[데이터넷] 운영기술(OT) 환경의 외부 연결성이 높아지고 있으며, 클라우드 도입 속도도 빨라지고 있어 보안위협이 급증하고 있다.

노조미네트웍스 후원으로 SANS 인스티튜트가 진행한 ‘2021년 SANS 설문조사: OT/ICS 사이버 시큐리티’에 따르면 이전에 진행한 조사인 2019년에 비해 2021년 외부와 연결된 OT 네트워크가 월등히 증가했다.

2019년과 2021년을 비교해보면, OT 시스템이 퍼블릭 인터넷에 직접 연결된 것이 11.5%에서 41.5%로 늘어났으며, OT 시스템이 DMZ를 통해 인터넷에 연결되는 경우도 23%에서 43%로 급증했고, 파트너 등 타사 OT 시스템에 직접 양방향 연결된 사례도 9%에서 32.4%로 크게 늘었다. OT 네트워크가 OT DMZ를 거쳐 기업 네트워크로 연결되는 전통적인 구성은 57.4%에서 49.3%로 줄었고, 완전히 격리된 폐쇄망으로 운영된다는 답은 27.9%에서 8.2%로 급감했다.

외부와의 연결성이 높아지고 침해시도가 이어지면서 OT에 대한 보안우려도 높아지고 있다. OT/ICS 운영 담당자를 대상으로 한 이번 조사에서 비즈니스에 가장 심각한 리스크로 45.5%가 보안위협 증가를 들었으며, 가장 심각한 보안사고로 54.2%가 랜섬웨어와 같은 금전적인 목적의 사이버 범죄, 43.1%가 국가기반 공격을 꼽았다.

IT-OT 통합 어려움 겪어

응답자들은 IT와 OT가 융합되면서 이로 인한 보안위협이 높아진다는 사실에 동의하고 있지만, 현장에서 이 문제를 해결하는데 여러 어려움을 겪고 있는 것으로 보인다. OT 보안의 당면과제를 묻는 질문에 59.4%는 현대적인 IT 시스템과 전통기술 기반의 OT를 통합하는 것이 어렵다고 답했으며, 56%는 보안계획을 구현하기에 인력과 자원이 부족하다는 것을 들었다. 또 52.2%는 IT 인력이 OT 운영에 필요한 사항을 이해하지 못한다는 점을 토로했다.

OT 시스템은 전체적으로 가시성을 확보하는데 어려움을 겪고 있다는 응답도 나왔다. 지난 12개월 동안 제어시스템에서 하나 이상의 보안사고가 발생했는지 묻는 질문에 38.7%는 확인된 바 없다고 답했으며, 24.7%는 회사 정책 때문에 답할 수 없다고 답했다.

보안사고가 발생했다는 답은 15.1%, 발생하지 않았다는 답이 12.2%, 보안사고가 일어난 것 같지만 증거가 부족해 모르겠다는 답이 3.2%를 차지했다.

취약점 관리가 제대로 이뤄지지 못하는 OT는 공격당하기 매우 쉬운데, 보안사고가 발생했다고 답한 비율이 낮은 것은 보안위협을 제대로 탐지하지 못하고 있다는 증거일 수 있다. 이번 조사에서응답자의 7.4%는 취약점 패치를 하는지 알지 못한다, 6.4%는 아무 조치도 취하지 않는다고 답해 14%의 조직은 패치 프로세스를 갖추지 못한 것으로 나타났다.

취약점조차 제대로 관리되지 못하는 OT 시스템은 많은 공격을 받으며, 대부분의 침해시도가 운영에 영향을 미친다. 그러나 26%의 응답자만이 인시던트가 운영에 영향을 미친다고 답해 비즈니스 연속성을 위한 보안 모니터링도 제대로 이뤄지고 있지 않다는 비판도 제기된다.

보고서는 “OT는 보안에 대한 가시성이 확보되기 어려우며, 사고가 발생했다 해도 충분히 조사되지 않는 경우가 많으며, 사고 피해에 대해 과소평가하는 경향이 있다. 콜로니얼 파이프라인과 같은 유명한 사고만이 언론에 알려지며 대서특필되지만, 대부분의 기업이 겪고 있는 OT 프로세스에 영향을 미치는 사고는 주목받지 못한다”고 지적했다.

37% “원격 액세스 가장 위험”

OT를 클라우드로 연결되는 시도가 이어지고 있다는 것도 보안 측면에서는 우려되는 부분이다. 응답자의 40%가 OT/ICS에 일부 클라우드 기반 서비스를 사용하고 있다고 답했으며, 이 중 49.2%는 원격 모니터링과 설정, 분석 업무에 사용한다고 답했으며, 37.6%는 NOC/SOC 서비스와 지원을 위해 36.5%는 비즈니스 연속성과 재해복구 계획을 위해, 34.5%는 MSSP를 위한 연결에 사용한다고 답했다.

원격연결은 초기 침투에 가장 많이 이용되는 것이기 때문에 클라우드 연결은 OT 보안에 적신호라고 할 수 있다. 가장 위험한 공격벡터로 36.7%가 원격 액세스 서비스라고 답했다. 원격 외부에 노출된 애플리케이션 익스플로잇(32.7%), 내부 접근가능한 기기(28.6%), 스피어피싱 첨부파일(26.5%), 이동식 미디어를 통한 복제(24.5%) 등도 위험한 공격 벡터로 꼽혔다.

이 같은 위험에도 불구하고 OT를 클라우드나 다른 외부 네트워크와 연결시켜 스마트하게 만들려는 시도를 되돌릴 수 없다. 그래서 융합환경을 위한 OT 보안 정책과 프로세스를 체계화하고 운영하는 전문성이 매우 중요하다.

그런데 많은 조직이 OT 보안을 IT에 의존하는 경향이 있다는 것도 우려해야 할 부분이다. 제어시스템 보안 정책을 설정하는 사람이나 조직이 어디인지 묻는 질문에 36.4%는 CISO, 10.2%는 CTO, 8.3%는 CSO라고 답했으며, 발전·설비 전문가가 담당한다는 사람이 7.8%에 그쳤다 14.6%는 모른다고 답했다.

보안 책임자의 소속 부서 역시 IT가 많다. 39%은 IT 매니저, 34.6%는 CIO/CISO 라고 답했다. 제어 시스템 운영자가 책임진다는 답은 34.1%, 엔지니어링 매니저 31.7%, 설비 시스템 매니저 18% 순이었으며, 솔루션 벤더 16.6%, MSSP 7.3%의 답이 이어졌다.

IT가 OT 보안을 책임지는 것이 긍정적이라고 보기는 어렵다. 보고서에서는 “OT와 IT는 다른 철학을 갖기 때문에 정책을 구현하고 운영하는 것에 신중해야 한다. ICS 보안을 위해 OT와 IT의 커뮤니케이션을 통해 우선순위를 정해야 한다”고 지적했다.

70% “OT 보안 모니터링 사용”

이처럼 OT 보안 준비나 인식이 아직은 부족하지만, 이전 조사에 비해 상당한 개선이 나타난 부분도 있어 긍정적이다. 조사 응답자의 70%가 OT 보안 모니터링 프로그램을 이용하고 있었으며, 32%는 OT 모니터링 전담 SOC를 운영하고 있었고, 25%는 MSSP를 통해 OT 보안위협에 대응하고 있었다. 또 데이터 유출방지(DLP)·안티바이러스 솔루션 사용률도 이전에 비해 늘었다.

또 보안사고를 탐지하기까지 걸리는 시간이 예년에 비해 단축됐다는 것인데, 6시간~24시간 소요됐다는 답이 2019년 35%에서 2021년 51.2%로 늘어났다. 이번 조사에서 일주일 이내라고 답한 사람은 27.9%를 차지했다.

김선애 기자 다른기사 보기