[데이터넷] OT가 공격자들의 ‘주 수입원’이 되고 있다. 보안을 고려하지 않고 설계·운영되어온 OT가 외부와 연결되면서 침입이 쉬워지고 있으며, 시스템 중단·파괴 시 막대한 피해를 입기 때문에 공격자와 쉽게 협상할 수 있다. OT 공격은 금전적인 피해뿐만 아니라 사람들의 생명과 국가 안보까지 위협할 수 있어 더욱 위험하다. OT 보안 현황과 보호 방법을 알아본다.<편집자>

집중 공격 받는 의료 산업

의료산업이 사이버 공격의 집중 타깃이 되고 있다.

미국의 대형 의료 체인 프로스펙트 메디컬홀딩스, 동부 코네티컷 건강 네트워크 등이 사이버 공격으로 환자를 다른 시설로 옮기고, 수술과 긴급 치료를 취소하고 시설을 전면 중단시켰다. 여전히 진행중인 무브잇 취약점 악용 랜섬웨어로 존스홉킨스 대학병원의 중요 데이터를 도난당했다.

캐나다의 심장 모니터링과 의료용 심전도 기술을 제공하는 기업 카디오컴(CardioComm)이 사이버 공격을 받았는데, 심장 내 제세동기, 모바일 심장 원격측정, 심박 조율기 등에 취약점이 있으며, 이를 이용해 해커가 장치를 장악하고 판독값을 변경하거나 약물을 과다복용하게 할 수 있다는 경고가 나왔다.

우리나라에서도 서울대병원이 해킹당해 83만명의 개인정보가 유출되는 사고가 발생한 바 있다.

노조미 네트웍스의 ‘2023년 상반기 OT/IoT 보안보고서’에 따르면 의료산업은 전 세계에서 세번째로 가장 많은 공격을 받은 분야로 집계되며, 이 분야에서 발견된 취약점 83%가 위험 수준이 높거나 심각한 것이었다.

공항·항만, 잇단 사이버 공격으로 막대한 피해

사이버 공격 위협이 의료 부문에서만 높아진 것은 아니다. 올해 초 EU 사이버 보안국(ENISA)은 항공, 해양, 철도, 도로 등 운송분야의 랜섬웨어 공격 피해가 클 것으로 예상했으며, 특히 우크라이나 전쟁으로 운송·물류 부문 표적 공격이 크게 늘어날 것으로 내다봤다.

실제 피해는 우크라이나와 우방국만을 대상으로 한 것이 아니었다. 유로 컨트롤, 일본 나고야항, 아일랜드 더블린 공항, 독일 뒤셀도르프를 포함한 여러 공항이 공격을 받아 막대한 피해를 입었다. 미국 대형 선박 제조사 브룬스윅 코퍼레이션도 사이버공격을 8500만달러 규모의 피해를 입었다.

제조업은 공격 피해를 가장 많이 받는 분야다. OT 보안기업 드라고스는 올해 2분기 탐지된 랜섬웨어 253건 중 177건이 제조업을 대상으로 한 것이라고 밝혔으며, 로크웰은 지난 3년간 제조사 61%가 사이버 공격을 당했다고 집계했다. 코로나 이후 OT 타깃 사이버 공격이 600% 증가했는데, 그 중 제조업이 주요 타깃이었으며, 침해사고 소요 비용이 무려 13경원에 이른다고 설명했다.

의료, 운송, 제조 등 공격이 집중되는 산업에는 중요한 공통점이 있다. 이전에는 외부와 연결되지 않은 폐쇄망으로 운영됐지만, IoT가 적용되면서 외부 연결지점이 많아졌으며, 이에 대한 보안 대책을 미리 마련하지 않았다는 것이다. 이 환경에는 오래된 시스템이 많아 보안·취약점 관리가 잘 이뤄지지 않았으며, 가용성이 중요하기 때문에 보안 솔루션을 추가하거나 취약점을 패치하는 등의 기본적인 보안 정책을 적용하지 않았다.

포티넷 ‘2023 글로벌 OT 및 사이버보안 현황 보고서’에 따르면 OT 운영조직의 3/4는 한 번 이상의 침해사고를 경험했다고 밝혔다. 주요 침해사고 유형은 멀웨어(56%), 피싱(49%)이었으며, 32%가 랜섬웨어 공격을 받았다고 답했다.

높은 수익 보장하는 OT 타깃 공격

OT는 설비, 장치의 가동에 초점을 두고 운영되어 왔으며, 대체로 외부와 연결이 제한된 전용망으로 구성됐고, 해당 분야의 전문성을 가진 조직이 운영을 담당해왔다. OT 네트워크는 사전 승인된 기기와 프로세스만 작동하도록 하며, 승인되지 않은 기기와 프로세스는 작동하지 않아 사이버 위협으로부터 안전하다고 여겨졌다.

그러나 OT도 혁신을 위해 클라우드와 IoT를 도입하면서 외부 연결성이 높아졌으며, OT 운영 효율성을 위해 IT 기술을 적극 도입하면서 IT 환경을 타깃으로 활동하는 사이버 공격들이 OT 네트워크까지 위협하게 됐다.

사이버 물리 시스템(CPS)으로 진화하면서 이러한 위협은 더욱 가속화되고 있다. CPS는 스마트팩토리, 스마트시티, 스마트 물류·창고 시스템 등 ‘스마트’한 환경을 위한 필수 전략으로, 물리적인 기계와 사이버 세계, 사람까지 결합돼 똑똑한 환경을 만들고자 한다. CPS는 AI를 접목해 완전히 자동화되고 효율성을 극대화하는 시스템으로 진화하고 있는데, 보안을 내재화하지 않은 CPS는 공격자들이 너무나 쉽게 장악하고 사회를 혼란하게 만들 수 있다.

국가기반 공격자들과 APT 그룹들이 더 높은 수익을 얻기 위해 OT/ICS를 집중 공격하고 있으며 전력망을 노리는 인더스트로이어 변종, PLC를 노리는 파이프드림(Pipedream, 혹은 인컨트롤러 Incontroller) 등 특정 환경에 맞춤형으로 작동하는 공격도구까지 제작해 유포하고 있다.

완전 자동화되고 스마트하게 작동하는 CPS에 맞춤형 공격도구가 침투하면 전 사회를 위협하는 대규모 사고가 일어날 수 있다. 혹은 상대국의 주요 인프라를 서서히 망가뜨리면서 불안감을 조성해 자국에 유리한 협상을 이끌어 낼 수 있다.

침해 사실도 인지 못하는 OT 환경

현재도 OT 환경은 보안에 매우 취약한 상황이다. 트렌드마이크로 조사에서는 레거시 디바이스와 네트워크의 한계(45%), IT 직원의 OT 지식 부족(40%), OT 환경에 맞게 설계되지 않은 IT 기술(37%) 등으로 인해 OT 보안 위협이 높아지고 있다고 설명했다.

보안이나 통합, 확장을 고려하지 않은 레거시 시스템과 네트워크는 보호하기 매우 어렵다. 포티넷에 따르면 OT 조직의 74%가 ICS 시스템의 노후화로 인해 보안 문제가 악화되고 있다고 지적했다. 오래된 기기와 시스템은 통합과 가시성을 지원하지 못해 침해당했다는 사실조차 파악하기 어려운 것이 현실이다.

OT 운영자는 보안에 대한 인식이 없고, IT 보안은 OT를 모르기 때문에 OT 타깃 공격에 적절히 대응하지 못한다. OT와 IT 조직 간 커뮤니케이션이 원활하지 않아 IT-OT를 넘나드는 위협에 대응하지 못한다는 것도 문제다.

일례로, 미국 CISA에 따르면 미국 정부기관과 주용 인프라에 대한 사이버 공격의 54%가 유효한 계정을 이용한 것으로 조사됐으며, 피싱이나 지하세계에서 판매하는 계정을 이용해 공격한다. IT나 OT 모두 탈취한 계정을 이용한 공격이 가장 많이 발생하고 있으므로 계정관리가 매우 중요한데, IT에서는 IAM과 같은 계정·권한관리 솔루션을 적용해 통제할 수 있지만 OT는 쉽지 않다. OT 네트워크가 모두 제각작각인데다가 네트워크에 연결된 기기도 파악하지 못하고 있으며, 각 기기별로 ID/PW 적용과 관리 환경이 달라서 관리자가 일일이 수작업으로 확인해야 한다. 표준 기술을 지원하지 않아 중앙에서 일률적으로 통제할 수 없으며, 관리되지 않은 기기를 통해 침투하는 공격자를 막지 못한다.

OT 보안 전문가 찾기 어려워

OT 조직은 보안전담조직을 갖추고자 하지만, 전문성을 갖춘 사람을 찾기 매우 어렵다. 자동화된 탐지·대응 솔루션으로 보안 전문가의 노력을 덜어줄 수 있지만, 가용성이 중요한 OT 환경에서 너무 많은 이벤트를 발생시키면 분석해야 할 것이 많고 거의 대부분 노이즈로 처리되기 때문에 경보 불감증에 빠지기 쉽다. 경보 우선순위를 너무 느슨하게 하면 실제 위협에 집중하지 못한다.

그래서 OT에 특화된 우선순위를 매길 수 있는 보안 탐지 기술과 함께 OT 보안 전문가를 채용해 보안 전문가의 업무를 줄이면서 위협을 효과적으로 탐지할 수 있다. 특히 OT 보안 전문가를 찾기 어려운 만큼, IT 보안 전문가가 OT 환경에 대한 이해를 높여 통합 운영하는 것이 지름길이 될 수 있다. OT 타깃 공격에 사용되는 도구를 다를지 몰라도, 공격자의 행위는 크게 다르지 않다. 잘못 설정된 구성이나 열려 있는 포트, 훔친 계정, 스피어피싱, 취약점 등을 이용하며, IT를 통해 OT로 혹은 OT를 통해 IT로 이동하기도 한다.

포티넷이 전 세계 570명의 OT전문가를 대상을 심층 조사한 결과 95%가 CISO에게 OT 보안을 맡길 계획이라고 답했다. 또 OT 보안 전문가들은 이제 제품 관리가 아닌, IT 보안 리더 출신이며, 운영 부서 등의 다른 팀이 아니라 CISO/CSO들이 사이버 보안에 대한 의사결정에 영향력을 발휘하는 것으로 나타났다.