제조 산업 현장의 운영기술(Operational Technology, 이하 OT) 및 산업제어시스템(Industrial Control System, 이하 ICS) 환경은 제조 공정을 제어하는 데 사용되는 컴퓨터 시스템 및 장비로 구성되어 있다. 그런데 이러한 장치들은 사이버 보안 기능이 부족해 사이버 공격에 노출될 가능성이 높다. 이러한 네트워크에 어떤 자산이 있는지 확인하고 해당 장치가 실제로 수행하는 작업에 대한 인텔리전스 확인을 통한 보안과 OT와 IT간 협업을 통한 원활한 보안 통합관리가 절실해지고 있다.

자산 가시성 및 보안 회사인 아르미스(Armis)가 제조, 유틸리티 및 운송과 같은 중요 인프라 산업에 위협이 되는 가장 위험한 장치를 식별하는 연구 보고서를 발표했다.

30억개가 넘는 자산을 추적하는 아르미스 자산 인텔리전스 및 보안 플랫폼(Armis Asset Intelligence and Security Platform)에서 분석한 데이터에 따르면 중요 인프라 산업에 가장 큰 위험을 초래하는 OT 및 ICS 장치에는 엔지니어링 워크스테이션, SCADA 서버, 무정전 전압 공급장치(Uninterruptible Power Supplies, UPS), 히스토리언 및 프로그래밍 가능한 논리 컨트롤러(PLC) 등이 있다.

여전한 문제, 우선순위 지정 및 취약성 관리

보고서에 따르면 엔지니어링 워크스테이션은 2개월 동안 업계에서 가장 많은 공격 시도를 받은 OT 장치이며 SCADA 서버가 그 뒤를 이었다. 엔지니어링 워크스테이션의 56%에는 패치되지 않은 심각한 공통 취약성 및 노출(Common Vulnerabilities and Exposures, CVE)이 하나 이상 있으며 16%는 18개월 이전에 공개된 무기화된 CVE에 취약한 것으로 나타났다.

UPS는 2개월 동안 가장 많은 공격 시도를 받은 세 번째 장치 유형이다. 이는 정전 시 연속성을 유지하기 위해 중요하지만, 데이터에 따르면 UPS 장치의 60%에는 패치가 적용되지 않은 심각한 심각도의 CVE가 하나 이상 존재한다. 이는 지난 해 11월 발생한 대규모 DDos 공격인 TLStorm에서 본 것처럼 범죄자가 잠재적으로 장치 자체 또는 장치에 연결된 다른 자산에 물리적 손상을 일으킬 수 있다.

또 다른 예로 프로그래밍 가능한 논리 컨트롤러(Programmable Logic Controllers, PLC)를 들 수 있으며, 41%에 하나 이상의 패치되지 않은 치명적인 심각도 CVE가 존재한다. 이런 레거시 장치는 공격받을 경우 중앙 운영이 중단될 수도 있으므로 매우 중요하지만, 연구에서는 하드웨어 지원 종료 및 펌웨어 지원 종료와 같은 높은 위험 요소에 취약할 수 있다고 강조했다.

추가 장치 세트에는 2022년 1월 이전에 공개된 무기화된 CVE가 하나 이상 존재해 85%의 바코드 판독기, 32%의 산업용 관리 스위치, 28%의 IP 카메라, 10%의 프린터와 같이 제조, 운송 및 유틸리티 환경에 대한 위험을 나타낸다.

OT 산업은 네트워크에 다양한 관리되는 장치와 관리되지 않는 장치가 모두 포함된 여러 위치, 여러 생산 라인 및 복잡한 유통 라인을 특징으로 한다. 때문에 위험이 어디서 발생하고 수정이 필요한지 이해하는 것은 중요하며, 취약성 관리에 대한 장애물이 될 수 있어 악의적인 행위자가 쉽게 진입할 수 있게 한다.

아르미스의 공동 창립자이자 CTO인 나디르 이즈라엘(Nadir Izrael)은 “”라며 “상황에 맞는 데이터를 통해 팀은 각 장치가 OT 환경에 어떤 위험을 초래하는지 정의할 수 있어 공격 표면을 빠르게 줄이기 위해 중요 및/또는 무기화된 취약성의 해결 우선순위를 지정할 수 있다”고 밝혔다.

OT와 IT 팀 간의 협업은 필수

몇 년 동안 OT와 정보 기술(IT)의 융합으로 인해 OT 산업은 크게 변화했다. 이런 변화는 산업 시대의 새로운 단계를 주도하고 도메인 간 협업을 가능케 하지만 실제로 두 환경의 통합 관리는 아직 이뤄지지 않았다. 다양한 OT 팀이 산업 제어 시스템 유지 관리, OT에 대한 위험 완화, 운영 환경 내에서 전반적인 무결성 보장에 집중하면서 더 많은 IT 중심 업무는 등한시되고 있다.

가장 위험한 장치 5개 중 4개는 특히 윈도우 운영체제를 실행하고 있으며, 자산 위험에 대한 기본적인 이해와 취약한 자산 보호가 IT 및 OT 팀에 여전히 어려운 과제임을 보여준다.

아르미스는 다양한 장치 유형을 살펴본 결과, 많은 장치가 SMBv.1 프로토콜, 지원 종료 운영 체제 및 다양한 오픈 포트를 사용하므로 악의적인 활동에 더 많이 노출돼 있음을 발견했다. SMBv.1은 악명 높은 워너크라이(Wannacry) 및 낫페트야(NotPetya) 공격의 표적이 된 취약성으로 암호화되지 않은 복잡한 레거시 프로토콜이다. 보안 전문가들은 이미 조직에 완전히 사용을 중단하도록 조언했지만, 실제 데이터는 여전히 현장에서 자주 사용되고 있음을 보여준다.

이즈라엘 대표는 “조직적 관점에서 취약성 관리에 대한 위험 기반 접근 방식은 공격 완화를 위한 노력을 조정할 수 있도록 OT 및 IT 부서가 협력해야 한다”며 “부서 간 프로젝트는 프로세스 및 리소스 관리를 간소화하고 규정 준수 및 데이터 보안을 강화하는 데 도움이 될 것이다. 전반적으로 새로운 산업 시대의 과제를 해결하기 위해 보안 전문가는 네트워크에 연결된 모든 자산을 보호하는 IT/OT 융합 보안 솔루션이 필요하다”고 덧붙였다.

아르미스 통합 자산 인텔리전스 플랫폼(Armis Unified Asset Intelligence Platform)은 연결된 모든 자산을 검색하고 자산 간의 통신 및 관계를 매핑, 상황에 맞는 인텔리전스를 추가해 비즈니스에 영향을 미칠 수 있는 컨텍스트와 위험을 이해하는 데 도움을 준다. 이는 OT 및 IT 환경을 모두 보호하기 위해 특별히 제작되었으며 수백개의 IT 및 OT 플랫폼에서 의미 있는 신호를 수집할 수 있다.

아르미스의 클라우드 기반 위협 탐지 엔진은 기계 학습과 인공지능을 사용해 장치가 정상적인 ‘알려진 양호’ 기준선을 벗어나 작동하는 경우를 탐지하고 전체 공격 영역을 보다 쉽게 관리하도록 자동화됐다.