랜섬웨어가 생산공장, 공항, 발전시스템을 공격하면서 폐쇄망 보안에 빨간불이 켜졌다. 폐쇄망은 가장 높은 수준의 보안 정책으로 보호돼야 하지만, 실제로는 보안에 소홀한 관리 환경으로 인해 보안에 매우 취약한 환경이 됐다. 폐쇄망 네트워크는 중단 없이 운영돼야 해 소프트웨어 업데이트가 어렵고, 보안 전문가가 적어 제대로 된 보안 정책을 수립하고 운영하기 어렵다. 그럴수록 기본 보안 수칙에 충실하는 것이 정답이다. 다계층 방어 시스템을 구성하고, 관리자의 보안 수칙을 강화하며, 정기적인 취약점 진단, 모의해킹, 지능적인 보안관제로 리스크를 줄여나가야 한다.<편집자>
“공격자는 모든 시스템을 장악했다”
가장 강력한 폐쇄망 보호 방법은 모든 예외를 배제하고 폐쇄망을 인터넷으로부터 완벽하게 단절시키는 것이다. 인터넷을 사용할 일이 있다면 인터넷 전용망과 PC를 두어야 하며, 개인 업무는 업무용 PC에서 하지 말아야 한다. 자료 전송 시 반드시 안전한 망연계 시스템을 사용하고, 폐쇄망과 업무망, 인터넷망 모두에 공격 방어를 위한 시스템을 설치해 운영해야 한다.
윤삼수 파이어아이코리아 전무는 “망을 분리한 후 다시 연결하는 것 자체가 모순이다. 폐쇄망은 공격자가 얻을 수 있는 수익이 많기 때문에 공격자는 폐쇄망이 외부와 커넥션이 발생하기만을 기다렸다 침투한다. 한 번 침투한 후 곳곳에 공격 거점을 만들어놓기 때문에 하나의 거점을 발견해 제거했다고 해서 공격을 차단했다고 할 수도 없다”고 지적했다.
보안 전문가들은 공격자가 이미 시스템을 장악하고 있다는 것을 전제로 대응해야 한다고 입을 모은다. 시스템 전체에서 취약점을 제거하고 진행되는 공격을 차단하며, 이미 진행되고 있는 침해사고에 대응하는 다계층 방어 전략을 수행해야 한다. 최초 공격이 시작되는 시점부터 위협을 인지하고 대응하며 방어책을 구현하는 과정을 단축시켜 피해규모를 줄여나갈 수 있다.
ICS 보안에 가장 좋은 방식은 화이트리스트다. 사전에 승인된 프로세스만을 수행하면 공격자가 침투해도 시스템 파괴, 데이터 파괴 등의 공격 행위를 차단해 안전하게 ICS를 운영할 수 있다. 많은 경우 ICS는 사전에 정의된 업무만을 수행하기 때문에 화이트리스트 시스템을 적용하기에 적합하다.
아이넷뱅크가 국내에 공급하는 카본블랙의 화이트리스트 기반 보안 솔루션 ‘Cb 프로텍션’은 강력한 애플리케이션 통제 정책을 적용해 허용된 프로세스만을 수행하도록 한다. 랜섬웨어와 같이 데이터를 무단으로 변경하거나 관리자 권한을 탈취하는 등의 허용되지 않은 행위를 차단해 APT 공격을 막는다.
화이트리스트 기술은 보안성은 높지만 모든 프로세스를 지정해야 하기 때문에 관리가 어렵다는 문제가 있다. 프로텍션 제품은 신뢰할 수 있는 서명이 있는 프로세스, 혹은 평판점수가 높은 애플리케이션은 자동으로 허용하는 등 지능적인 통제정책을 적용해 관리 용이성을 높이면서 위험한 행동을 차단한다.
다계층 보안으로 폐쇄망 보호해야
폐쇄망 보안 정책이라고 해서 일반 IT 시스템 보안 정책과 크게 다른 점은 없다. 엔드포인트와 네트워크를 보호하고, 소프트웨어 보안 패치를 최신으로 유지하며, 관리자와 네트워크 접근 단말의 무결성을 인증해야 한다.
일반 IT 시스템과 마찬가지로 폐쇄망에서도 다계층 보안이 반드시 필요하다. 엔드포인트와 네트워크의 취약점을 제거하고, 악성코드가 유입되지 않도록 모니터링·차단해야 하며, 각 시스템의 보안 이벤트를 연계해 은밀하게 진행되는 공격 정황을 탐지한다. 수시로 혹은 정기적으로 전체 시스템에 대한 취약점 점검과 침투테스트로 공격이 발생할 가능성을 제거하며, 글로벌 위협 인텔리전스와 비교해 다른 기관이나 동일 산업군에서 발생한 공격 사례를 참고해 대응해야한다.
파이어아이는 엔드포인트와 웹, 이메일에서 위협을 탐지하고, 전체 네트워크 패킷을 분석해 공격 정황을 파악하며, 아이사이트 위협 인텔리전스를 통해 실시간 위협에 대응한다. 맨디언트 침해대응 서비스로 사전에 침해에 대비하며 침해사고시 정확한 분석으로 추가 공격을 차단하고, 발생한 피해를 복구하는 방법을 찾을 수 있다.
폐쇄망 보호 기술 필수
폐쇄망 시스템 자체의 보안을 강화하는 것도 반드시 필요하다. 폐쇄망을 구성하는 서버는 반드시 보안 정책을 수립해 인증 받은 사용자만이 접근하도록 하며, 인가된 사용자라도 이상행위를 할 때 경고할 수 있는 모니터링 시스템이 적용돼야 한다.
공격으로부터 안전한 서버 시스템을 채택하는 것도 한 방법으로 제안된다. 무정지시스템은 현재 많이 채택하는 시스템은 아니지만, 강력한 안전성을 제공해 각종 공격이나 장애·재해로부터 시스템을 안전하게 지킬 수 있다. 무정지시스템은 금융권 계정계 시스템, 관제 시스템 등 일부 중요 시스템에서 사용되고 있다.
시스템 접근제어는 반드시 적용돼야 하는 보안 정책으로, 서버보안(Secure OS)과 같은 솔루션이 필요하다. 또한 업무별로 존을 분리해 한 영역이 침해를 입었다 해도 다른 존 까지 영향을 받지 않도록 하며, 투팩터 인증템을 적용해 관리자 보안을 강화하는 것이 좋다.
폐쇄망 운영에서 가장 흔하게 발생하는 보안위협은 외주인력에 의한 보안 사고이다. 외주인력이 폐쇄망에 접근해 업무를 할 때 업무 범위와 권한을 철저하게 제한해야 하며, 특권계정을 사용하는 업무라면 계정권한 관리에 더욱 완벽을 기해야 한다. 그러나 관행적으로 외주인력에게 모든 계정 정보를 주고 관리하도록 해 공격에 무방비 상태로 노출되는 경우가 많다. 많은 보안 사고는 ‘인재(人災)’이며, 공격자는 관리가 소홀한 틈을 노려 침투한다.
폐쇄망에서 업무망이나 인터넷망으로 자료를 보내거나 받을 때에는 반드시 보안USB를 시용해야 하며, USB 매체와 저장되는 자료에 보안위배 요소가 없는지 체크해야 한다. 닉스테크의 보안USB는 폐쇄망과 업무망 관리서버를 구분하는 사이트 키를 적용하고 외부망은 별도 정책으로 운영하여 3개의 망을 구별하여 운영이 가능하다. 에브리존의 터보백신은 USB에 백신을 기본으로 탑재하고, 강력한 사용자 키 관리 정책을 제공해 USB를 분실했을 때 다른 사용자가 사용하지 못하도록 한다.
