OT 전반 보안 강화…외부 공격 표면 제거하며 침투 가능성 낮춰야
[데이터넷] 2021년이 저물어가고 있다. 올 한해도 많은 사이버 보안사고가 발생했다. 올해 전 사회에 보안 경고를 울린 ▲Log4j 취약점 ▲솔라윈즈·카세야 공급망 공격 ▲OT 타깃 랜섬웨어 ▲다크웹 개인정보 공개 ▲사회 이슈 악용 공격 등을 짚어본다.<편집자>
2021년 5월 미국 최대 송유관 운영업체 콜로니얼 파이프라인이 랜섬웨어 공격을 당해 미국 동부지역의 석유 공급이 중단되는 역대급 사고가 발생했다. 공격자들은 인프라를 마비시켰을 뿐 아니라 임직원의 개인정보가 포함된 100GB의 데이터를 탈취했다. 이들은 시스템을 마비시켰을 뿐 아니라 훔친 데이터를 공개하겠다는 이중협박을 통해 57억원의 몸값을 뜯어냈으나 미국 FBI 등의 끈질긴 추적으로 몸값의 일부를 돌려주고 공격을 중단하겠다는 선언을 받아냈다.
이 사고는 다중협박 랜섬웨어의 위험성, 서비스형 랜섬웨어(RaaS) 산업의 진화, 그리고 OT의 취약한 보안 현실을 보여주는 대표 사례라고 할 수 있다. 공격자들은 인터넷에 노출된 시스템 계정 정보를 수집하고, 피싱으로 추가 정보를 탈취했으며, 원격접속 시스템 취약점을 이용해 내부로 잠입했다. 즉 외부에 공개된 취약점과 IT 영역의 해킹으로 OT 영역까지 침투한 것이다.
이 사고를 일으킨 다크사이드는 RaaS 사이버 모델을 채택해 공격자들이 쉽게 공격을 단행하고 수익을 얻을 수 있게 한다. 이들은 데이터를 암호화하는 전통적인 랜섬웨어 공격에서 몇 단계 진화해 데이터를 유출하고, 시스템을 마비시킨 후 몸값을 주지 않으면 시스템을 복구 불능하게 만들고 유출한 데이터까지 공개하겠다고 협박한다. 디도스 공격까지 일으키면서 서비스를 완전히 중단시키는 다중갈취 공격을 벌이는 경우도 있다.
외부 연결성 높아지며 OT 보안 취약
OT는 사이버 공격에 매우 취약하다. 콜로니얼 파이프라인 사고 이전에도 많은 기관들이 사이버 공격 피해를 입었다. 이란 핵시설을 노린 스턱스넷부터 시작해서 우크라이나와 베네수엘라 전력시설이 해킹으로 중단되는 사고를 겪었다. 이스라엘 수자원시설과 미국 올즈마 수도시설은 사고 발생 전 발견해 다행히 피해를 입지 않았다.
공개되지 않은 사고는 셀 수 없을 만큼 많다. 코로나19로 이동에 제약이 생기면서 폐쇄망으로 운영되는 OT망의 유지보수, 장애처리, 업그레이드를 위해 VPN·RDP로 원격 연결하는 사례가 급증했다. 그래서 VPN·RDP 계정 탈취 공격이 극성을 부렸으며, 다크웹에서는 중요 시스템 접근 권한이 불티나게 팔렸다.
스마트팩토리 전환으로 IT 혹은 외부·클라우드와 연결되는 지점이 늘어나면서 공격은 더 쉬워졌다. 쇼단에서 외부 공개된 시스템을 쉽게 찾을 수 있으며, 보호되지 않은 IoT 기기가 IT 혹은 OT와 연결되면서 쉽게 침투할 수 있는 경로를 제고한다.
SK쉴더스 조사에 따르면 한 해 가장 많은 침해사고를 겪는 곳이 제조분야로, 2021년에는 28.5%의 사고가 제조업에서 발생했다. 이들은 랜섬웨어, 데이터 탈취, 사이버 스파이 등의 활동을 했으며, 국내 제조사들도 꽤 많은 금액의 몸값을 지불한 것으로 알려진다.
OT에도 제로 트러스트 원칙 적용해야
OT를 타깃으로 한 랜섬웨어는 앞으로 더 극성을 부릴 것으로 예상된다. 피해기관은 시스템 중단과 데이터 공개로 막대한 피해를 입을 수 있으며, 사람들의 생명·재산에도 타격을 줄 수 있기 때문이다. 최근에는 의료기관을 노리는 공격도 이어지고 있는데, 의료기관은 환자들의 생명을 위험하게 하기 때문에 더 많은 몸값을 더 쉽게 받을 수 있다.
노조미 네트웍스 후원으로 SANS 인스티튜트가 진행한 OT/ICS 운영자 대상 설문조사에서 가장 우려되는 세 가지 보안위협을 묻는 질문에 54.2%가 랜섬웨어, 강탈, 또는 기타 금전적 동기가 있는 범죄를 들었다.
랜섬웨어를 근절하기 위해서는 몸값을 지불하지 말아야 하는데, 잠깐의 다운타임도 허용하지 않는 OT 시설의 경우 몸값 지불을 거절하기가 매우 어렵다. 사람들의 생명이 위협을 받거나, 일상생활이 마비되는 사고로 이어질 경우, 빠르게 회복하기 위해 몸값을 낼 수밖에 없다. 그래서 수사당국이 피해기관을 대신해서 몸값을 협상하기도 한다.
더 지능화되고 교묘해지는 공격을 막기 위해서는 OT 시스템 전반에 대한 보안을 강화해야 한다. OT 시스템 전반의 가시성을 확보하고, 취약한 시스템과 OS, 소프트웨어는 교체하며, 제로 트러스트 원칙을 적용해 중요 시스템 접근을 제어하는 한편, 내부 행위를 모니터링 해 이상행위를 차단해야 한다.
