사이버-물리 시스템(CPS) 보호 기업 클래로티(Claroty)의 연구 그룹 Team82가 기존 취약점 관리 접근 방식으로는 가장 위험한 CPS 자산의 38%가 간과되고 있다는 연구 보고서를 발표했다.

기존의 취약점 관리 접근 방식 한계

보고서에 따르면 위협 행위자들에 의해 악용될 가능성이 높은 주요 취약점을 가진 CPS 자산의 상당 부분이 기존 방식에서는 놓치고 있는 것으로 나타났다.

Team82는 2천만 개 이상의 운영 기술(OT), 연결된 의료 기기(IoMT), IoT 및 CPS 환경의 IT 자산 데이터를 분석했다. 연구 결과, OT 및 IoMT 자산의 20%가 CVSS (Common Vulnerability Scoring System) v3.1 점수 9.0 이상으로 나타났으나, 이는 기존의 취약점 관리 접근 방식이 제공하는 지표로는 한계가 있음을 보여준다.

또한 OT 및 IoMT의 1.6%는 고위험으로 정의되고 안전하지 않은 인터넷 연결을 가지며 알려진 악용 취약점(KEV)을 포함하는 것으로 확인됐다. 특히 이 중 38%는 CVSS 점수가 9.0 이상이 아니어서 기존 방식에서는 주목받지 못했지만, 위협 행위자에 의해 악용될 가능성이 높아 조직에 큰 위험이 되는 것으로 드러났다.

클래로티의 Team82 연구 부사장 Amir Preminger는 "전력망이나 생명을 구하는 의료 시스템처럼 과도하게 노출된 자산 관련 위험을 측정할 때 0보다 높은 수치의 의미를 이해하는 것이 중요하다."며 "조직은 환경 내 시한폭탄에 초점을 맞춘 전체적인 노출 관리 접근 방식을 취해야 한다"고 강조했다.

맞춤형 CPS 노출관리 솔루션

클래로티는 이러한 맹점을 해결하고 가장 시급한 위협에 우선순위를 부여해 조직의 공격 표면을 최소화할 수 있도록 지원하는 맞춤형 CPS 노출 관리 솔루션을 출시했다. 이 솔루션은 제조, 의료 등 중요 인프라 조직의 요구사항을 충족시키기 위해 가트너의 CTEM(지속적 위협 노출 관리) 프레임워크에 부합한다. 고객이 현재 CPS 위험 상태를 파악하고 기존 리소스를 효율적으로 활용해 보안 성숙도를 높일 수 있도록 지원한다.

주요 기능으로는 ▲노출 관리 프로그램에 CPS 장치 포함 ▲CPS 발견 및 취약점 평가 ▲중요 CPS 프로세스 우선순위 지원 ▲노출 시나리오 안전한 검증 ▲개선 및 프로그램 동원 간소화 등이 있다.

그란트 게이어(Grant Geyer) 클래로티 최고제품책임자는 "취약점에만 초점을 맞추면 안전과 가용성을 위협할 수 있는 실제 노출을 간과할 수 있다."며 "위험을 줄이려면 CPS 자산 특성과 복잡성, 운영·환경적 제약, 조직의 위험 허용 범위 등을 고려한 집중적이고 역동적인 노출 관리 프로그램으로의 전환이 필요하다."고 말했다.