ICS·SCADA, 외부 연결 늘어나며 공격 노출 위협 증가
[데이터넷] 코로나19는 전 사회에 스마트 혁명을 촉진시키고 있다. 대면업무와 물리적인 이동이 제한되면서 글로벌 공급망을 운영하던 제조업계는 탈 세계화를 추진하면서 소비자와 가까운 곳에서, 시장의 흐름에 재빠르게 반응하며 제품을 생산·공급하는 방안을 모색하고 있다.
비대면 업무가 강요되면서 집이나 원격지에서 업무를 하는 환경이 이어지고 있는데, 사회기반시설 등 중요시설도 원격에서 관리해야 하는 수요가 늘어나고 있다. 특히 IoT가 모든 일상에 접목되면서 스마트홈, 스마트시티, 스마트그리드, 스마트팩토리 등의 확산이 가속화되고 있다.
스마트 혁명이 가속화되면서 폐쇄망으로 운영되던 중요 시설들이 점차 외부와의 통신을 늘려가고 있다. 폐쇄망 내에서 발생하는 이벤트를 IT에서 분석해 생산공정과 재고관리를 효율화하는 한편, 장애·침해에 선제적으로 대응하고자 한다. 여기에 AI를 접목해 더 지능적으로, 관리자의 개입 없이 자동으로 관리할 수 있도록 하는 시도가 이어지고 있으며, AI 분석 효과를 높이기 위해 클라우드에 연결하고자 하는 시도가 늘어나고 있다.
SANS 인스티튜트의 ‘OT·ICS 사이버 보안 조사’에 따르면 OT 네트워크의 34.5%가 인터넷에 연결돼 있고, 66.4%가 타사 사설 인프라 또는 기업 비즈니스 네트워크에 연결되어 있는 것으로 나타났다. 연결성이 높아진 OT·ICS는 최신 IT 기능을 접목해 편의성을 향상하고 비용을 절감하며 IT·OT 융합을 빠르게 한다고 보고서는 설명한다.
OT 타깃 사이버 스파이·랜섬웨어 증가
OT 네트워크가 외부와 연결되면서 효율성을 높일 수 있지만, 사이버 침해 가능성이 높아진다는 문제가 있다. SANS 조사에 따르면 12개월 동안 3회 이상 사고를 경험한 제어시스템 비율이 2017년 35.3%에서 2019년 57.7%로 증가한 것으로 나타났다. 딜로이트 조사에서는 제조업체의 90%가 사이버 침해 이벤트를 발견했다고 답하기도 했다.
포티넷과 MAPI(Manufacturers Alliance for Productivity and Innovation)가 발간한 ‘기반시설·제조분야 운영기술(OT) 인프라를 보호하는 방법: 사이버위험, 대비성, 복원력 관리’ 보고서에서는 제조업 OT 네트워크 중 외부 사이버 위협에 노출되는 비중이 SCADA 39%, ICS 31%에 달한다.
연결성이 높아지면 공격면이 넓어진다. 제조업 뿐 아니라 정부·국방 등 국가 주요 시설도 외부와의 연결이 늘어나면서 사이버 공격에 노출되고 있다. 공격자들은 수익을 얻기 위해 혹은 정치적인 목적으로 공격을 진행한다.
사이버 스파이 활동은 물론이고, 주요 시스템을 파괴해 사회를 혼란시킬 목적으로도 공격한다. 사회 주요 시설이 파괴되면 국민들의 안전이 위협을 받을 수 있다. 원전을 폭파하거나 전력시설을 마비시키고 교통 시스템을 파괴하는 등의 공격이 발생했을 때 사회 안전을 위협받게 된다.
랜섬웨어도 심각한 문제다. 중요 데이터를 인질로 삼아 돈을 갈취하는 형태에서 진화한 랜섬웨어는 ICS를 중단시키고 돈을 보내지 않으면 ICS를 영원히 중단시키거나 파괴해 막대한 피해를 입힌다. 워너크라이, 트라이톤, 블랙에너지, 인더스로이어 등의 공격이 악명높은 사이버 범죄집단에 의해 지속적으로 전개되고 있다.
최민화 삼정KPMG 상무는 “IT 보안은 신용, 기술정보, 고객정보 등의 침해를 입지만, OT는 생산·운영 차질로 인한 막대한 피해를 입는다. 랜섬웨어 공격으로 1년의 수익을 모두 잃을 수도 있으며, 시스템 파괴나 오작동으로 인명피해까지 발생할 수 있다”며 “물리보안과 사이버 보안 모든 면을 감안한 OT 보안 전략이 필수”라고 강조했다.
ICS·SCADA 56% 침해사고 겪어…42% 운영 중단 피해
기업·기관들도 OT 타깃 공격의 위험성에 대해 인식하고 있는 것은 분명하다. 딜로이트와 MAPI가 진행한 설문에서 제조업체의 48%는 스마트팩토리 위협 중 사이버 공격을 포함한 운영상의 위협이 가장 큰 도전이라고 답했다.
포티넷과 MAPI가 진행한 조사에서는 2019년 모든 산업에서 ICS·SCADA 운영 조직의 56%가 보안 침해 사고를 당했다고 답했으며, 제조업체 5곳 중 3곳이 최근 12개월 이내에 데이터에 무단 액세스하는 침해를 겪었고, 그 사고 중 42%가 운영이 중단돼 매출에 직접적인 타격을 받았다.
그 대표적인 예로 세계 최대 알루미늄 제조기업 노르스크 하이드로를 들 수 있다. 2019년 랜섬웨어 공격으로 유럽, 미국 등의 공장을 폐쇄해야 했으며, 상당 기간 알루미늄 생산에 차질을 빚어 전 세계 알루미늄 가격을 상승시키는 결과로 이어지기도 했다. 노르스크 하이드로는 공격자에게 금전을 지불하지 않고 복구했지만, 9개월 이상의 시간이 걸린 후에도 완전히 정상으로 복구하지는 못했다. 피해 금액이 정확히 공개되지는 않았지만 공격 당했을 당시 6000만달러(약 716억원)에 이를 것이라는 분석이 나온 바 있다.
일본 자동차기업 혼다는 6월 해킹으로 미국 등 11개국 공장을 일시에 중단되는 피해를 입었다. 코로나19로 인해 4월 공장 가동을 중단하며 막대한 손해를 입은 혼다가 해킹피해까지 입으면서 심각한 위기에 빠진 것이다.
지난 4월에는 이스라엘 수자원 시설이 해킹을 당했는데, 공격자는 용수 공급과 폐수처리 시스템, 염소를 포함한 화학물질 첨가 등을 관장하는 프로그램을 다운시키려 한 정황이 발견됐다. 다행히 실제 공격이 일어나기 전에 발견돼 피해는 막을 수 있었다.
우리나라에서도 수많은 OT 타깃 공격이 발생했으며, 특히 코로나19 기간 동안 여러 제조사들이 랜섬웨어 공격으로 큰 피해를 입은 것으로 알려진다.
