있어야 한다.
또 하나는 네트워크 분리와 가시성이다. 플랫 네트워크의 세그먼테이션을 통한 네트워크 분리와 각 세그먼트 단위의 보안 솔루션 적용을 통해 동서로 오가는 위협을 차단할 수 있다. 또한 미확인 및 미식별된 자산 목록의 현황을 파악하고 통신 이력을 실시간 조회함으로써 시스템을 보호할 수 있는 보안 대책을 수립할 수 있다.
마지막으로 취약점 대응을 통한 자산 보호이다. OT 설비 시스템들은 매우 오래됐기 때문에 그 설비 안에 어떤 솔루션을 설치하기는 쉽지 않다. 때문에 미션 크리티컬한 설비 시스템에는 엔드 포인트 보안을 통해서 취약점으로부터 대응할 수 있어야 한다. 만약 엔드 포인트에 대한 적용이 어려운 시스템이라면 통신 네트워크 중간에 보안 솔루션 설치를 통해서 취약점을 보호할 수 있어야 한다. 그런데 통신 구간의 접점이 없는 완전 폐쇄망이 여전히 있을 수 있다. 그러한 것들에는 OT 전용 안티바이러스나 제로트러스트로 차단할 수 있다.
예를 들어, 트렌드마이크로의 TXOne 솔루션은 네트워크 기반과 엔드포인트 제품을 모두 제공하여 OT/ICS 네트워크와 미션 크리티컬 장비에 대한 심도 있는 위협방어와 대응 방법을 제공한다. 이 솔루션은 OT/ICS 자산, 프로토콜, 제어 명령 및 위협에 대한 포괄적인 가시성을 제공할 뿐만 아니라 유연한 네트워크 세그먼테이션을 구성할 수 있으며, OT/ICS 환경의 위협을 신속하게 대응하고 생산라인의 가용성을 보장하도록 지원한다.
정리하며
지금까지 OT 보안 위협의 동향을 알아봤다. 이것을 요약해보면 크게 세 가지로 정리해 볼 수 있다. 첫 번째는 OT/ICS 환경을 이해를 할 수 있어야 한다. OT/ICS는 프로토콜이나 통신 방식 또는 내부에 들어와 있는 시스템들이 IT와 다르다. 그렇기 때문에 환경을 이해할 수 있는 솔루션들로 일단 구축이 되어야 한다. 두 번째는 OT 환경만 이해하는 게 아니라 이 환경에서 어떤 취약점이나 결함이 있는 지를 인식할 수 있는 인텔리전스가 있어야 한다. 마지막 세 번째는 탐지하고 식별한 정보를 기반으로 대응까지 할 수 있어야 한다.
헬로티 임근난 기자 |