Offcanvas

IoT / 로봇|자동화 / 비즈니스|경제

칼럼 | 운영기술(OT) 사이버 보안에 CISO가 관심을 가져야 하는 이유

2024.08.13 Steven Sim  |  CSO
일부 CISO는 운영 기술(OT)을 직접적으로 다루지 않기 때문에 그 리스크를 평가하거나 기업 OT 사이버 보안 표준을 수립할 필요가 없다고 생각한다. 하지만 이는 종종 간과되는 사각지대일 수 있다.
 
ⓒ Getty Images Bank

만약 사무실이 건물에 입주해 있다면 이미 건물 관리 시스템의 안전과 가용성에 의존하고 있는 셈이다. 여기에는 리프트, 난방, 환기 및 냉방(HVAC), 출입 통제 시스템, 사물 인터넷(IoT) 등 수많은 하드웨어와 소프트웨어가 포함되며, 이는 모두 OT에 속한다.

IT/OT 융합이 확대되고 스마트 빌딩의 보급이 늘어나면서 사이버 위협에 노출될 위험도 그 어느 때보다 커지고 있다. 따라서 이런 리스크를 관리하는 공동의 노력이 필요하다. 스마트 빌딩 개발을 위해 기술이 가속화되는 시점에서 이전에는 노출되지 않았던 OT의 취약점이 점점 더 드러나고 있다. 예측 분석을 위한 원격 액세스와 함께 스마트 센서 같은 제품이 광범위하게 배포되고 있는 것이 그 예다.

몇 가지 사례
대표적인 사례로는 해커가 어항 속 스마트 온도계를 악용해 카지노의 네트워크와 데이터베이스에 액세스한 사건이 있다. 2018년 보고된 이 사건에서 해커들은 손상된 IoT 온도계를 통해 카지노의 하이롤러 데이터베이스에서 정보를 훔친 것으로 추정됐다.

일부 연구에 따르면 해커는 HAVCKer 같은 도구를 사용해 무해해 보이는 에어컨 장치에 침입해 표적 호스트에 명령을 전송할 수 있다. HVAC 시스템과 관련된 사이버 공격은 이미 발생했다. 2013년에 2명의 보안 연구원이 회사 건물의 HVAC 시스템을 통해 호주 구글의 네트워크를 해킹할 수 있다는 사실을 발견했다. 2016년에는 해커가 도시 전역의 에어컨 시스템을 악용해 에어컨을 켜고 전력 부하를 일으켜 도시의 전력망을 마비시키는 방법을 공개하기도 했다.

또한 2022년에는 유명 산업 장비 제조 회사의 무정전 전원 공급 장치(UPS) 제품이 원격으로 장치를 해킹하고 손상시키는 데 악용될 수 있는 심각한 취약점의 영향을 받았다는 보고도 있었다. 해커가 원격으로 UPS 펌웨어를 업데이트해 랜섬웨어 공격이나 기타 악의적인 작업을 위한 진입 지점으로 사용할 수 있는 것으로 알려졌다. 실제로 UPS의 내부 회로를 가열해 연기를 내뿜게 하고 완전히 손상시키는 개념 증명 취약점도 개발됐다.

스마트 빌딩에 사용되는 OT 및 산업용 사물 인터넷(IioT)에 대한 잠재적 침해는 싱가포르가 2023년에 스마트 빌딩의 사이버 물리 시스템 보안 지침을 위한 기술 참조를 개발했을 정도로 우려되는 사안이다.

사소한 것에 신경 쓰는 것일까?
그렇다면 기업 CISO는 일반적으로 비즈니스의 ‘핵심’으로 간주되지 않는 OT를 보호하는 데 얼마나 집중해야 할까? 기업은 건물 승강기와 에어컨의 보안을 그다지 중요하게 생각하지 않는 경우가 많다. ‘주변’의 OT 또는 IIoT에 대한 공격 가능성이 낮다는 것은 이를 보호하는 데 더 적은 리소스를 할당하면 충분하다는 의미일까? 보안 리더는 ‘사소한 것에 신경 쓰지 않는 것’과 이 문제를 심각하게 받아들이는 것 사이에서 어떻게 균형을 맞출 수 있을까?

이를 위해서는 먼저 이러한 ‘주변’의 OT 및 IIoT 자산을 파악해야 한다. 결국, 아는 것만 보호할 수 있기 때문이다. 최소한 침해가 조직의 운영, 안전, 평판, 재무 건전성, 규제 준수에 미치는 영향을 분석하고 위협 벡터를 평가하는 ‘비즈니스 영향 평가’를 준비해야 한다. 

더 큰 그림
OT 보안은 기업 보호를 넘어 생태계 보호에도 중요한 역할을 한다. 2016년 해커들은 미라이(Mirai) 봇넷을 사용해 DynDNS에 대한 디도스(DDoS) 공격을 성공적으로 실행해 레딧, 트위터, 아마존, 넷플릭스, BBC 등의 웹사이트를 중단시켰다. 베이비 모니터와 보안 카메라 등 보안이 불충분한 30만 대의 IoT 장비가 봇넷에 의해 손상되고 제어됐다. 만약 보안이 취약한 기업용 IoT 장비가 중요 정보 인프라를 공격하는 데 사용됐다는 사실이 밝혀질 경우 기업이 책임을 져야 할 수도 있다.

따라서 CISO가 자신의 기업에서 OT를 사용하지 않는다고 주장할 때는 데이터센터 내에 HVAC가 가동 중인지, 직원이 사무실에 어떻게 들어오는지, 건물에 엘리베이터가 있는지까지 고려해야 한다. 이것들이 기업의 전반적인 보안에 중요하지 않다고 생각했다면 다시 한번 고민해야 할 때다.

* Steven Sim은 25년 이상의 사이버 보안 경력을 갖고 있다. 현재 42개국에서 사업을 운영하는 다국적 기업의 사이버 보안을 이끌고 있으며, 거버넌스, 기술 관리 및 사고 대응과 사이버 보안 마스터플랜 사무소를 총괄하고 있다. ciokr@idg.co.kr
 
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.