사회 기반 시설을 노리는 공격자들의 행위가 점점 거세지고 있다. 그럼에도 패닉에 빠질 단계는 아니다. 오히려 긍정적으로 상황을 바라볼 수도 있다. 불과 수년 전에 비해 우리가 의미 있게 성장했기 때문이다.
[보안뉴스 = 션 터프츠 사회 기반 시설 부문 파트너, Optiv] 최근 볼트타이푼(Volt Typhoon)이라는 해킹 단체로 인해 보안 커뮤니티와 일부 정부 기관들이 시끄럽다. 잘 훈련된 것으로 보이는 이 중국 APT 조직이 미국의 사회 기반 시설들을 공략하고 있기 때문이다. 이들은 꽤나 오랜 시간 피해자의 시스템 내에 머물며 사회 기반 시설들을 위협하고 각종 정보를 빼돌렸고, 리빙오프더랜드(living-off-the-land) 전략을 사용해 피해자의 환경에서 최대한 발각되지 않기도 했다. 통신, 에너지, 수자원, 교통 분야가 특히 공략을 많이 당한 것으로 알려져 있다.
[이미지 = gettyimagesbank]
볼트타이푼이 보여주고 있는 모습은 너무나 위협적이고, 현대 사회를 살아가는 모든 사람들이 알고 있어야 하는 위험임이 분명하다. 정부 차원에서는 물론 사기업들도 이런 위협을 심각하게 받아들이고 대처해야 한다. 이들의 사이버 공격이 어떤 물리적, 사회적, 신체적 위해와 충격으로 다가올지 아무도 예측할 수 없기 때문이다. 이들이 의료 기관의 장비들을 공략한다면, 생명과 직결되는 사건이 벌어질 수 있다. 이는 공상 과학이 아니라, 당장 내일 일어나도 이상하지 않은 일이다.
필자는 이런 ‘사회 기반 시설 보안’의 최전선에서 근무하는 사람으로서, 볼트타이푼과 같은 단체가 등장했을 때 자동반사적으로 긴장한다. 그리고 이 문제를 좀 더 넓은 차원에서 보고, 이들에 대한 정보를 알리고자 한다. 하지만 이것이 ‘패닉’에 의한 반응은 아니다. 오히려 몇 가지 긍정적인 면들을 보게 되기까지 한다.
먼저는 CISA가 ‘사회 기반 시설 산업’으로 지정한 16개 산업들이 수년 전에 비해 상당히 성숙한 수준의 사이버 보안 능력을 갖추고 있다는 것이다. 물론 ‘안전하다’고 자신하기에는 아직 멀었지만, 적어도 2020년의 수준에 머물러 있지는 않다. 아무 것도 하지 않고, 아무 흔적도 남기지 않고 숨어있는 멀웨어들이 하도 성행하니 보안 전문가들은 탐지 기술을 요 근래 강화했고, 그러면서 더 많은 위협들을 성공적으로 발견하곤 한다. 그러면서 ICS 등 OT 자산들을 더 효과적으로 보호할 수 있게 됐다. 이는 현장에서 체감되는 사실이다.
사회 기반 시설, 어디에 집중해야 하는가?
볼트타이푼이라는 작자들이 등장함으로써 확실해진 것 중 하나는 사회 기반 시설을 운영하는 조직들은 리스크 평가를 보다 자주, 보다 정기적으로, 보다 꼼꼼하게 해야 한다는 것이다. 또한 그런 시설들을 노리는 공격자들에 대한 첩보도 부지런히 수집해 그들이 어떤 식으로 공격을 가하고 있으며 어떤 전략이나 공격 기술이 유행하고 있는지도 파악해둘 필요가 있다는 것도 잊으면 안 된다.
‘위협’이라는 것은 반드시 거기에 존재한다는 걸 알고 있어야 막을 가능성이 생긴다. 있는지도 모르는 것 혹은 없는 것을 잘 방어할 수 있는 건 우연 뿐이다. 게다가 모든 조직들이 같은 위협에 당하는 것도 아니다. 어제의 위협이 오늘의 위협이 되는 것도 역시 아니다. 그러므로 조직을 위협하는 것을 자주자주 파악해두는 것은 당연한 일이 된다. 그러므로 리스크 평가와 공격자 동향 파악은 사회 기반 시설을 지키려는 조직이나 담당자에게 있어 필수다.
그렇게 위협에 대해 알게 되었다면 그 다음은 알게 된 내용을 바탕으로 계획을 짜야 한다. 위협이 늘 바뀌듯, 대응 방법도 늘 바뀌는 게 맞다. 그렇기 때문에 계획이라는 것도 큰 틀은 유지하되 세부적으로 바꿔야 할 상황이 많을 것이다. 하지만 일단 변하지 않는 큰 틀, 즉 기본도 간과되는 경우가 많기 때문에 그것부터 짚고 넘어가고자 한다.
1) 망분리 : 네트워크를 구역별로, 기능별로, 목적별로 분리해 두는 건 반드시 해야 하는 일이다. 그래야 침투하는 데 성공한 공격자들이라고 하더라도 얻어갈 것이 별로 없게 된다.
2) 침입 탐지 시스템 : 네트워크 트래픽을 모니터링 하여 수상한 활동들을 잡아낸다. 엔드포인트 보호 솔루션들도 중요하지만 네트워크에 연결된 모든 장비들에 빠짐업시 설치한다는 게 어렵기 때문에 침입 탐지 시스템도 갖춰야 한다.
3) 아이덴티티 보안 : 모든 계정과 아이덴티티가 보호받는 게 맞다. 아무리 권한이 낮더라도 공격자가 그 계정이나 아이덴티티로 접속할 수 있게 된다면 반드시 문제가 된다. 하지만 처음부터 모든 계정과 아이덴티티를 보호하기는 힘들다. 권한이 높은 것들부터 파악해 보호해 나가는 게 효율적이다.
과거에서 현재까지
5년 전만 해도 사회 기반 시설 보안에 대한 개념은 전혀 잡히지 않고 있었다. 아무도 모르는 개념이었던 게 오히려 더 맞는 말일 것이다. 하지만 여러 시행착오와 안타까운 사고들을 거쳐 현재에 이르렀고, 이제는 나라에서도 사회 기반 시설 보안의 중요성을 강조하며 규정들을 만들거나 적용하는 중이다. 사이버 보안 분야에서 기반 시설 보안은 어엿한 하나의 하위 구성이 되었고, OT 보안 역시 덩달아 떠오르고 있다.
물론 우리만 발전한 건 아니다. 사이버 공격자들 역시 스스로를 부지런히 향상시키고 있다. 그럼에도 희망을 가질 수 있는 건, 이전의 우리는 무방비로 두들겨맞고 있었으나 지금은 가드를 올리고 어느 정도 몸을 피할 줄도 아는 상태로 발전했기 때문이다. 0에서 1로 변한 건 큰 의미를 가지고 있다. 이제 그 1을 수없이 많은 숫자로 부풀려야 할 단계다. 출발선이 0이면 아무리 곱해도 0으로 남는다. 이제 1이 됐으니 곱하는 족족 그 숫자의 결과물이 나올 것이다. 얼마나 큰 변화인가. 그런 과정에서 우리의 기반 시설들은 계속해서 튼튼해질 것이다.
글 : 션 터프츠(Sean Tufts), 사회 기반 시설 부문 파트너, Optiv
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 션 터프츠 사회 기반 시설 부문 파트너, Optiv] 최근 볼트타이푼(Volt Typhoon)이라는 해킹 단체로 인해 보안 커뮤니티와 일부 정부 기관들이 시끄럽다. 잘 훈련된 것으로 보이는 이 중국 APT 조직이 미국의 사회 기반 시설들을 공략하고 있기 때문이다. 이들은 꽤나 오랜 시간 피해자의 시스템 내에 머물며 사회 기반 시설들을 위협하고 각종 정보를 빼돌렸고, 리빙오프더랜드(living-off-the-land) 전략을 사용해 피해자의 환경에서 최대한 발각되지 않기도 했다. 통신, 에너지, 수자원, 교통 분야가 특히 공략을 많이 당한 것으로 알려져 있다.
[이미지 = gettyimagesbank]
볼트타이푼이 보여주고 있는 모습은 너무나 위협적이고, 현대 사회를 살아가는 모든 사람들이 알고 있어야 하는 위험임이 분명하다. 정부 차원에서는 물론 사기업들도 이런 위협을 심각하게 받아들이고 대처해야 한다. 이들의 사이버 공격이 어떤 물리적, 사회적, 신체적 위해와 충격으로 다가올지 아무도 예측할 수 없기 때문이다. 이들이 의료 기관의 장비들을 공략한다면, 생명과 직결되는 사건이 벌어질 수 있다. 이는 공상 과학이 아니라, 당장 내일 일어나도 이상하지 않은 일이다.
필자는 이런 ‘사회 기반 시설 보안’의 최전선에서 근무하는 사람으로서, 볼트타이푼과 같은 단체가 등장했을 때 자동반사적으로 긴장한다. 그리고 이 문제를 좀 더 넓은 차원에서 보고, 이들에 대한 정보를 알리고자 한다. 하지만 이것이 ‘패닉’에 의한 반응은 아니다. 오히려 몇 가지 긍정적인 면들을 보게 되기까지 한다.
먼저는 CISA가 ‘사회 기반 시설 산업’으로 지정한 16개 산업들이 수년 전에 비해 상당히 성숙한 수준의 사이버 보안 능력을 갖추고 있다는 것이다. 물론 ‘안전하다’고 자신하기에는 아직 멀었지만, 적어도 2020년의 수준에 머물러 있지는 않다. 아무 것도 하지 않고, 아무 흔적도 남기지 않고 숨어있는 멀웨어들이 하도 성행하니 보안 전문가들은 탐지 기술을 요 근래 강화했고, 그러면서 더 많은 위협들을 성공적으로 발견하곤 한다. 그러면서 ICS 등 OT 자산들을 더 효과적으로 보호할 수 있게 됐다. 이는 현장에서 체감되는 사실이다.
사회 기반 시설, 어디에 집중해야 하는가?
볼트타이푼이라는 작자들이 등장함으로써 확실해진 것 중 하나는 사회 기반 시설을 운영하는 조직들은 리스크 평가를 보다 자주, 보다 정기적으로, 보다 꼼꼼하게 해야 한다는 것이다. 또한 그런 시설들을 노리는 공격자들에 대한 첩보도 부지런히 수집해 그들이 어떤 식으로 공격을 가하고 있으며 어떤 전략이나 공격 기술이 유행하고 있는지도 파악해둘 필요가 있다는 것도 잊으면 안 된다.
‘위협’이라는 것은 반드시 거기에 존재한다는 걸 알고 있어야 막을 가능성이 생긴다. 있는지도 모르는 것 혹은 없는 것을 잘 방어할 수 있는 건 우연 뿐이다. 게다가 모든 조직들이 같은 위협에 당하는 것도 아니다. 어제의 위협이 오늘의 위협이 되는 것도 역시 아니다. 그러므로 조직을 위협하는 것을 자주자주 파악해두는 것은 당연한 일이 된다. 그러므로 리스크 평가와 공격자 동향 파악은 사회 기반 시설을 지키려는 조직이나 담당자에게 있어 필수다.
그렇게 위협에 대해 알게 되었다면 그 다음은 알게 된 내용을 바탕으로 계획을 짜야 한다. 위협이 늘 바뀌듯, 대응 방법도 늘 바뀌는 게 맞다. 그렇기 때문에 계획이라는 것도 큰 틀은 유지하되 세부적으로 바꿔야 할 상황이 많을 것이다. 하지만 일단 변하지 않는 큰 틀, 즉 기본도 간과되는 경우가 많기 때문에 그것부터 짚고 넘어가고자 한다.
1) 망분리 : 네트워크를 구역별로, 기능별로, 목적별로 분리해 두는 건 반드시 해야 하는 일이다. 그래야 침투하는 데 성공한 공격자들이라고 하더라도 얻어갈 것이 별로 없게 된다.
2) 침입 탐지 시스템 : 네트워크 트래픽을 모니터링 하여 수상한 활동들을 잡아낸다. 엔드포인트 보호 솔루션들도 중요하지만 네트워크에 연결된 모든 장비들에 빠짐업시 설치한다는 게 어렵기 때문에 침입 탐지 시스템도 갖춰야 한다.
3) 아이덴티티 보안 : 모든 계정과 아이덴티티가 보호받는 게 맞다. 아무리 권한이 낮더라도 공격자가 그 계정이나 아이덴티티로 접속할 수 있게 된다면 반드시 문제가 된다. 하지만 처음부터 모든 계정과 아이덴티티를 보호하기는 힘들다. 권한이 높은 것들부터 파악해 보호해 나가는 게 효율적이다.
과거에서 현재까지
5년 전만 해도 사회 기반 시설 보안에 대한 개념은 전혀 잡히지 않고 있었다. 아무도 모르는 개념이었던 게 오히려 더 맞는 말일 것이다. 하지만 여러 시행착오와 안타까운 사고들을 거쳐 현재에 이르렀고, 이제는 나라에서도 사회 기반 시설 보안의 중요성을 강조하며 규정들을 만들거나 적용하는 중이다. 사이버 보안 분야에서 기반 시설 보안은 어엿한 하나의 하위 구성이 되었고, OT 보안 역시 덩달아 떠오르고 있다.
물론 우리만 발전한 건 아니다. 사이버 공격자들 역시 스스로를 부지런히 향상시키고 있다. 그럼에도 희망을 가질 수 있는 건, 이전의 우리는 무방비로 두들겨맞고 있었으나 지금은 가드를 올리고 어느 정도 몸을 피할 줄도 아는 상태로 발전했기 때문이다. 0에서 1로 변한 건 큰 의미를 가지고 있다. 이제 그 1을 수없이 많은 숫자로 부풀려야 할 단계다. 출발선이 0이면 아무리 곱해도 0으로 남는다. 이제 1이 됐으니 곱하는 족족 그 숫자의 결과물이 나올 것이다. 얼마나 큰 변화인가. 그런 과정에서 우리의 기반 시설들은 계속해서 튼튼해질 것이다.
글 : 션 터프츠(Sean Tufts), 사회 기반 시설 부문 파트너, Optiv
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
