현재 운영중 시스템 보호하는 기술 도입 가속화해야
[데이터넷] 올해 상반기 발생한 가장 위험한 사이버 공격은 랜섬웨어와 디도스였다. 제조, 에너지, 의료, 수자원 시설이 랜섬웨어와 디도스 공격으로 서비스가 중단되는 사고를 겪었다. 특히 의료 분야에 대한 공격이 급증해 심각성을 더하고 있다. 의료 분야 사이버 공격은 사람의 생명을 위협하기 때문에 매우 위험하다.
노조미 네트웍스의 ‘2023년 상반기 OT/IoT 위협 동향’ 보고서에서는 의료분야에서 발견된 취약점의 83%는 높거나 심각한 수준이라고 설명했다. 의료 분야는 수익성이 높은 공격 타깃일 뿐만 아니라 인터넷·클라우드와 연결된 의료기기의 수가 증가하고 있어 공격표면이 넓다. 또한 대다수의 의료기관은 오래되었거나 더 이상 유지관리 되지 않은 레거시 장비에 의존하고 있기 때문에 공격에 악용할 수 있는 취약점도 많다. 또한 취약한 기기가 네트워크에 연결되면서 의료기관 전반의위협을 높인다는 문제도 있다.
이러한 문제를 해결하기 위해 미국 식품의약국(FDA)은 3월 FD&C법을 발표, 의료 기기 제조사가 보안을 내재화하거나, 제품에 보안조치를 취할 것을 의무화했다.
AI 악용 공격, AI로 막아야
보고서에서 경고한 위협 중 하나가 자격증명 도용이다. IT 분야에서도 자격증명 탈취로 쉽게 공격하는 추세가 이어지고 있는데, 이는 OT에서도 마찬가지다. 특히 자격증명 관리에 취약한 원격관리 시스템, IoT 기기는 부르트포스와 같은 무작위 대입 공격으로도 접근 권한을 쉽게 획득할 수 있다. 권한을 가진 공격자는 시스템 내에서 위협 활동을 지속하면서 더 높은 권한을 행사할 수 있는 명령을 실행하며, 하드코딩된 공개 SSH 키를 수집해 더 많은 시스템으로 접근한다.
실제로 발견된 공격 유형을 보면 네트워크스캔 27%, 일반 텍스트로 된 암호 12%, 취약한 비밀번호 8%로 비밀번호와 관련된 공격이 2번째로 자주 발생하는 것으로 나타났다.
AI를 이용하는 공격자는 더 쉽게 자격증명을 탈취할 수 있다. AI는 자동으로 맞춤형 피싱 이메일을 제작할 수 있으며, 네트워크를 스캐닝하면서 공격에 이용할 수 있는 취약점을 찾아낼 수 있다.
노조미네트웍스는 OT 분야 전문성을 결합한 AI 기술을 이용해 이러한 고급 위협에 대응할 수 있다고 설명한다. 노조미네트웍스는 6월 AI 기반 분석·쿼리 엔진 ‘밴티지 IQ’를 출시하고 실제 위협과 해결 방법에 대한 의미있는 통찰력을 제공한다.
제조업, 취약점 영향 가장 많이 받아
취약점은 OT 환경에 침입하기 위해 가장 빈번하게 사용하는 공격도구인데, 취약점 영향을 가장 많이 받는 산업군은 중요 제조 산업이다. 미국 CISA는 상반기 동안 62개 공급업체 제품에 영향을 미치는 641개의 취약점을 설명하는 171개 권고를 발표했는데, 그 중 188개의 취약점이 중요 제조산업을 대상으로 한 것이었다. 에너지 산업이 138개로 그 뒤를 이었다.
OT, IoT를 노리는 멀웨어도 위험 수위를 높이고 있다. 흥미로운 점은 이 기간 동안 가장 많이 탐지된 멀웨어가 엔터프라이즈 IT 분야에서는 트로이목마, OT에서는 DoS였다. 보고서는 대량의 IoT가 배포되면서 대규모 디도스 공격을 쉽게 일으킬 수 있으며, 특수한 랜섬웨어를 만들지 않고도 중요 산업을 마비시키고 돈을 받아낼 수 있다.
OT에 대한 전방위적인 위협이 일상생활과 국가 안보를 위협하면서 세계 각국은 중요 인프라를 보호하기 위한 규제를 마련하고 있다. EU NIS2, 미국 중요 인프라 보호에 방점을 둔 국가 사이버 보안 전략, 호주 SOCI 등이 대표적이다.
보고서는 공격자가 ROI를 개선하기 위해 맞춤형 OT·IoT 공격을 전개하고 있다고 강조하며, 보안내재화(Security by Design)가 필요하다고 주장했다.
그러나 보안 내재화가 현재 직면한 위협을 해결할 수 없다는 사실을 역설하면서 현재 운영중인 OT 환경에 대한 ▲취약성 관리 ▲시스템 강화 ▲권한 있는 액세스 제한 ▲적절한 네트워크 세분화 실행 ▲임시 장치 격리, 테스트 ▲보안 분석을 위한 이벤트 로깅 ▲원격 액세스 제한 ▲조직의 모든 수준에서 이해 관계자가 참여하는 강력한 사고 대응, 운영 복원력 계획이 필요하다고 강조했다.
