중요 인프라의 보호는 견고한 위협 탐지 역량에 달려 있습니다. 위협을 노출하고 보안 인시던트가 환경에 영향을 미치지 않도록 하는 방법을 알아봅니다.
심상치 않은 폭풍이 몰려오고 있다는 것을 어떻게 알 수 있을까요? 조직의 운영 기술과 산업 제어 시스템(OT/ICS)을 보호하는 일을 담당하는 팀이라면 대략 가늠할 수 있을 겁니다.
인프라 업계에서 최근에 나타난 신호들은 놓치기가 쉽지 않습니다. 그러한 신호들로는 비즈니스 IT 및 OT 시스템의 융합과 클라우드에서의 가속화, 데이터베이스 기반 서비스형 랜섬웨어(RaaS)와 피싱 공격의 확산, 그리고 코로나19 팬데믹이 시작된 이래 중요 산업에서 원격 업무 직원과 원격 액세스 취약점을 노린 대규모 공격을 예로 들 수 있습니다.
이러한 신호들은 2021년 5월 석유 이송 기업 콜로니얼 파이프라인(Colonial Pipeline)의 운영을 마비시켰던 다크사이드(DarkSide) 랜섬웨어 공격 이전에도 나타났습니다. 그러나 이 사건으로 인해 국가의 중요 인프라 보호를 강화하기 위한 업계와 정부의 노력이 탄력을 받았습니다. 이제 미국의 교통안전청(Transportation Security Administration)은 사이버 보안 인시던트가 발생하는 경우 파이프라인 소유업체와 운영업체가 보고를 하도록 요구하고 있습니다.
공공 시설(석유 및 가스, 상하수도, 전기), 의료 부문, 화학 제조 또는 식품 가공 공장 같은 다른 중요한 인프라 영역에서도 부담이 커지고 있습니다. OT 보안 노력이 이러한 새로운 모멘텀에서 어떤 이점을 얻을 수 있을까요?
OT/ICS 보안 이니셔티브는 어디에서 시작해야 할까요?
대부분의 전문가들은 중요 인프라 보호 전략은 강력한 사이버 위협 탐지 프로그램에 달려 있다고 의견을 모읍니다. 다음은 숨겨진 위협을 발견하고 사이버 보안 인시던트가 OT/ICS 환경에 영향을 미치지 않도록 방지하는 데 도움이 되는 5단계 방법입니다.
1. OT/ICS 인프라의 물리적 보안과 자산 인벤토리 평가
주차장에서 주운 USB 드라이브의 내용이 궁금한 직원이 맬웨어가 들어 있는지도 모르고 OT 엔드포인트에 연결합니다. 48%는 궁금함을 참지 못합니다. 연구조사에 따르면, 공장 내 또는 입구에 설치된 IP 네트워크 카메라 같은 물리적 장치가 보안 허점이 되는 경우는 비일비재하며 위협 행위자가 쉽게 진입할 수 있는 것으로 나타났습니다. 실수로 잠금 해제된 웹 캠 포트를 찾기 위해 인터넷을 스캔하던 공격자가 카메라로 지켜보고 있을 수도 있습니다.
게다가 범죄 조직과 해커들은 자동화에 진심입니다. RaaS와 피싱 공격은 복잡한 데이터 기반 도구와 악용 키트를 활용해 표적을 집중 공략합니다.
지금 사용 중인 장치가 승인되지 않은 자산이나 장치의 호스트로 이용되고 있을 수 있습니다. 설치 기반 자산 인벤토리 조사를 정기적으로 수행하는 것이 매우 중요합니다. 실제로 매시간마다 자산 인벤토리 점검하는 중요 인프라 조직들도 있습니다.
그러나 중요한 영역의 IT/OT 팀은 대부분 인력이 부족하고 과도한 업무에 시달리느라, 중요한 OS 및 애플리케이션의 업데이트와 패치, 인벤토리 평가를 제때 못하거나 아예 못하는 경우가 많습니다. 뿐만 아니라 IT 및 OT 팀의 역할과 책임이 명확하게 구분되지 않아 현재 인력 기술 격차 문제를 누가 책임지고 있는지도 불분명합니다. 특히 비즈니스의 OT 측 패치는 복잡할 수 있으며 간과되는 경우가 허다합니다.
어디서 많이 들어본 이야기 같다고 생각하십니까?
이제 방어를 자동화된 보안 태세를 갖춰야 할 때입니다. 자산 인벤토리와 자동화된 위협 탐지를 수행하는 인공 지능 기반 IT/OT 도구를 사용하면, 산업용 사물인터넷(IIoT) 장치를 포함해, 네트워크에 추가되는 장치들을 파악할 수 있습니다. 최신 사이버 보안 도구와 서비스는 많은 자동화 기능으로 중요한 운영을 더 잘 보호하여 팀이 다른 더 중요한 업무에 시간을 할애할 수 있도록 해줍니다.
2. 액세스 정책 강화
최신 ID 및 액세스 접근 방식을 구현하면 사이버 보안 개선의 측면에서 상대적으로 빨리 효과를 얻을 수 있습니다. 또한 이는 ID를 추정하지 않고 특정 액세스 권한과 정책, 사용 시간 등에 연관시키는 제로 트러스트 접근 방식의 초석이기도 합니다.
중요 인프라 산업의 많은 OT 조직들은 다단계 인증 같은 최신 표준을 사용하지 않습니다. 침입을 쉽게 허용하는 다른 보안 간극으로는 암호 공유와 올바른 통제 없는 원격 액세스가 있습니다. 이러한 문제는 팬데믹으로 인해 더욱 악화되었습니다.
효율적인 공장 운영은 강력한 ID 및 액세스 통제와 공존할 수 있으므로, 이것이 강력한 프로그램을 구현하는 데 지장을 줄까 걱정할 필요는 없습니다. 필요한 정보를 얻고 조치를 취해야 합니다.
전문가들은 종종 “해커는 항상 혁신하지만 대부분의 완전히 새롭게 개발된 방식은 아니다.”라고 말합니다. 공격은 대부분 해결 방법이 알려져 있는 보안 결함으로 인해 발생합니다.
3. 상시 모니터링
지속적인 모니터링은 산업 네트워크를 노리는 위협을 탐지하는 데 핵심입니다. IT/OT 환경에 최적화된 위협 탐지, 컴퓨팅 인프라, 방화벽, 네트워크 및 소프트웨어 애플리케이션 실시간 모니터링 서비스는 먼저 기준이 될 네트워크 동작을 식별한 다음, 예상 패턴을 따르지 않는 비정상적인 활동에 대해 알림을 제공하고 위협 알림이 해결되면 애플리케이션 복구를 지원합니다.
산업용 사이버 보안 모니터링 도구를 사용하면 OT 환경의 모든 수준에서 실시간으로 가시성을 확보할 수 있습니다. 보안 팀은 감지된 의심스러운 행동에 대한 더 깊은 인사이트를 얻기 위해 알림과 이벤트를 연관시켜 적절한 대응을 할 수 있습니다.
사이버 보안 운영을 담당할 직원이나 전문 지식이 충분하지 않다면, 인정받는 관리 서비스 공급업체에게 도움을 받아야 합니다. 여기에 적합한 파트너는 글로벌 규모의 서비스를 신속하게 배포할 수 있습니다. 또한 많은 고객 케이스 참여를 통해 얻은 보안 인사이트를 활용해 위협 행위자와 새로운 악용 방법에 앞서가며, 탐지, 차단 및 필요시에는 위협 인시던트 복구까지 실질적으로 필요한 경험을 제공합니다.
4. 사이버 위협 인텔리전스(CTI) 활용
현실을 직시해야 합니다. 대부분의 IT/OT 보안 팀은 잠재 공격의 조기 경고 신호를 포착할 준비가 되어 있지 않습니다. 다크넷 포럼에서 특정 공장에 대한 언급이 갑자기 늘어 난다거나, 일부 산업 제어 시스템에 영향을 미치는 제로데이 공격에 대한 암시장 경매가 이뤄지는 것을 예로 들 수 있습니다.
사이버 위협 인텔리전스는 OT 보안 전문가가 앞서 대비할 수 있도록 지원합니다. 다행히도, 이를 위해 내부적으로 많은 비용을 들여 위협 탐지 역량을 구축할 필요가 없습니다. 로크웰 오토메이션의 고객은 사이버 보안 운영 센터, 위협 헌터, 오픈 소스 인텔리전스(OSINT) 연구원 및 분석가로 구성된 글로벌 네트워크로 지원되는 위협 인텔리전스 서비스의 이점을 누릴 수 있습니다.
정보 공유 및 분석 센터와 CISO 네트워크에서 다른 ICS/OT 보안 실무자와 리더들의 추가적인 인사이트와 관점을 공유할 수 있습니다.
5. 보안에 대한 마음가짐 확립
P사람, 프로세스 및 기술은 사이버 위생에서 중요한 역할을 합니다. NIST 프레임워크와 사이버 성숙도에 대한 팟캐스트에서, 로크웰 오토메이션의 카밀 카르말리(Kamil Karmali) 글로벌 사이버 보안 커머셜 매니저는 팀과 사람에 대해 이런 말을 했습니다.
카르말리는 경영진에게 보안 우선 문화의 중요성을 강조하며, 고객들은 "팀으로 협력하되 역할과 책임을 명확하게 구분하여, 보안과 관련된 각자의 역할을 알아야 한다”고 말했습니다. 또한 “엔터프라이즈 IT 팀과 OT 팀 간의 경계도 명확해야 한다. 모두에게 맞는 하나의 솔루션은 존재하지 않는다”고 말했습니다.
역할과 책임을 정확하게 구분하는 것이 반드시 필요합니다. 예를 들어, 랜섬웨어 공격이 발생할 경우 어떤 핵심 단계를 따르며, 어떤 순서로 결정을 내릴지 파악하기 위해 모의 훈련 또는 인시던트 대응 계획 같은 방법을 활용할 수 있습니다.
이러한 유형의 훈련은 학습이 가능합니다. 적절한 방어를 위해 정기적으로 자주 인시던트 대응 교육을 제공하고 우선순위를 지정하는 것은 IT/OT 팀의 의무입니다. 관리 서비스 프로그램의 일부로 보안 인식 및 구현 교육을 지원하는 서비스들도 많이 나와 있습니다.
천리 길도 한 걸음부터
콜로니얼 파이프라인 공격 이후, TV와 소셜 미디어를 통해 석유 사재기를 위한 차량들이 길게 늘어선 주유소의 모습을 볼 수 있었습니다.
이러한 모습은 대중에게 비춰지는 기업의 이미지뿐만 아니라 심각한 운영 손실이나 심지어 소송으로 이어질 가능성도 있으므로, 고위 임원진은 위협을 심각하게 생각합니다. 위에 언급된 사이버 위협 탐지 단계들은 조직에 해를 입히기 전에 OT에 숨겨진 위협을 표면화시켜 줄 수 있습니다.
준비되셨나요? 귀사의 산업 운영에 이와 같은 선제적 보안 보호가 어떤 도움을 줄 수 있는지 산업 사이버 보안 서비스팀에 문의하시기 바랍니다.
참조 링크: https://www.rockwellautomation.com/en-us/company/news/blogs/security-threat-detection.html
