사이버 공격의 무대가 개인 컴퓨터에서 가정 네트워크, 가정 네트워크에서 기업과 기관으로 확대되더니 이제는 사회와 국가를 떠받치는 기본 인프라로까지 옮겨가고 있다. 국가 간 사이버전의 이야기가 아니라, 민간 사이버 범죄에도 해당되는 현상이다.
[보안뉴스 문정후 기자] 사이버 공격이 국가 안보에까지 영향을 미친다는 건 이제 그 누구도 부정할 수 없다. 이 때문에 사이버 보안 강화는 점점 더 국가 차원에서 진행되어야 하는 것이 되고 있는데, 이런 분위기에서 집중 조명을 받는 것이 바로 OT와 IoT이다. 여기에는 각종 공장 시설에서 사용되고 있는 장비들은 물론 의료 현장에서 사용되는 기술과 건물 관리를 위한 시스템들 역시 포함되어 있다.
[이미지 = gettyimagesbank]
OT 보안 전문 업체 클래로티(Claroty)가 최근 조사한 바에 의하면 “국가 지원 공격자들만이 아니라 랜섬웨어 공격자들까지도 이런 장비들과 시스템들을 노리기 시작했다”고 한다. 이런 기술들이 사회 전체에 미치는 영향을 익히 알고 있기 때문이다. “공정이 중단되고, 서비스가 더 이상 제공되지 않으며, 건물의 관리 시스템이 마비되고 환자를 치료할 수 없을 때 국가 경제와 안보가 위협을 받을 수 있습니다. 이것을 랜섬웨어 공격자들도 알고 있습니다.”
하지만 랜섬웨어 공격자들이 이런 시스템들을 공격했을 때 구체적으로 어떤 피해가 일어날까? 또한 이 랜섬웨어로 인해 어떤 현상들이 벌어지고 있을까? 클래로티가 각 분야의 CISO들을 만나 물었고, 다음과 같은 사실들을 알아냈다. 이를 상세히 풀어보면 다음과 같다.
1. 사이버 물리 시스템 공격으로 재정 손실을 겪는 CISO들
사이버 물리 시스템(CPS)을 겨냥한 공격이 점점 빈번해지고 있다. 예를 들어 러시아의 APT인 샌드웜(Sandworm)과 이란의 혁명수비대의 경우 우크라이나의 전력 인프라와 미국의 수도 공급 시설을 대상으로 사이버 공격을 여러 차례 실시한 적이 있다. 병원은 수년 전부터 랜섬웨어 공격자들의 주력 표적으로 남아있으며, 이는 심각한 사회 문제가 되어가는 중이다. 의료 기관을 공격하는 데 성공한 랜섬웨어 공격자들은 환자들의 생명을 담보로 수백만 달러의 돈을 요구하고 있다.
사회 기반 시설이 마비될 경우 광범위한 손실이 초래된다는 건 다시 말해 피해자들이 큰 규모의 돈을 낼 가능성이 높다는 뜻이 된다. 이번 조사를 통해 실제 큰 금전적 피해가 발생하고 있음을 클래로티는 알 수 있었다고 한다. “응답자의 절반 이상(45%)이 지난 12개월 동안 CPS를 겨냥한 사이버 공격 때문에 50만 달러 이상의 돈을 잃었다고 보고했습니다. 27%는 100만 달러 이상의 손실을 입었다고 밝혔습니다.”
특히 매출 손실, 협박금 지불 또는 서버 및 단말기 복구와 같은 기술적 비용, 브랜드 및 기업 평판에 미치는 영향 등 구체적인 재정적 손실이 언급됐다. 전 세계적으로 39%의 응답자는 매출 손실을 가장 큰 재정적 영향으로 꼽았으며, 27%는 지난 12개월 동안 100만 달러 이상의 피해를 입었고, 12%는 500만 달러 이상의 손실을 경험했다고 답했다.
2. 복구 비용과 랜섬웨어로 인한 위협, 멈추지 않아
랜섬웨어가 미치는 재정적 영향 중 가장 중요한 것은 ‘복구 비용’인 것으로 나타났다. “제조업, 전력 및 에너지, 의료 조직과 관련된 랜섬웨어 사건들은 긴 복구 시간을 필요로 합니다. 국가가 지원하는 해킹 공격의 경우라면 백업이 더 조심스러워집니다. 정말로 신뢰할 수 있는 전문가나 전문 기업과 함께 백업을 진행해야 하기 때문입니다. 서버 이미징을 다시 하고, 위험 완화 조치들을 적용하고, 펌웨어를 업데이트 하는 등의 복구 과정 자체는 기술적으로 난이도가 높기도 합니다.”
문제는 복구가 진행되는 동안 다운타임이 발생한다는 것이다. 이는 대부분의 경우 서비스가 마비된다는 걸 뜻한다. “의료 기관의 경우, 서비스가 마비되는 시간이 길어지면 질수록 지역 사회에 인명과 관계된 피해를 미칩니다. 이번 조사에서 응답자의 절반 정도(49%)가 복구 과정에 소요된 시간이 일주일 이상이라고 답했고, 29%는 한 달 이상 걸렸다고도 답했습니다. 이는 실질적인 복구 비용 이상의 손해를 야기할 수밖에 없는 기간입니다.”
사회 기반 시설이 랜섬웨어로 인해 마비되었을 때 피해자들은 범인들이 요구하는 돈을 내는 경향을 보이기도 한다. 복구 기간이 위에서 언급한 것처럼 오래 걸리기 때문이다. 차라리 범인들에게 돈을 내는 게 더 저렴하고, 많은 시간을 아낄 수 있기도 하다. 하지만 경찰이나 사이버 보안 전문가들은 대체적으로 돈을 내지 않는 것을 권고한다. 사이버 범죄 산업이 그 돈으로 육성되는 게 더 큰 위협일 수 있다는 게 그 이유다.
“실제로 절반 이상의 조직(53%)이 50만 달러 이상의 돈을 범인들에게 지불한 것으로 조사되고 있습니다. 16%는 심지어 500만 달러 이상의 돈을 지급했다고도 밝혔습니다. 의료 분야는 이런 부분에서 특히 취약한데, 아니나 다를까 78%의 의료 분야 조직들이 50만 달러 이상의 돈을 범인들에게 낸 것으로 조사됐습니다. 아무래도 환자의 생명과 상태라는 게 시간에 상당히 민감하기 때문에 그런 결정을 할 수밖에 없는 것으로 보입니다.”
그래서 자연스럽게 나타나는 현상이 ‘사이버 보험에 가입’하는 것이다. 랜섬웨어 공격에 부담을 느낀 조직들이 점점 더 많이 보험에 가입하고 있는 것으로 조사되고 있다. 하지만 랜섬웨어 피해로 인한 보상을 받으려면 여러 가지 까다로운 조건을 충족시켜야 하며, 보험 제공 업체와 고객사 간의 조율에서 마찰이 없지 않은 게 현실이다. 즉 사이버 보험이 랜섬웨어에 대한 유일한 방비책이 될 수는 없다는 의미가 된다.
3. 기업과 조직 운영에도 심각한 영향이 있어
2023년 말, 미국과 이스라엘의 수도 시설들에서 해킹 사고가 발생했다. 당시 공격자는 이스라엘에서 개발한 산업 제어 시스템(ICS)에서 발견된 취약점을 익스플로잇 했었던 것으로 밝혀졌다. 그 공격자는 이란 혁명수비대와 관련이 있는 것으로 추정되고 있으며, 유니트로닉스(Unitronics)의 프로그래머블 로직 컨트롤러(PLC)와 인간-기계 인터페이스(HMI) 컨트롤러를 훼손시키는 데에까지 공격을 성공시켰다. 이것으로 실질적인 피해는 없었으나, 사회적 공포감을 조성하기에는 충분했다.
이런 일들은 병원에서도 자주 발생한다. 랜섬웨어에 당한 병원은 더 이상 환자를 치료할 수 없어 예정됐던 수술을 취소하거나 외래 환자들을 다른 병원으로 돌려보내곤 한다. 이는 환자들의 생명과 직결된 문제이기 때문에 대단히 심각한 결과를 초래할 수 있으며, 실제 이런 상황 가운데 사망한 사람도 존재한다.
이번 조사에서 응답자들은 사이버 물리 시스템을 겨냥한 공격이 운영이라는 측면에서 큰 영향을 미친다는 것을 인정했다. 특히 ‘다운타임’ 즉 마비된 채 흘러가는 시간이 지속되는 것이 그 자체로 큰 피해가 되는데, 응답자들의 절반가량인 49%가 12시간 이상 운영을 중단해야만 하는 상황을 경험했다고 답했다. 1/3은 하루 이상의 다운타임을 경험했다고 밝혔다. 이 시간 동안 제조사들은 제조하지 못해 전체 유통망에 피해를 입히게 되고, 안전 시스템은 대중들을 위험에 빠트리며, 병원은 생명을 구하지 못하게 된다.
4. 제3자에 의한 원격 접속 및 노출 문제 심각
현재 기반 시설, 공장, 병원 등의 네트워크 관리자들은 사이버 물리 시스템이라면 원격 접속을 통해 관리할 수 있어야 한다고 생각하는 경향을 가지고 있다. 이번 조사에 참여한 응답자의 45%는 “사이버 물리 자산의 절반 이상이 온라인에 연결되어 있다”고 답하기도 했다. “직원들은 물론 서드파티 업체 혹은 파트너사들이 계속해서 접속을 요구하고 있는 상황입니다. 연결되어야만 원활한 업무가 가능하니까요. 그래서 대부분의 경우 이런 요구가 있을 때 인터넷을 통한 연결을 허용해줍니다.”
응답자의 32%는 “사이버 물리 시스템을 인터넷에 직접 연결했다”고 답했는데, 이 때 개방형 포트를 사용하는 등 보안의 측면에서 꽤나 허술한 모습을 보였음이 드러났다. 또한 응답자의 36%는 VPN을 통해 연결하고 있다고 해 인터넷에 직접 연결하는 것보다는 안전한 방법을 택하는 사람이 조금 더 많음을 알리기도 했다. 하지만 대부분의 보안 전문가들은 ICS나 의료 장비를 보호하는 데에 있어 VPN은 적합하지 않다는 의견이다. “VPN에 더해 세션 기록을 감사하고, 역할을 기반으로 한 통제 장치를 마련하며, 다중 인증을 도입하는 등의 보안 강화 조치가 더 있어야 합니다.”
사이버 물리 시스템이 인터넷에 직접 연결되거나 VPN만을 통해서 온라인화 되었을 때 공격자는 이런 장치들을 쉽게 찾아낼 수 있다. 그런 후 무작위 대입 등의 공격을 통해 접근을 시도하며, 적잖은 비율로 성공한다. 성공하지 못한다 하더라도, 누군가 계속해서 접속을 시도한다는 것만으로도 이미 불필요한 위험이다. 게다가 이런 장치들에는 자체적인 취약점이 있는 경우가 많아 잠재적 위험이 크다는 것도 문제다.
조직이 지나치게 많은 솔루션을 구축하는 것도 위험 요소다. 이번 조사에 따르면 전체 조직의 55%가 4개 이상의 원격 접속 도구를 운영하고 있으며, 33%는 6개 이상을 사용하고 있다고 한다. 뿐만 아니라 79%는 OT 네트워크에서 기업용이 아닌 도구, 즉 비전문적인 도구를 두 개 이상 설치하고 있기도 했다. 그 중 대표적인 것이 팀뷰어(TeamViewer)와 애니데스크(AnyDesk)인데, 위 79%의 응답자는 이 두 가지 앱들에 대한 침해를 지난 1년 동안 최소 한 번 겪은 바 있는 것으로 조사됐다. 참고로 팀뷰어를 사용하는 조직은 89%, 애니데스크는 63%였다. “이런 모든 것들은 전부 ‘침투 경로’가 될 수 있고, 랜섬웨어 공격자들은 이런 것들을 적극 악용합니다. 그러므로 보안 담당자들이 죄다 막아야 할 구멍이 많아지게 됩니다.”
서드파티로 인한 침해 사건도 랜섬웨어 방어에 있어 반드시 고려해야 할 것들이다. “예를 들어 체인지헬스케어(Change Healthcare)의 경우 올해 2월 랜섬웨어 공격이 있었지요. 의료 분야에서 가장 큰 청구 결제 대행 업체인데 수주 동안 마비되었습니다. 그래서 의료 업계 종사자들이 재정적 곤란에 부딪히게 됐습니다. 의료 기관의 80%가 청구 불이행 및 급여 미지급으로 신고를 당하거나 매출 손실을 겪었습니다. 체인지헬스케어라는 서드파티가 랜섬웨어 당했는데 수많은 의료 기관들과 사람들이 금전적 어려움을 경험할 수밖에 없던, 매우 상징적인 사건입니다..”
이런 상황에서 CISO들이 할 수 있는 일은?
이처럼 OT 환경과, 그런 환경에서 사용되는 사이버 물리 시스템에 대한 랜섬웨어의 위협이 증가하고 있는 상황에서 CISO들이 할 수 있는 일은 무엇일까? 클래로티는 다음 몇 가지를 제안한다.
1) 자산 목록 작성 및 관리 : 관리하고 보호해야 할 자산이 무엇인지 빠짐없이 알고 있어야 한다. 이는 곧 가시성 확보와도 동일한 말이 된다. 네트워크 내 모든 하드웨어, 모든 소프트웨어, 모든 애플리케이션, 모든 데이터를 파악하고 있어야 하며, 각각의 것을 어떻게 관리하고 어느 정도로 철저히 보호해야 하는지를 알고 있어야 한다.
2) 노출 관리 : 위에서 파악한 모든 자산들이 외부에 어떻게, 얼마나 노출되었는지 아는 것은 그 다음이다. 그리고 파악 과정을 통해 알게 된 내용들에 따라 어떤 조치를 취할지 역시 결정할 수 있어야 한다. 노출을 전혀 시켜야 하지 말아야 할 것들이 있는가 하면, 어느 정도 노출을 허용해야 하는 것도 있으니 이것들을 적절히 분류하여 관리해야 한다. 한 번 분류된 것이 영원히 고착화 되는 것은 아니므로 상황에 맞게 재검토하는 것도 필요하다.
3) 접근 방법에 대한 관리 : 우리 네트워크 내 우리 자산에 접근하는 건 우리 회사 직원들만이 아니다. 어떤 사업을 진행하느냐에 따라 외부 업체, 파트너사, 심지어 소비자가 접근해야 할 수도 있다. 초연결시대이니만큼 다방면의 접근을 허용하는 기업들이 많은데, 그 접근 방식(즉 연결 방식)이 안전한가 끊임없이 점검하고 확인하는 작업이 필요하다. 안전한 연결을 가능하게 해 주는 기술들이 시장에 여럿 존재하는 가장 알맞은 것을 찾아 구축해야 할 수도 있다.
4) 네트워크 보호 : 연결성 증가로 인해 각종 연결의 방식과 상황이 늘어나기도 했지만, 또 하나 데이터 역시 폭발적으로 많아지고 있다. 데이터의 양도 문제인데, 그 데이터들이 활발히 교환되고 있다는 것도 문제다. 이런 데이터의 이동은 네트워크 안에서 이뤄지고 있다. 그러므로 네트워크를 늘 모니터링 해서 민감한 데이터가 어디론가 빠져나가고 있지는 않은지 확인하는 건 필수다.
5) 위협 탐지 : 네트워크를 지켜본다 한들 모든 위협을 다 식별할 수 있는 건 아니다. 감시자의 눈을 피해 들어오는 것들이 있다. 따라서 모니터링 외에도 위협을 탐지할 수 있는 다른 방법들을 가동시키는 게 중요하다. 그것도 실시간으로 탐지할 수 있어야 하는데, 이 역시 여러 가지 솔루션들이 존재하므로 꼼꼼히 조사해 필요한 걸 찾아내야 한다.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 사이버 공격이 국가 안보에까지 영향을 미친다는 건 이제 그 누구도 부정할 수 없다. 이 때문에 사이버 보안 강화는 점점 더 국가 차원에서 진행되어야 하는 것이 되고 있는데, 이런 분위기에서 집중 조명을 받는 것이 바로 OT와 IoT이다. 여기에는 각종 공장 시설에서 사용되고 있는 장비들은 물론 의료 현장에서 사용되는 기술과 건물 관리를 위한 시스템들 역시 포함되어 있다.
[이미지 = gettyimagesbank]
OT 보안 전문 업체 클래로티(Claroty)가 최근 조사한 바에 의하면 “국가 지원 공격자들만이 아니라 랜섬웨어 공격자들까지도 이런 장비들과 시스템들을 노리기 시작했다”고 한다. 이런 기술들이 사회 전체에 미치는 영향을 익히 알고 있기 때문이다. “공정이 중단되고, 서비스가 더 이상 제공되지 않으며, 건물의 관리 시스템이 마비되고 환자를 치료할 수 없을 때 국가 경제와 안보가 위협을 받을 수 있습니다. 이것을 랜섬웨어 공격자들도 알고 있습니다.”
하지만 랜섬웨어 공격자들이 이런 시스템들을 공격했을 때 구체적으로 어떤 피해가 일어날까? 또한 이 랜섬웨어로 인해 어떤 현상들이 벌어지고 있을까? 클래로티가 각 분야의 CISO들을 만나 물었고, 다음과 같은 사실들을 알아냈다. 이를 상세히 풀어보면 다음과 같다.
1. 사이버 물리 시스템 공격으로 재정 손실을 겪는 CISO들
사이버 물리 시스템(CPS)을 겨냥한 공격이 점점 빈번해지고 있다. 예를 들어 러시아의 APT인 샌드웜(Sandworm)과 이란의 혁명수비대의 경우 우크라이나의 전력 인프라와 미국의 수도 공급 시설을 대상으로 사이버 공격을 여러 차례 실시한 적이 있다. 병원은 수년 전부터 랜섬웨어 공격자들의 주력 표적으로 남아있으며, 이는 심각한 사회 문제가 되어가는 중이다. 의료 기관을 공격하는 데 성공한 랜섬웨어 공격자들은 환자들의 생명을 담보로 수백만 달러의 돈을 요구하고 있다.
사회 기반 시설이 마비될 경우 광범위한 손실이 초래된다는 건 다시 말해 피해자들이 큰 규모의 돈을 낼 가능성이 높다는 뜻이 된다. 이번 조사를 통해 실제 큰 금전적 피해가 발생하고 있음을 클래로티는 알 수 있었다고 한다. “응답자의 절반 이상(45%)이 지난 12개월 동안 CPS를 겨냥한 사이버 공격 때문에 50만 달러 이상의 돈을 잃었다고 보고했습니다. 27%는 100만 달러 이상의 손실을 입었다고 밝혔습니다.”
특히 매출 손실, 협박금 지불 또는 서버 및 단말기 복구와 같은 기술적 비용, 브랜드 및 기업 평판에 미치는 영향 등 구체적인 재정적 손실이 언급됐다. 전 세계적으로 39%의 응답자는 매출 손실을 가장 큰 재정적 영향으로 꼽았으며, 27%는 지난 12개월 동안 100만 달러 이상의 피해를 입었고, 12%는 500만 달러 이상의 손실을 경험했다고 답했다.
2. 복구 비용과 랜섬웨어로 인한 위협, 멈추지 않아
랜섬웨어가 미치는 재정적 영향 중 가장 중요한 것은 ‘복구 비용’인 것으로 나타났다. “제조업, 전력 및 에너지, 의료 조직과 관련된 랜섬웨어 사건들은 긴 복구 시간을 필요로 합니다. 국가가 지원하는 해킹 공격의 경우라면 백업이 더 조심스러워집니다. 정말로 신뢰할 수 있는 전문가나 전문 기업과 함께 백업을 진행해야 하기 때문입니다. 서버 이미징을 다시 하고, 위험 완화 조치들을 적용하고, 펌웨어를 업데이트 하는 등의 복구 과정 자체는 기술적으로 난이도가 높기도 합니다.”
문제는 복구가 진행되는 동안 다운타임이 발생한다는 것이다. 이는 대부분의 경우 서비스가 마비된다는 걸 뜻한다. “의료 기관의 경우, 서비스가 마비되는 시간이 길어지면 질수록 지역 사회에 인명과 관계된 피해를 미칩니다. 이번 조사에서 응답자의 절반 정도(49%)가 복구 과정에 소요된 시간이 일주일 이상이라고 답했고, 29%는 한 달 이상 걸렸다고도 답했습니다. 이는 실질적인 복구 비용 이상의 손해를 야기할 수밖에 없는 기간입니다.”
사회 기반 시설이 랜섬웨어로 인해 마비되었을 때 피해자들은 범인들이 요구하는 돈을 내는 경향을 보이기도 한다. 복구 기간이 위에서 언급한 것처럼 오래 걸리기 때문이다. 차라리 범인들에게 돈을 내는 게 더 저렴하고, 많은 시간을 아낄 수 있기도 하다. 하지만 경찰이나 사이버 보안 전문가들은 대체적으로 돈을 내지 않는 것을 권고한다. 사이버 범죄 산업이 그 돈으로 육성되는 게 더 큰 위협일 수 있다는 게 그 이유다.
“실제로 절반 이상의 조직(53%)이 50만 달러 이상의 돈을 범인들에게 지불한 것으로 조사되고 있습니다. 16%는 심지어 500만 달러 이상의 돈을 지급했다고도 밝혔습니다. 의료 분야는 이런 부분에서 특히 취약한데, 아니나 다를까 78%의 의료 분야 조직들이 50만 달러 이상의 돈을 범인들에게 낸 것으로 조사됐습니다. 아무래도 환자의 생명과 상태라는 게 시간에 상당히 민감하기 때문에 그런 결정을 할 수밖에 없는 것으로 보입니다.”
그래서 자연스럽게 나타나는 현상이 ‘사이버 보험에 가입’하는 것이다. 랜섬웨어 공격에 부담을 느낀 조직들이 점점 더 많이 보험에 가입하고 있는 것으로 조사되고 있다. 하지만 랜섬웨어 피해로 인한 보상을 받으려면 여러 가지 까다로운 조건을 충족시켜야 하며, 보험 제공 업체와 고객사 간의 조율에서 마찰이 없지 않은 게 현실이다. 즉 사이버 보험이 랜섬웨어에 대한 유일한 방비책이 될 수는 없다는 의미가 된다.
3. 기업과 조직 운영에도 심각한 영향이 있어
2023년 말, 미국과 이스라엘의 수도 시설들에서 해킹 사고가 발생했다. 당시 공격자는 이스라엘에서 개발한 산업 제어 시스템(ICS)에서 발견된 취약점을 익스플로잇 했었던 것으로 밝혀졌다. 그 공격자는 이란 혁명수비대와 관련이 있는 것으로 추정되고 있으며, 유니트로닉스(Unitronics)의 프로그래머블 로직 컨트롤러(PLC)와 인간-기계 인터페이스(HMI) 컨트롤러를 훼손시키는 데에까지 공격을 성공시켰다. 이것으로 실질적인 피해는 없었으나, 사회적 공포감을 조성하기에는 충분했다.
이런 일들은 병원에서도 자주 발생한다. 랜섬웨어에 당한 병원은 더 이상 환자를 치료할 수 없어 예정됐던 수술을 취소하거나 외래 환자들을 다른 병원으로 돌려보내곤 한다. 이는 환자들의 생명과 직결된 문제이기 때문에 대단히 심각한 결과를 초래할 수 있으며, 실제 이런 상황 가운데 사망한 사람도 존재한다.
이번 조사에서 응답자들은 사이버 물리 시스템을 겨냥한 공격이 운영이라는 측면에서 큰 영향을 미친다는 것을 인정했다. 특히 ‘다운타임’ 즉 마비된 채 흘러가는 시간이 지속되는 것이 그 자체로 큰 피해가 되는데, 응답자들의 절반가량인 49%가 12시간 이상 운영을 중단해야만 하는 상황을 경험했다고 답했다. 1/3은 하루 이상의 다운타임을 경험했다고 밝혔다. 이 시간 동안 제조사들은 제조하지 못해 전체 유통망에 피해를 입히게 되고, 안전 시스템은 대중들을 위험에 빠트리며, 병원은 생명을 구하지 못하게 된다.
4. 제3자에 의한 원격 접속 및 노출 문제 심각
현재 기반 시설, 공장, 병원 등의 네트워크 관리자들은 사이버 물리 시스템이라면 원격 접속을 통해 관리할 수 있어야 한다고 생각하는 경향을 가지고 있다. 이번 조사에 참여한 응답자의 45%는 “사이버 물리 자산의 절반 이상이 온라인에 연결되어 있다”고 답하기도 했다. “직원들은 물론 서드파티 업체 혹은 파트너사들이 계속해서 접속을 요구하고 있는 상황입니다. 연결되어야만 원활한 업무가 가능하니까요. 그래서 대부분의 경우 이런 요구가 있을 때 인터넷을 통한 연결을 허용해줍니다.”
응답자의 32%는 “사이버 물리 시스템을 인터넷에 직접 연결했다”고 답했는데, 이 때 개방형 포트를 사용하는 등 보안의 측면에서 꽤나 허술한 모습을 보였음이 드러났다. 또한 응답자의 36%는 VPN을 통해 연결하고 있다고 해 인터넷에 직접 연결하는 것보다는 안전한 방법을 택하는 사람이 조금 더 많음을 알리기도 했다. 하지만 대부분의 보안 전문가들은 ICS나 의료 장비를 보호하는 데에 있어 VPN은 적합하지 않다는 의견이다. “VPN에 더해 세션 기록을 감사하고, 역할을 기반으로 한 통제 장치를 마련하며, 다중 인증을 도입하는 등의 보안 강화 조치가 더 있어야 합니다.”
사이버 물리 시스템이 인터넷에 직접 연결되거나 VPN만을 통해서 온라인화 되었을 때 공격자는 이런 장치들을 쉽게 찾아낼 수 있다. 그런 후 무작위 대입 등의 공격을 통해 접근을 시도하며, 적잖은 비율로 성공한다. 성공하지 못한다 하더라도, 누군가 계속해서 접속을 시도한다는 것만으로도 이미 불필요한 위험이다. 게다가 이런 장치들에는 자체적인 취약점이 있는 경우가 많아 잠재적 위험이 크다는 것도 문제다.
조직이 지나치게 많은 솔루션을 구축하는 것도 위험 요소다. 이번 조사에 따르면 전체 조직의 55%가 4개 이상의 원격 접속 도구를 운영하고 있으며, 33%는 6개 이상을 사용하고 있다고 한다. 뿐만 아니라 79%는 OT 네트워크에서 기업용이 아닌 도구, 즉 비전문적인 도구를 두 개 이상 설치하고 있기도 했다. 그 중 대표적인 것이 팀뷰어(TeamViewer)와 애니데스크(AnyDesk)인데, 위 79%의 응답자는 이 두 가지 앱들에 대한 침해를 지난 1년 동안 최소 한 번 겪은 바 있는 것으로 조사됐다. 참고로 팀뷰어를 사용하는 조직은 89%, 애니데스크는 63%였다. “이런 모든 것들은 전부 ‘침투 경로’가 될 수 있고, 랜섬웨어 공격자들은 이런 것들을 적극 악용합니다. 그러므로 보안 담당자들이 죄다 막아야 할 구멍이 많아지게 됩니다.”
서드파티로 인한 침해 사건도 랜섬웨어 방어에 있어 반드시 고려해야 할 것들이다. “예를 들어 체인지헬스케어(Change Healthcare)의 경우 올해 2월 랜섬웨어 공격이 있었지요. 의료 분야에서 가장 큰 청구 결제 대행 업체인데 수주 동안 마비되었습니다. 그래서 의료 업계 종사자들이 재정적 곤란에 부딪히게 됐습니다. 의료 기관의 80%가 청구 불이행 및 급여 미지급으로 신고를 당하거나 매출 손실을 겪었습니다. 체인지헬스케어라는 서드파티가 랜섬웨어 당했는데 수많은 의료 기관들과 사람들이 금전적 어려움을 경험할 수밖에 없던, 매우 상징적인 사건입니다..”
이런 상황에서 CISO들이 할 수 있는 일은?
이처럼 OT 환경과, 그런 환경에서 사용되는 사이버 물리 시스템에 대한 랜섬웨어의 위협이 증가하고 있는 상황에서 CISO들이 할 수 있는 일은 무엇일까? 클래로티는 다음 몇 가지를 제안한다.
1) 자산 목록 작성 및 관리 : 관리하고 보호해야 할 자산이 무엇인지 빠짐없이 알고 있어야 한다. 이는 곧 가시성 확보와도 동일한 말이 된다. 네트워크 내 모든 하드웨어, 모든 소프트웨어, 모든 애플리케이션, 모든 데이터를 파악하고 있어야 하며, 각각의 것을 어떻게 관리하고 어느 정도로 철저히 보호해야 하는지를 알고 있어야 한다.
2) 노출 관리 : 위에서 파악한 모든 자산들이 외부에 어떻게, 얼마나 노출되었는지 아는 것은 그 다음이다. 그리고 파악 과정을 통해 알게 된 내용들에 따라 어떤 조치를 취할지 역시 결정할 수 있어야 한다. 노출을 전혀 시켜야 하지 말아야 할 것들이 있는가 하면, 어느 정도 노출을 허용해야 하는 것도 있으니 이것들을 적절히 분류하여 관리해야 한다. 한 번 분류된 것이 영원히 고착화 되는 것은 아니므로 상황에 맞게 재검토하는 것도 필요하다.
3) 접근 방법에 대한 관리 : 우리 네트워크 내 우리 자산에 접근하는 건 우리 회사 직원들만이 아니다. 어떤 사업을 진행하느냐에 따라 외부 업체, 파트너사, 심지어 소비자가 접근해야 할 수도 있다. 초연결시대이니만큼 다방면의 접근을 허용하는 기업들이 많은데, 그 접근 방식(즉 연결 방식)이 안전한가 끊임없이 점검하고 확인하는 작업이 필요하다. 안전한 연결을 가능하게 해 주는 기술들이 시장에 여럿 존재하는 가장 알맞은 것을 찾아 구축해야 할 수도 있다.
4) 네트워크 보호 : 연결성 증가로 인해 각종 연결의 방식과 상황이 늘어나기도 했지만, 또 하나 데이터 역시 폭발적으로 많아지고 있다. 데이터의 양도 문제인데, 그 데이터들이 활발히 교환되고 있다는 것도 문제다. 이런 데이터의 이동은 네트워크 안에서 이뤄지고 있다. 그러므로 네트워크를 늘 모니터링 해서 민감한 데이터가 어디론가 빠져나가고 있지는 않은지 확인하는 건 필수다.
5) 위협 탐지 : 네트워크를 지켜본다 한들 모든 위협을 다 식별할 수 있는 건 아니다. 감시자의 눈을 피해 들어오는 것들이 있다. 따라서 모니터링 외에도 위협을 탐지할 수 있는 다른 방법들을 가동시키는 게 중요하다. 그것도 실시간으로 탐지할 수 있어야 하는데, 이 역시 여러 가지 솔루션들이 존재하므로 꼼꼼히 조사해 필요한 걸 찾아내야 한다.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
