새로운 차원을 여는 IT-OT의 융합
"데이터는 새로운 석유"라는 영국의 수학자 클라이브 험비(Clive Humby)의 명언은 기술 중심의 세상에서 여전히 유효합니다. 그러나 공짜는 없으며, 조직이 데이터를 통해 많은 이점을 얻을 수 있는 만큼 데이터를 도난당하거나 조작되어 운영의 신뢰성과 안전에 영향을 미치지 않도록 데이터를 보호해야 할 책임도 커지고 있습니다.
사이버보안 환경은 지난 몇 년 동안 크게 진화했으며, 정교한 랜섬웨어는 제조업계에서 가장 두드러진 사이버 위협 중 하나가 되었습니다. 랜섬웨어의 진화는 또한 정보 기술(IT) 시스템을 운영 기술(OT) 시스템으로 우회하여 이러한 중요 인프라에 대한 공격이 재정적 손실을 넘어 훨씬 더 심각한 영향을 미칠 수 있기 때문에 제조업체들의 우려를 불러일으키고 있습니다.
로크웰 오토메이션의 라이프사이클 서비스 아시아 태평양 지역 부사장인 인바바난 라티남(Inbavanan Rathinam)과 드라고스(Dragos)의 OT-CERT (운영 기술 - 사이버 비상 준비 팀) 디렉터인 던 카펠리(Dawn Cappelli)를 만나 랜섬웨어의 위협과 특히 오늘날 디지털 세상에서 제조업체의 사이버보안 프로그램 구축이 왜 필수적인지에 대해 이야기를 나눠보았습니다.
인바바난은 오늘날 제조업체는 사이버 범죄와 관련하여 이전보다 훨씬 더 큰 위험에 처해 있다고 말합니다. 랜섬웨어가 OT 플랫폼에 영향을 미치면 조직은 금전적 손실 이상의 피해를 입을 수 있습니다.
“OT 자산은 종종 중요한 인프라의 일부입니다. 따라서 OT 시스템의 랜섬웨어는 금전적 손실 외에도 공장 직원의 안전을 위협하고 평판 손상을 초래할 수 있습니다."라고 그는 말합니다.
파이프드림(Pipedream)은 OT 프로토콜을 표적으로 삼는 최초의 산업 제어 시스템(ICS) 멀웨어 중 하나입니다. 파이프드림은 수백 개의 OEM이 수천 개의 디바이스에서 사용하는 5가지 OT 프로토콜을 악용하도록 설계되었습니다. 이 멀웨어는 모든 분야의 많은 디바이스에 대해 전 세계적으로 배포할 수 있는 다목적 멀웨어입니다. 기존 패치 접근 방식에 대한 내성으로 인해 방어가 복잡해지며, 조직이 이 멀웨어보다 한발 앞서 대응할 수 있는 유일한 방법은 포괄적인 OT 사이버 보안 프로그램을 갖추는 것입니다.
끊임없이 진화하는 환경에 발맞추기
파이프드림과 같은 멀웨어는 빙산의 일각에 불과합니다.
기술이 계속 발전함에 따라 사이버 위협 환경도 계속 진화할 것입니다. 이러한 진화의 한 예로 과거에는 단순한 DDoS 공격을 수행하는 것을 들 수 있습니다. 조직이 보안에 취약해지지 않으려면 적절한 보안 조치를 취하여 앞서 나가야 합니다.
카펠리는 빠르게 변화하는 OT의 사이버 위협 환경이 운영의 위험과 복원력에 큰 영향을 미친다고 말합니다. 많은 조직이 OT보안을 위한 계획을 세우고도 변화하는 위협 환경과 그것이 위험 관리 전략에 미치는 영향에 대한 경계를 소홀히 하는 경우가 너무 많습니다.
많은 업계 종사자들이 잘못 알고 있는 가장 큰 오해는 운영과 IT 시스템을 분리하기만 하면 멀웨어로부터 보호받을 수 있다는 생각입니다.
안타깝게도 기술이 발전함에 따라 IT와 OT의 융합은 피할 수 없게 되었습니다. "ERP 시스템부터 분석을 위한 클라우드 사용, 생산성을 위한 첨단 제조에 이르기까지, 조직은 더 이상 경쟁을 이유로 플랫폼을 분리할 수 없습니다."라고 카펠리는 말합니다.
또한 더 큰 위험과 규제 준수 문제도 있다고 인바바난은 덧붙입니다. 과거에는 데이터 수집이 수작업으로 이루어졌습니다. 하지만 오늘날 기업들이 클라우드와 디지털 시스템의 편리함과 비즈니스 이점을 활용함에 따라 보안팀은 클라우드 환경과 관련된 진화하는 위협과 취약성을 파악하고 있어야 합니다.
카펠리는 때로는 신뢰할 수 있는 제3자에게서 위험이 발생하기도 한다고 덧붙입니다. 예를 들어, 기업은 신규 및 지속적인 플랜트 운영을 위해 서비스 제공업체와 시스템 통합업체를 활용합니다. 안타깝게도 이러한 신뢰할 수 있는 써드파티 중 일부는 OT사이버 보안을 이해하지 못하는 경우가 많아 운영을 위험에 빠뜨릴 수 있습니다. 예를 들어, 이들의 USB 드라이브를 통해 멀웨어가 플랜트로 전송되거나 안전하지 않은 매커니즘을 사용하여 플랜트와 원격으로 연결될 수 있습니다. 실제로 액세스가 안전하게 구성되었는지 확인하지 않은 채 공장에 대한 원격 액세스를 구현하는 경우가 많습니다. 이러한 사례는 사이버 보안 위험을 확대할 수 있습니다.
기존 IT 보안 관행이 OT 환경에 적용되지 않는 이유
연결성이 향상되면 운영 효율성이 높아지듯이, 사이버 공격자가 OT 및 산업 제어 시스템(ICS)에 침투할 수 있는 새로운 경로가 열립니다. 산업계는 일상적인 운영 안정성과 효율성 사이에서 치명적인 결과를 초래할 수 있는 사이버 공격의 위협과 균형을 맞춰야 하는 과제에 직면해 있습니다.
보안 위협을 해결하기 위해 소프트웨어와 하드웨어를 정기적으로 업데이트하는 IT시스템과 달리 OT시스템은 고유한 과제를 안고 있어 인프라 보안에 대한 고유한 접근 방식이 필요합니다. 이는 주로 플랜트 운영을 지속적으로 유지해야 하는 필요성, 레거시 장비의 한계, OT 환경의 복잡성 때문입니다. 결과적으로 OT 디바이스와 운영 체제는 시간이 지남에 따라 구식이 되어 사이버 범죄자가 악용할 수 있는 중요 인프라에 취약점이 생기는 경향이 있습니다.
카펠리는 조직이 예방적 사이버보안 프로그램을 위해 SANS의 산업 제어 시스템을 위한 5가지 사이버보안 중요 제어를 고려해야 한다고 제안합니다. 그녀는 5가지 ICS 제어는 모든 산업 조직에 매우 중요하다고 말합니다.
- ICS에 특화된 사고 대응 계획
- 방어 가능한 아키텍처
- ICS 네트워크 보안 모니터링
- 안전한 원격 액세스 / MFA
- 위험 기반 취약성 관리 프로그램
이러한 제어는 조직이 AI 및 머신 러닝 기술을 통합함에 따라 더욱 중요해집니다. 중요 인프라를 보호한 후에는 사이버 공격을 더욱 강화하고 완화하기 위해 제로 트러스트 아키텍처를 배포하는 것을 고려해야 합니다.
직원 보안 교육을 위한 팁:
- 목표에 맞는 교육 제공: 모든 세션을 직원의 역할에 맞게 맞춤화하세요. 사무직과 공장 근로자가 동일한 일반 교육을 받아서는 안됩니다.
- 공용 공간에 보안 인식 뉴스레터 비치: 모든 사람이 정보에 액세스하기 위해 컴퓨터를 사용하는 것은 아닙니다. 보안 인식 뉴스레터를 조직 내 공용 공간에 비치해 두면 정보를 효과적으로 전달할 수 있으며, 직원들 간의 식사 시간에 대화를 유도할 수도 있습니다.
- 흥미롭고 재미있는 콘텐츠: 연관 있는 사례와 함께 재미있고 시의적절한 콘텐츠를 인쇄 자료에 삽입하세요. 예를 들어, 연말 쇼핑 팁에 사이버 보안 개념을 통합하여 사이버 보안이 보다 개인적이고 친근하게 느껴지도록 하세요.
장기적인 성공을 위한 경영진의 동의 확보
사이버보안은 예방이 가장 중요하며, 초기 비용 때문에 이해관계자의 동의를 얻기가 어려울 수 있습니다. 그러나 모든 사이버보안 프로그램은 지속적인 여정이라는 점에 유의해야 합니다. 인바바난은 기업이 사이버보안에 대해 단순히 비용적인 측면만 고려할 것이 아니라 잠재적 위험의 비용을 측정하여 적절한 균형을 찾아야 한다고 말합니다.
성공을 위해서는 노하우도 중요하기 때문에 로크웰 오토메이션과 드라고스(Dragos)와 같은 파트너와 함께라면 복잡한 OT 사이버보안 문제를 해결하는 데 큰 도움이 될 수 있습니다. 많은 조직이 사이버 범죄를 해결하기 위한 리소스와 전문 지식으로 어려움을 겪을 수 있다는 점을 파악한 드라고스는 기업이 사이버보안 여정을 시작하는 데 도움이 되는 60개 이상의 무료 리소스가 포함된 OT-CERT 프로그램을 개발했습니다. 이러한 리소스는 ICS를 위한 SANS 5대 중요 통제 사항과도 일치합니다.
사이버 범죄는 조직이 예상하지 못한 순간에 발생하므로 기업은 사이버보안 대책을 개발하고 실행하는 것을 늦추지 말아야 합니다. 여기에서 OT 및 ICS에 맞춤화된 사이버보안 솔루션에 대해 자세히 알아보세요.
