[데이터넷] 올해 상반기 침해사고가 가장 많이 발생한 업종은 제조업이었다. ADT캡스의 ‘2021년 상반기 보안 트렌드 보고서’에 따르면 국내에서 발생한 침해사고의 29.5%가 제조업에서 발생했으며, 지난해 동기 19.7%에 비해 10%p가량 늘었다. 해외에서도 상수도시설, 송유관 업체 해킹 등 사회 기반시설을 타깃으로 한 랜섬웨어 공격이 발생해 제조시설에 대한 해킹공격이 극성을 부리고 있어 대책 마련이 심각하다.

코로나19로 원격근무가 실시되면서 OT 보안 문제는 더 심각해졌다. 국가 간 이동이나 장거리 이동이 어려워지면서 원격지 생산·운영시설 유지보수를 위해 RDP·VPN 등 원격접속 서비스를 사용해 생산망·제어망에 연결하는 사례가 많았으며 원격접속 서비스의 보안 취약점과 접속권한 계정 탈취를 통한 접속 시도가 이어졌다.

OT/ICS에 클라우드, IoT가 접목되면서 스마트한 시설 운영이 가능하게 됐지만, 그만큼 공격표면이 넓어졌다. OT/ICS는 사이버물리시스템(CPS)이라고도 하는데, 가트너는 CPS를 감지·계산·제어·네트워킹·분석을 조정해 인간을 포함한 물리적 세계와 상호작용하는 시스템으로 정의했다. 사람이 포함된 CPS는 외부와 더 적극적으로 소통하면서 복원력과 적응력이 뛰어난 시스템을 말하며, 그 만큼 외부와의 접점이 넓어지게 된다. 공격자는 IT로 침투해 원격 액세스 권한을 확보하거나 IT와 연결된 OT/CPS로 침투하기 때문에 보안위협이 더 높아진다.

IoT·IIoT가 증가하면 전 세계 수십억대의 IoT 기기가 연결, 공격 영역이 크게 증가할 것으로 예측된다. 이 같은 위협 환경으로 인해 버라이즌은 제조 분야가 다른 산업에 비해 사이버 스파이 공격을 당할 가능성이 8배 높다고 분석한 바 있다.

중소 제조기업, 사이버 범죄자 ‘단골 맛집’

우리나라는 제조강국으로 자리를 굳히기 위해 스마트팩토리 사업을 적극 추진하고 있으며, 이로 인해 공격에 노출되는 지점이 많아졌으며, 공격자가 큰 수익을 낼 수 있는 대규모 제조시설, 보안에 취약한 중소제조기업이 많아 공격자의 ‘단골 맛집’이 될 수 있다.

OT 보안 문제가 심각해지는 결정적인 이유는 OT 보안 전문성이 부족하기 때문이다. 최근 몇 년 동안 OT 보안 경고가 이어지고, 생산망·제어망을 노리는 공격이 잇따르면서 OT 조직도 보안에 대한 경각심을 갖게 됐으며, OT 보안을 위한 계획을 세우는 곳이 많은 것은 사실이다. 그러나 OT 시설에 보안 제품을 더하거나 보안을 위해 정책·프로세스를 바꾸는 것이 쉽지 않다. 가용성이 매우 중요한 OT 시설을 변경했다가 장애가 발생할 수 있다는 점을 우려하는 것이다.

박진성 쿠도커뮤니케이션 전무는 “2년 전과 비교했을 때 OT 보안에 대한 이해도가 높아진 것은 사실이다. 생산·제어시설 운영자와 경영자들이 보안에 대한 필요성을 인지하고 있으며, 보안을 강화하기 위한 다방면의 노력을 시작하고 있다”며 “그러나 OT 보안은 이제 시작하는 단계로, 실제 시장의 성장은 다소 시간이 걸릴 것”이라고 밝혔다.

22년간 방치된 OT 취약점 발견

보이지 않는 것은 보호할 수 없다. 그런데 OT는 보는 것조차 쉽지 않다. OT 설비는 한 번 설치하면 20년 이상 사용하며, 그때그때 상황에 따라 연결한 기기와 외부 장치를 제대로 관리하지 않는다. 처음 구성 상태 그대로 사용하기 때문에 admin/1234 등 취약한 계정 정보나 오래 전 탈취한 관리자 계정으로 OT 시스템에 침투할 수 있다. 개별 현장이나 산업에 특화된 OS·애플리케이션과 네트워크 프로토콜을 사용하기 때문에 범용적인 관리 솔루션으로 통제할 수 없어 가시성 확보에 성공하지 못한다.

가시성을 확보하지 못한 OT는 보안패치도 쉽지 않다. OT 네트워크에 연결된 시스템 중 공개된 취약점에 영향을 받는 설비가 있는지 파악하기 쉽지 않으며, 가용성에 영향을 미칠 것을 우려한 운영자들이 제때 패치하지 않아 취약점 공격에 당하기 쉽다.

클래로티가 2년에 한 번씩 발표하는 ‘2021 ICS 위험 및 취약성 보고서’에서는 2019년부터 2020년까지 OT 제품에 영향 미치는 취약점이 33% 증가한 449개 발견됐으며, 제어망 L1/2 기기를 노리는 공격이 46.3%, OT 네트워크를 노리는 공격이 71.5%에 달했다고 밝혔다.

가트너 보고서에서는 OT/ICS 취약점이 무려 1897일(5.2년) 동안 해결되지 않고 방치됐으며, 밝혀진 취약점 중 가장 오래된 것은 8152일(22.3년)동안 해결되지 않은 것이었다. 또 취약점을 파악하고 해결하는데 걸리는 시간은 평균 134.7일 소요됐다.

시급한 OT 보안 문제를 해결하기 위해서는 OT 자산의 가시성을 확보하고, 제어설비 운영상태를 점검하며, 방치된 취약점, 악성코드를 제거해야 한다. 외부와 무단으로 연결된 포트나 기기를 제거하며, OT 네트워크 세분화와 시스템 접근권한을 파악해 최소권한원칙에 따라 통제정책을 적용한다. OT 전반에 대한 협을 모니터링하는 한편, 연결된 IT 시스템과 통합한 보안관제 시스템을 마련하고, 비즈니스 리스크 관리 관점의 거버넌스를 수립하는 것이 필요하다.

SANS는 이에 더해 OT 전문 위협 헌팅과 사이버 위협 인텔리전스도 필요하다고 강조한다. OT 위협헌팅은 IT와 다른 접근방법이 필요한데, 임베디드 OS·애플리케이션, 독자적인 산업용 프로토콜과 엔지니어링 장치에 전문화된 위협 헌팅 역량이 필요하다. 또 공격자들이 펼치는 OT 특화 공격 전술·전략·프로세스(TTP)를 파악하고, 플레이북을 만들어 대응하는 방법을 마련하는 것도 장기적으로 필요하다.

가트너는 ‘운영기술 보안 마켓 가이드 2021’에서 OT 보안의 6단계를 다음과 같이 정리했다.

1단계 OT 보안 중요성 인식

OT 보안의 중요성을 인식하는 단계다. 사이버 공격을 당했거나 컴플라이언스 위배로 피해를 입었을 때, 정부·지역의 규제준수 요건 위반 등으로 제재를 당했을 때 비로소 인식하는 경우가 많다. 피해가 가시화되기 전 OT 담당 조직이나 IT 보안 조직에서 보안 우려사항을 공유했을 때 환영받지 못하는 일이 많다.

2단계 자산 검색과 네트워크 토폴로지 매킹

OT 보안이 필요하다는 사실을 인지하면 가장 먼저 보호해야 할 자산을 파악하게 된다. OT 자산을 담당하는 조직에서 전사적 OT 아키텍처와 보안 정책·절차를 마련해 운영하는지 확인하고, 개선방안을 찾는다. 든 자산을 가시화하고 네트워크 토폴로지 매핑 플랫폼을 완성해 보안 정책 수립을 위한 기본 정보를 마련한다.

3단계 공격 가능 경로 파악

무단으로 열려 있는 포트, 외부와 연결된 기기, 방치된 취약점, 지원 종료된 OS·애플리케이션 등을 공격자가 침투할 수 있는 경로를 파악한다. 특히 써드파티 애플리케이션, OEM으로 제공받은 기기·소프트웨어 등은 원격에서 액세스할 수 있게 설정한 경우가 많기 때문에 반드시 점검해야 한다.

4단계 보안 정책 수립과 운영

보호해야 할 자산과 제거해야 할 취약점을 파악했으면 적절한 보안정책을 수립하고 운영한다. 네트워크 세분화, 엔드포인트 보안 강화, 실행 가능한 패치적용, 패치 어려운 기기는 격리하거나 가상패치가 가능한지 검토하고 적용, 위험평가 실시와 사고 대응 계획 업데이트 등을 마련하고 적용한다.

5단계 OT-IT 통합

전통적인 OT 보안은 4단계에서 완료될 수 있다. 그러나 최근 IT와 연결되는 융합환경이 늘어나면서 비즈니스 전반의 리스크 관리 관점에서 OT 보안에 접근해야 할 필요가 있다. OT-IT 통합 보안을 위해 SIEM·SOAR 등 보안관제 시스템을 OT 영역까지 확대하며, 위협 정보 연계, 위협 헌팅, 위협 인텔리전스 등을 적용한 고급 보안 관리와 모니터링을 적용한다.

6단계 최적화

지속적인 보안이 유지될 수 있도록 정책을 개선하고, 지속적으로 OEM으로 공급받은 시스템이나 외부에 노출된 취약점을 찾아 제거한다.

가트너는 규제가 심한 소수 조직을 제외한 모든 업종에서 60%가 1단계인 인식 단계에 머무르고 있으며, 10%만이 6단계 최적화까지 진행하고 있다고 분석했다.