[데이터넷] 운영기술(OT)이 첨단 IT 기술의 향연장이 되고 있다. AI, 클라우드, IoT 기술이 결합되는 OT에서는 첨단 스마트시티, 스마트 빌딩, 자율주행자동차, 스마트에너지, 스마트팜, 우주·항공, 스마트선박 등 새로운 시대를 이끌 기술이 집약되고 있다.

신기술 도입은 새로운 보안위협 노출로 이어질 수 있다. 연결성이 높아지면 공격표면이 증가한다. 신기술을 익힌 공격자들이 이전에 보지 못한 방법으로 침입하고 공격하는데, 보안은 사고가 난 후에야 공격 방식을 알 수 있기 때문에 선제대응이 어렵다.

OT는 첨단기술과 레거시 기술을 모두 사용하기 때문에 보호가 더 어렵다. 대부분의 OT는 외부와 연결이 단절된 폐쇄망 환경에서 운영되며 수십년 전에 설치된 설비에 시스템을 추가·변경하면서 발전시켜 OT 네트워크가 어떻게 구성되어 있으며, 어떤 자산이 연결되어 있는지 확인도 어려운 상황이다. 작은 변화에도 장애가 발생할 우려가 있기 때문에 보안 패치 업데이트도 힘들고, 오래 전 지원이 종료된 OS와 애플리케이션도 사용하고 있기 때문에 보안 문제를 해결할 수 없다.

취약한 상태의 OT에 클라우드를 연결시켜 공격자의 침입을 허용하고 있으며, 다수의 IoT 기기를 연결시키면서 관리되지 않은 기기로 인한 위협에도 상시 노출되고 있다. 포티넷 조사에 따르면 OT 조직의 93%가 지난해 한 번 이상 보안사고를 경험했으며, 이 중 61%는 OT 시스템에 영향을 받았다.

높은 수익 얻을 수 있는 제조·의료 집중 공격

OT 공격은 사람들의 일상생활과 생명, 재산을 위협하고, 국가안보에도 큰 위기로 다가온다. 특히 코로나19 이후 세계 곳곳에서 전쟁이 발생하고 있는데, 현대전은 물리적인 전쟁과 사이버 전쟁이 결합된 하이브리드전으로 진화하고 있어 더 큰 피해를 일으키고 있다. 더불어 랜섬웨어 공격자들이 더 높은 몸값을 얻어내기 위해 OT를 집중적으로 노리고 있으며, 높은 수익을 얻을 수 있는 제조업, 의료기관에서 큰 피해가 발생하고 있다.

가장 많은 공격을 당하는 산업은 제조업으로, 매년 전체 사이버 공격 중 제조업을 대상으로 한 것이 20%를 넘으면서 1위에 오른다. SK쉴더스 조사에 따르면 국내에서 2023년 발생한 제조업 타깃 공격이 20%로 가장 높은 비중을 차지했다. 전 세계적으로는 전쟁 여파로 공공·정부를 대상으로 한 핵티비즘이 21%였다.

최근에는 병원을 타깃으로 한 공격이 크게 늘어났다. 병원은 첨단 IT 기술을 접목한 많은 의료설비와 민감한 개인 의료정보를 갖고 있어 공격 시 높은 수익을 얻을 수 있다. 그런데 병원 IT 시스템은 사이버 보안 대책이 충분하지 않기 때문에 쉽게 공격할 수 있다. 민감한 의료설비의 특성 상 일반 IT 보안기술로 보호하기 어려운 경우가 많으며, 상세한 자산관리와 취약점 정보 분석이 쉽지 않다.

OT·사이버 보안·OT 보안 전문성 모두 필요

OT 보안은 OT 환경의 특수성을 이해하면서 보안에 대한 전문성도 갖춰야 하기 때문에 보호하기가 쉽지 않다. OT가 요구하는 높은 가용성을 지키면서 교묘하고 지능적으로 진행되는 보안위협까지 차단해야 하기 때문이다.

공격자는 IT에서 사용하는 공격도구와 전술·전략을 사용할 뿐만 아니라 OT를 위한 전용 도구도 사용하기 때문에 OT 보안 전문기술도 필요하다. 2022년 우크라이나 정전사태를 일으키는 러시아 배후 공격그룹 샌드웜의 경우, OT 환경에 존재하는 도구를 활용하는 리빙 오프 더 랜드(LotL) 공격을 벌였는데, 이는 전력망 환경에 대한 전문적인 이해가 있어야 가능한 공격이다.

샌드웜은 이전에도 전력망을 노리는 공격을 펼쳤는데, 자체 개발 멀웨어를 이용해 성공에 이르지는 못했다. 이번에는 SCADA 시스템을 호스트하는 서버의 하이퍼바이저를 통해 OT에 접근했으며, OT 운영체제와 서드파티 애플리케이션을 무기화해 정상적인 네트워크 활동과 공격을 병행해 탐지를 피했다. 이들은 최대 3개월동안 SCADA 시스템에 접근했고, ‘a.iso’라는 파일로 변전소 시스템을 조작, 전력을 차단시켰다. 그리고 파괴적인 멀웨어 ‘캐디와이퍼(CADDYWIPER)’를 배포해 공격 증거를 삭제했다.

이 사건을 분석한 맨디언트는 공격자는 새로운 OT 위협 벡터를 빠르게 인식하고 이용하기 위한 기술 개발에 매진하고 있으며, 다양한 유형의 OT 인프라를 활용한 공격 실행 능력을 높이고 있다고 설명했다.

자산식별·지속적 탐지로 위협 완화

OT 보안을 위해서는 가장 먼저 전담 조직과 인력을 두고, 보안 체계 수립을 위한 계획을 만든다. OT 시스템에 연결된 자산을 식별하며, 취약성을 점검, 해결하되, OT 가용성에 영향이 없도록 해야 한다. 네트워크 세그멘테이션으로 감염확산을 막고, 중요 네트워크는 일방향 통신을 적용해 민감도가 낮은 망에서 높은 망으로 통신을 제한한다.

외부 연결은 꼭 필요한 업무만, 필요한 대상과만 연결되도록 설정하며, 불필요한 연결은 즉시 차단한다. 최소권한 원칙의 관리자 권한 통제로 권한의 오남용을 막아야 하고, 강력한 인증으로 권한있는 사용자만이 접근할 수 있도록 해야 한다.

OT 전용 위협탐지 기술과 위협 인텔리전스를 사용해 공격을 빠르게 식별, 차단하는 한편, IT와 통합 보안으로 IT-OT 전반의 위협을 낮춰야 한다. 아웃소싱 직원, 공급망 전반의 보안 정책을 수립하고 지킬 수 있게 해야 한다.

산업별 규제 준수 요건 살펴봐야

OT 보안을 위한 각국 정부의 규제도 강화되고 있기 때문에 규제준수를 위한 활동도 전개해야 한다.

유럽연합은 네트워크 및 정보 시스템 지침을 개정(NIS2)했으며, EU 회원국은 세부 지침을 마련해 10월부터 시행한다. NIS2는 중대한 사고 발생 시 24시간 내에 조기 경고하고, 72시간 내에 통지하며, 1개월 내에 최종 보고서를 제출하도록 했다. 만일 중대한 위반이 있을 경우 최대 1000만유로 혹은 전 세계 총 매출액 2% 중 더 높은 금액을 벌금으로 부과한다.

해상·선박 분야 보안 사고도 위험수위를 높이고 있다. 최근 해상분야는 스마트 무인선박이 운행되고 있으며, 위성통신을 이용해 육지에서 선박의 운항을 통제한다. 자율주행 기능을 적용한 스마트선박은 최적의 경로를 계산해 이동하기 때문에 에너지 사용을 줄이고 물류 운송 시간도 크게 줄일 수 있으며, 예측할 수 없는 기상이변과 장기간 해상 운항으로 선원의 건강과 생명을 지킬 수 있다.

그런데 해커가 통신을 교란시키거나 중간자 공격으로 명령을 탈취해 중요 기밀을 훔칠 수 있고, 잘못된 명령을 내려 사이버 해적이 선박을 무단으로 점령할 수 있다. 그래서 국제선급연합회(IACS)는 지난해 선박 및 기자재시스템 사이버 복원력 달성을 위한 통합 요구사항 UR E26, E27을 발행하고 내년부터 건조 계약되는 모든 선박에 이를 적용하도록 했다.

교통·운송 분야를 타깃으로 한 공격이 잇따르면서 이 분야 규제도 강화되고 있다. 올 한 해만 해도 유로 컨트롤, 일본 나고야항, 아일랜드 더블린 공항, 독일 뒤셀도르프 공항 등 세계 주요 국가 항구와 공항도 랜섬웨어·시스템 파괴 공격으로 막대한 피해를 입었다.

이에 미국 국토 안보부의 교통안전국(TSA)은 교통 사이버 보안 요건을 발표하고 미국 철도 운영 조직, 공항, 항공기 운영 업체, 중요한 파이프라인의 사이버 복원력을 강화할 수 있도록 조치를 의무화했다. 이 보안요건은 미국에 진입하는 타국적 항공기 운영업체도 지켜야 한다.

우주 관련 인프라에 대한 보안 요건도 제정되고 있다. 위성 위치 확인, 원격 통제 시스템 등이 공격을 받을 수 있으며, 우주 기술 관련 핵심 정보가 유출돼 경쟁사 혹은 경쟁국가가 악용할 수 있다. 실제로 미국 사이버 인프라 보안국(CISA)은 국가기반 공격자들이 항공우주 기업을 표적으로 공격하고 있다고 공식 발표했다. 실제로 미국 공군이 미국 공군이 개최한 위성 해킹 대회에서 지구 궤도를돌고 있는 시험용 위성 해킹에 성공한 바 있다.

우리 정부와 보안업계에서는 우주 보안의 중요성을 강조하면서 대책마련에 나서고 있으며, 관련 세미나를 개최하면서 향후 닥칠 보안위협 유형과 대응책을 연구하고 있다.