[데이터넷] OT 타깃 공격이 급증하면서 세계 각국 정부가 강력한 규제를 마련하고 있다. 국가안보와 국민들의 생명·안전과 직결된 주요 인프라와 기관을 보호하기 위한 규제가 등장하고 있으며, 공급망까지 규제의무 대상에 포함시키면서 국내 기업의 대응책 마련이 시급해졌다. OT 조직의 보안전략 수립에 도움이 될 수 있는 OT와 관련된 보안규제와 OT 위협 동향을 살펴보고, 대응 기술과 모범사례를 소개한다. <편집자>

“OT 조직 93%, 1년 동안 한 번 이상 공격당해”

우리나라를 포함한 여러 국가에서 중요 인프라 보호 규제가 강화되는 이유는 공격과 장애로 심각한 피해가 발생하고 있기 때문이다. 7월에는 일본 무역량의 10%를 담당하는 나고야 항이 랜섬웨어 공격으로 운영 중단을 맞았으며, 미국의 글로벌 식품 제조사 돌(Dole)의 랜섬웨어 공격과 클롭 랜섬웨어의 의료·교육·공항 등 세계 주요 시설과 기관 공격이 이어졌다.

포티넷이 OT 보안 전문가를 대상으로 조사한 결과, OT 조직이 최근 12개월 내 공격을 당했다는 응답이 93%, 78%는 4번 이상 공격을 당해 가동 중단, 재정적 손실, 데이터 유출, 브랜드 가치 하락, 물리적 안전 위협 등을 겪었다.

공격을 가장 많이 당하는 산업군은 제조업이다. OT 보안기업 드라고스는 올해 2분기 탐지된 랜섬웨어 253건 중 177건이 제조업을 대상으로 한 것이라고 밝혔으며, 로크웰은 지난 3년간 제조사 61%가 사이버 공격을 당했다고 집계했다. 코로나 이후 OT 타깃 사이버 공격이 600% 증가했는데, 그 중 제조업이 주요 타깃이었으며, 침해사고 소요 비용이 무려 13경원에 이른다고 설명했다.

우리나라에서도 KISA에 접수된 사고 중 제조업이 가장 많으며, 올해 상반기에는 전년대비 62.5% 증가, 지난해 한 해 동안은 전년대비 55% 증가하며 집중적인 공격을 받았다.

의료·교육기관 타깃 공격이 급증하고 있어 심각성을 더하고 있다. 올해 초부터 클롭 랜섬웨어 그룹이 무브잇 취약점을 이용해 세계 주요 기관과 기업을 공격하고 있는데, 그중에서도 중요 정보가 많지만 보안 대책이 미비한 의료·교육기관을 집중 공격하고 있다.

6월에는 중국기반 공격자들이 감염된 USB를 이용해 유럽의 병원을 감염시켰다. 체크포인트 조사에 따르면 한 병원의 직원 A가 아시아에서 열린 회의에서 다른 참석자 B와 함께 프리젠테이션을 진행했는데, A의 노트북에 시스템 백도어를 설정하고 새로 연결된 이동식 드라이브로 자동 확산되는 악성 프로그램인 비스프라이더(WispRider)가 설치돼 있었다. USB를 이용해 A의 프리젠테이션 파일을 저장해 B로 옮기면서 악성파일이 B의 노트북으로 이동했으며, B가 병원으로 돌아와 병원 네트워크에 연결하자 그 병원이 모두 감염됐다.

공격자는 카마로 드래곤, 무스탕 판다로 알려진 조직으로, 동남아시아, 아프리카 정보를 공격하기 위해 이 방법을 사용하고 있는 것으로 알려진다. 소포스 분석에서는 2008년 무스탕 판다가 개발한 악성도구 플러그X가 숨어있는 USB를 통해 지난해 동남아시아 전역의 정부기관이 감염된 것으로 드러났다. 맨디언트는 2021년까지 또 다른 중국 USB 캠페인이 동남아시아 지역에서 전개되고 있었다고 설명했다.

돈 되는 중요 산업, 공격 집중

제조, 의료, 교육 분야에 공격이 집중되는 이유는 ‘돈’이 되기 때문이다. 이 조직은 한 번 시스템을 구축하면 잘 바꾸지 않으며, 보안 인식이 낮아 대응을 철저히 하지 않고, 이 조직의 구성원들도 보안 교육을 잘 받지 않아 보안위협에 대한 이해가 충분하지 않다. 제조·의료는 민감한 설비가 많아 패치 업데이트나 보안 솔루션 추가 등의 변경을 두려워하며, 센서를 이용한 미러링 방식의 모니터링조차 네트워크에 영향을 미칠것을 우려해 잘 하지 않는다.

박익동 한드림넷 연구본부장은 “제조업에서는 ▲BC: 사업·생산의 지속성(Business Continuity) ▲SQDC: 안전(Safety), 품질(Quality), 납기 준수·지연 방지(Delivery), 비용 절감(Cost)이 중시되기 때문에 제조 현장에서 보안 우선순위를 뒤로 밀려날 수밖에 없다. 시스템 보안을 위한 예산 확보, 전문 인력 확보, 운용 관리 교육 등 보안 체계 마련 방안이 종합적으로 부족하다”고 설명했다.

OT는 보안 투자는 느린 편이지만, 스마트한 설비로 전환하는 속도는 빠른 편이어서, 인터넷·클라우드와 연결되는 설비 도입에는 적극적이다. 새로운 설비와 시스템을 갖추는 것은 비즈니스 성장에 도움이 되기 때문이다. 최근 시스템은 다양한 IoT와 자동화 기술을 사용해 관리자·운영자를 최소화한 상태로 운영할 수 있으며, 클라우드 혹은 인터넷을 통해 원격에서 운영해 관리자의 업무 효율성도 높일 수 있다.

OT보다 연결성이 높아진 사이버 물리 시스템(CPS)은 공격표면이 넓고, 가시성 확보와 통제가 더 어려워진다. 스마트팩토리, 스마트시티, 지능형 교통시스템, 스마트그리드, 스마트 물류·창고, 스마트 국방·안보 등으로 발전하면서 복잡성은 높아지고, 가시성과 통제는 낮아져 공격당하기 쉬운 시스템이 된다.

실제로 IBM 조사에 따르면 클라우드 기반 산업용 IoT(IIoT) 도입이 늘어나면서 지난해 OT에 대한 정찰이 22배 증가했다. 또 지난해 1분기 발생한 랜섬웨어 중 제조 부문을 표적으로 한 것이 75%에 달했다.

취약한 해외 공장·파트너 이용하는 공급망 공격

공격자들은 쉽게 침투하고 빠르게 공격을 진행해 많은 수익을 얻고자 한다. 그 방법 중 하나가 공급망 공격이다. 도요타 자동차의 경우, 협력사 코지마 프레스가 랜섬웨어 공격을 당해 일본 내 도요타 자동차 14개 공장 전체가 가동이 중단되는 대형 사고를 당했다.

공급망 공격은 해외 지점·지사나 해외공장을 운영하는 경우 더 취약하다. 대체로 본사보다 보안수준이 낮고, 보안통제가 잘 되지 않으며, 운영자와 조직원의 보안 이해가 높지 않아 보안정책을 제대로 지키지 않아 공격하기 쉽기 때문이다.

트렌드마이크로는 OT 타깃 공격 중 유지보수용 PC를 이용한 공격이 가장 자주 발생하고 있다고 분석하며 파트너 공급망으로 인한 위협에 주의할 것을 당부한다. 유지보수용 PC는 파트너사에서 관리하는 경우가 많아 엔드포인트 보안이 미비하거나 보안 대책에 대한 프로세스 수립이 되어있지 않다.

2021년 발생한 콜로니얼 파이프라인 랜섬웨어 공격 단계 중 이 방식을 이용한 감염이 있었다. TSMC는 2018년 유지보수업체 직원의 감염된 USB로 인해 48시간동안 공장 가동이 중단되는 엄청난 피해를 입기도 했다.

악성코드 감염을 막기 위해서는 백신·EDR이 필요하지만, OT에서 사용하는 기기 중 보안 소트웨어를 설치할 수 있는 리소스가 없는 것이 많다. 이러한 기기를 통제하는 워크스테이션에 보안 솔루션을 설치해 기기가 악성코드에 감염되거나 악성행위를 탐지하고 제어하고 있지만, 워크스테이션이 지원종료된 오래된 OS를 사용하는 경우가 많아 보호하기가 쉽지 않다.