OT 보호 없는 디지털 트랜스포메이션은 ‘대 재앙’
[데이터넷] 지난해 미국 최대 송유관 기업 콜로니얼 파이프라인이 랜섬웨어 공격을 당해 몇 주 동안 미국 동부 전역의 연료 수급이 중단되는 사상 최악의 사고가 발생했다. 사고 후 미국 수사 당국의 추적으로 랜섬머니로 지급된 금액이 대부분 회수되고 사고를 일으킨 다크사이드의 활동을 중지시켰지만, 사고 당 시 입은 피해를 완전히 복구하는 것은 불가능하다.
이 사고 전에 플로리다 올즈마 수처리 시설이 해킹을 당해 오염된 식수가 공급될뻔한 사고가 발견되기도 했다. 다행히 관리자가 수처리 시설 컴퓨터에서 원격접속을 알리는 팝업이 뜨는 것을 발견하고 신속하게 조치해 큰 사고로 이어지지 않았지만, 사회기반시설을 공격해 시민들의 목숨을 위험하게 할 수 있는 가능성이 충분하다는 것을 입증한 사고이기도 했다.
올즈마 수처리 시설 해킹에 이어 콜로니얼 파이프라인 랜섬웨어 공격까지 발생하면서 중요시설에 대한 보안 경고가 켜졌지만, 보안 수준은 거의 개선되지 않은 것으로 나타났다. 트렌드마이크로의 ‘산업 사이버 보안 현황 보고서 2022’에 따르면 OT 운영조직의 72%는 지난 1년 동안 사이버 장애를 6번 이상 경험했으며, 사이버 장애로 발생한 피해가 평균 280만달러(약 36억원)에 달하는 것으로 분석됐다. 응답자의 89%는 지난 한 해 사이버 공격으로 생산 과 에너지 공급에 영향을 받았다고 밝혔는데, 이 조사`가 콜로니얼 파이프라인 사고를 겪은 후 실시된 것임에도 여전히 OT 운영조직은 보안에 대한 경각심을 갖지 못한 것으로 보인다.
본격화되는 OT 디지털 트랜스포메이션
OT 타깃 공격은 2010년 발견된 스턱스넷(Stuxnet)으로 본격화됐다. 이전에도 산업시설을 노린 공격이 있었지만, 특정 정부의 후원을 받아 정교한 타깃 공격이 진행된 것은 스턱스넷이 시작이라고 볼 수 있다. 이후 러시아의 우크라이나 전력시설 파괴, 미국 배후로 의심되는 베네수엘라 전력 시설 파괴, 러시아 기반 해킹그룹 다크사이드의 콜로니얼 파이프라인 랜섬웨어 등 대형 사고가 잇달아 발생하면서 OT 보안이 첨예의 관심사가 됐다.
OT 분야도 디지털 트랜스포메이션을 서두르면서 보안위협은 더 높아졌다. 폐쇄망으로 운영되던 OT에 클라우드·IoT가 접목돼 더 효율적으로 시설을 운영할 수 있게 됐지만, 외부와의 접점이 늘어나면서 공격표면도 넓어졌다.
주니퍼 리서치는 2024년까지 산업부문의 70%가 830억개의 IoT로 연결될 것으로 예측했는데, 특히 5G 확산으로 더 빠르고 넓고 저렴한 통신 환경을 사용할 수 있게 되면서 IoT 확장 속도는 더 빨라질 것으로 예상된다.
외부와 접점이 늘어나면 당연히 허가되지 않은 불법 침입 시도도 늘어난다. 시설을 파괴하거나 정지시키고, 랜섬웨어로 대규모 수익을 얻으며, 시민들의 생 과 재산을 위협하는 사이버 공격이 잇달아 발생하고 있다. 특히 OT 공격은 높은 전문성을 가진 사이버 공격 자들에 의해 많은 비용과 긴 시간을 들여서 진행되며, 잘 조직된 APT 그룹이나 특정 정부의 후원을 받아 전개되기 때문에 대응이 매우 어렵다.
취약점 진단도 소극적인 OT 보안
OT에서도 디지털 트랜스포메이션이 전개되고 있지만, IT만큼 빠른 속도를 내는 것은 아니다. OT는 가용성이 매우 중요하기 때문에 아주 작은 변화도 민감하다. OT 설비는 한 번 설치되면 수십 년간 사용되며, 설비 변경이 극히 제한적이기 때문에 설비 확장 시 기존 설비와 완벽하게 통합되지 못해 각기 다른 관리 환경으로 운영될 수밖에 없다. 복잡한 이종 설비에 대한 업데이트나 장애 관리, 취약점 관리가 제대로 이뤄지지 않으며, 어떤 자산이 연결돼 있는지 파악하기 어려운 것이 현실이다.
OT 시스템은 한 번 설치되면 잘 변경되지 않으며, 취약점이 발견된다 해도 쉽게 패치할 수 없다. 구축 후 20년 이상 사용하는 OT 설비는 OS와 소프트웨어의 지원 종료 후에도 수년간 계속 사용하게 되는데, 이 경우 새로 발견된 취약점은 조치할 수 없기 때문에 무방비로 방치될 수밖에 없다. 심각한 취약점이 10년 이상 방치돼 공격에 악용되고 있는데도 조치하지 못하고 있는 것이 현실이다.
대규모 OT 기업들은 자사 제품에서 취약점이 발견되면 빠르게 패치를 개발해 배포하거나 취약점이 없는 다른 버전으로 변경할 것을 안내하지만, 소규모 설비 제조사들은 그런 지원을 할 수 있는 여력이 없을 뿐 아니라 보안 취약점에 대해 인식조차 하지 못하는 경우가 태반이다.
에이아이스페라의 대표 컨설턴트를 겸하고 있는 김휘강 고려대 교수는 “OT는 가시성을 확보하는 것조차 어렵다. 인터넷에 공개된 시스템을 검색하면 열려 있어서는 안되는 OT 포트, 취약점이 제거되지 않은 채 공개된 시스템이 셀 수 없을 만큼 발견된다. 이러한 시스템은 즉시 조치를 취해야 하는데, 열린 포트를 무 작정 닫거나 취약점 패치를 했다가 어떤 장애가 발생할지 모르기 때문에 신중할 수밖에 없다. 그래서 OT는 취약점 진단이나 보안점검도 소극적인 상황”이라고 지적했다.
OT는 공격이 진행되고 있다는 것을 발견했을 때 조치하는 것도 쉽지 않다. 국내 한 제조사에서 랜섬웨어 공격을 당해 시스템이 차례로 중단되고 있었는데, 대상 시스템에 구축된 보안 솔루션이 랜섬웨어 악성코드를 탐지했음에도 차단하지 못했다.
OT 보안 솔루션은 설비 운영에 지장을 주지 않도록 설비 자체에 설치하지 않고 트래픽을 미러링 해 분석한다. 위협이 감지되면 이를 관리자에게 알리지만 자동 차단하지는 않는다. 오탐으로 인해 설비 운영에 지장을 주지 않도록 한 것이다. 그래서 랜섬웨어로 시스템이 중단되는 상황에서도, 악성코드 제거를 위해 관련 프로세스를 중단시켰을 때 어떤 영향이 있는지 파악하고 피해를 최소화할 수 있는 방법을 찾을 때 까지는 조치를 취할 수 없다.
황영철 에스케어 상무는 “OT 보안은 IT 보안과 완전히 다르다. IT는 빠르게 조치하고 복구가 가능하며, 다양한 플레이북이 있어 적절한 대응이 가능하지만 OT 공격 대응 조치가 더 큰 피해로 이어질 수 있기 때문에 사고 시 즉시 대처가 어렵다”며 “또한 공격에 악용당하는 취약점이 있는 것을 파악했음에도 패치하지 못하는 일이 비일비재하다. 일부 조직은 컴플라이언스에 따라 1~2회 설비를 중단시키고 전체 취약점을 스캔하 고 패치하는 작업을 하는데, 설비 중단이 불가능한 환 경이나 패치로 인해 설비 운영에 지장이 있다고 판단하 면 취약점이 있다는 것을 알고 있는 상태로 운영할 수밖에 없다”고 말했다.
