Offcanvas

보안 / 분쟁|갈등 / 비즈니스|경제

‘사이버안보가 곧 국가안보’ 美 CISA/NSA, 새 OT/ICS 보안 지침 발표

2022.09.27 Michael Hill  |  CSO
미국 사이버보안진흥원과 국가안보국의 새 사이버보안 지침에는 운용 기술과 산업 통제 시스템을 보호하기 위한 단계가 요약되어 있다.
 
ⓒDepositphotos

운용기술(OT)과 산업통제시스템(ICS)을 둘러싼 사이버 공격이 핵심 인프라 및 데이터 시스템의 안전을 계속 위협하고 있다.

미국 사이버인프라보안진흥원(CISA)과 국가안보국(NSA)이 OT 및 ICS를 보호하고자 새로운 사이버보안 권고안(CSA)을 발간했다. CSA는 악의적 행위자가 OT/ICS 자산을 침해하는 데 사용하는 전술, 기술 및 절차(TTP)를 개략적으로 설명하고, 소유자와 운영자가 시스템을 방어하려면 취해야 하는 보안 절차를 소개했다. 

새 권고안은 이전 NSA/CISA 지침을 기반으로 한다. 
 

초라한 OT/ICS 보안 전적

OT/ICS 자산은 미국의 핵심 인프라 전반에 걸쳐 산업 프로세스를 운영, 제어 및 모니터링하므로 보안이 생명이다.

하지만 CISA/NSA는 경고(AA22-265A)에서 기존 OT/ICS 자산이 최대의 가용성과 안전을 우선으로 설계되었기 때문에 보안을 유지하기 어렵다고 지적했다. 수십 년 된 시스템을 계속 사용하고 있는 점도 한몫 한다.  

"그나마 비교적 새로 구축된 ICS 자산은 안전하게 구성할 수 있다. 하지만 사이버공격에는 더 취약하다. 원격 제어 및 운영을 위해 인터넷 또는 IT 네트워크에 연결되기 때문이다. IT와 OT 플랫폼의 융합이 가져다준 순효과는 제어 시스템의 사이버 악용 위험을 증가시킨 셈이다"라고 CISA/NSA는 언급했다.

그의 말에 따라 OT/ICS 자산을 노리는 사이버 공격 활동은 그 규모와 종류 모두에서 크게 확장됐다. 국가 차원의 APT(지능형 지속 공격) 해커부터 정치적, 경제적 목표를 이루려는 독립 해커에 이르기까지 다양해졌다. 권고안은 "최근 APT 행위자들은 대상 OT 기기를 스캔, 손상 및 제어하는 도구까지 개발했다"라고 덧붙였다.

클라우드 보안 회사 바라쿠다(Barracuda)의 보고서에 따르면 지난해 산업용 IoT/OT 시스템에 대한 주요 공격도 증가했다. 반면 이에 맞설 수 있는 보안 역량은 계속 뒤처지고 있는 것으로 나타났다. 설문 조사에 응한 800명의 고위 IT 및 보안 담당자 중 93%가 IoT/OT 보안 프로젝트에서 조직이 실패했음을 인정했으며, 기술 및 도구가 부족하다는 점을 가장 큰 패착으로 꼽았다. 
 

핵심 인프라 제어 시스템을 손상시키는 5단계

CISA/NSA는 악성 행위자들이 중요한 인프라 제어 시스템 손상을 계획하고 실행하는 데 일반적으로 5단계 접근 방식을 취한다고 밝혔다.

1. 의도된 효과 설정 및 대상 선택: 공격 주체에 따라 공격 동기와 목표가 달라진다. 예컨대 독립 사이버 범죄자들은 단지 금전적 동기로 OT/ICS 자산을 노린다. 한편 국가가 지원하는 APT 행위자들은 정치·경제적 환경을 불안정하게 하거나, 시민들에게 심리적 또는 사회적 영향을 유발하는 등의 정치적 또는 군사적 목적을 가진다. 사이버 행위자는 이러한 목표에 기초해 대상과 일으키고자 하는 효과(교란, 비활성화, 거부, 기만 또는 파괴)를 계획한다.

2. 대상 시스템에 대한 정보 수집: 목적과 목표가 설정되면 행위자는 대상 제어 시스템에 대한 정보를 수집한다. 행위자는 오픈 소스 연구, 내부자 위협 및 엔터프라이즈 네트워크를 포함한 여러 소스로부터 데이터를 수집할 수 있다. OT별 인텔리전스 외에도 제어 시스템에 사용되는 IT 기술에 대한 정보는 이미 쉽게 접근 가능하다.

3. 시스템 탐색 및 조작용 기술 및 도구 개발: 사이버 행위자는 제어 시스템의 설계에 대해 수집한 정보를 기반으로 대상과 유사한 시스템을 구성할 수 있다. 공격 훈련을 위한 목업(mockup) 시스템을 만드는 셈이다. 따라서 행위자는 가장 효과적인 도구와 기술을 준비할 수 있다. 또한 제어 시스템에 대한 지식을 기반으로 ICS 맞춤형 악성 프로그램을 개발하기도 한다. 예를 들어, TRITON 악성코드는 메모리 내 펌웨어를 수정해 특정 버전의 트라이코넥스 트라이콘 프로그래머블 로직 컨트롤러(PLC)를 해킹하고자 설계되었다.

APT 행위자들은 또한 특정 슈나이더 일렉트릭 PLC, OMRON Sysmac NEX PLC, 오픈 플랫폼 커뮤니케이션 통합 아키텍처(OPCUA) 서버를 스캔, 타협 및 제어하는 도구를 개발했다. TTP가 구축되면 사이버 행위자는 시스템 운영자와 동일하거나 심지어 더 많은 권한을 행사할 수 있게 된다.

4. 시스템 초기 접근: 사이버 행위자들은 위와 같이 개발한 기술과 도구를 활용하려 먼저 대상 시스템에 접근한다. 원격 접근을 관리하는 보안 관행이 열약한 경우가 잦아 사이버 행위자는 이러한 액세스 포인트를 공격 벡터로 활용할 수 있다. 운영자가 알아차리기 전에 은밀하게 접근해 데이터를 유출한다. 

악의적인 행위자는 쇼단(Shodan)과 같은 웹 기반 검색 플랫폼을 사용해 이렇게 노출된 액세스 지점을 식별해 네트워크 및 구성 요소를 익스플로잇 하게 된다. 

5. 의도한 효과를 일으키기 위해 기술 및 도구 실행: 시스템을 교란, 비활성화, 거부, 기만 및/또는 파괴하기 위해 악의적인 행위자는 다음과 같은 작업을 수행한다. 
 
  • 대상 시스템을 감시하는 운영자의 접근 권한을 차단한다. 
  • 시스템 내부에서 아날로그 및 디지털 값을 수정하거나 출력 제어 지점을 변경하는 등 대상 제어 시스템을 조작한다. 
  • 외부 통신 회로, RTU(원격 터미널 유닛) 또는 PLC(프로그래밍 가능 논리 컨트롤러), 연결된 비즈니스 또는 기업 네트워크, HMI 하위 네트워크, 기타 원격 I/O 및 연결된 기록/대량 데이터 스토리지와의 통신을 저하시키거나 중단함으로써 수행되는 시스템의 데이터 보고 기능을 손상시킨다. 
  • 시스템의 운영 체제 또는 SCADA(감독 제어 및 데이터 수집) 시스템의 소프트웨어 기능을 중지, 중단 또는 손상시키는 기능 등 작업자가 대상 시스템을 제어할 수 있는 권한을 차단한다. 
  • 제어 시스템에서 원격 또는 로컬 정찰을 활성화한다.

권고안은 "국가 차원의 해커 같은 악의적인 행위자는 특정 전문지식과 네트워크 지식을 활용해 실제 사이버 활동에서 보이듯이 위와 같은 공격을 다양한 방식으로 수행할 수 있다"라고 명시했다.
 

ICS/OT 시스템 사이버 보안 위협 완화법 

시스템 소유자 및 운영자는 해커가 자신의 시스템을 겨냥하는 행위 자체를 막을 수 없다. 하지만 시스템이 공격 대상이 됐다고 가정하고 악의적인 행위자가 의도할 수 있는 영향을 예측함으로써 완화 조치를 채택하고 우선 순위를 정할 수 있다고 권고안은 밝혔다. 소유자/운영자는 몇 가지 ICS 보안 모범 사례를 적용하여 적대적인 TTP에 대응할 수 있다.

첫 번째는 시스템 정보의 노출을 제한하는 것으로, 특히 공개적인 자리에서 시스템 하드웨어, 펌웨어 및 소프트웨어에 대한 정보를 노출하지 않도록 유의해야 한다. 정보 보호 교육을 직원 교육에 통합하는 것이 하나의 방법이다. 권고안은 "다음 질문에 대한 답변을 문서화하길 권고한다”라고 언급했다.  
 
  • 데이터는 어디에서 어디로 이동하는가??
  • 통신 경로는 어떻게 문서화되고 데이터는 어떻게 보호/암호화되는가?
  • 데이터가 목적지에 도착했을 때 어떻게 사용되고 보호되는가?
  • 공급업체/규제 기관 또는 관리자/금융 기관 등 데이터 대상 네트워크 보안 표준은 무엇인가?
  • 데이터를 목적지에서 한 번 더 공유할 수 있는가? 누가 이 데이터를 공유할 권한을 가지고 있는가?

권고안은 이어 데이터를 보호하려면 다음과 같은 보안 수칙을 준수해야 한다고 제시했다.
 
  • 목적지 외 다른 모든 데이터 수신처 제거. 
  • 적용 가능한 법적 요구 사항을 준수하는 데 필요한 데이터만 공유. 
  • 엄격한 관리 정책을 거치지 않은 데이터 사용 및 시스템에 대한 모든 기타 접근 차단. 
  • 데이터 공유, 접근 및 사용에 있어 외부 시스템/공급업체와 합의가 이루어지도록 보장하고, 강력한 정책 수립. 
  • 데이터 파괴 및 규정 준수를 검증하고 데이터가 목적지에 도착하면 데이터를 보호하기 위한 정책/조치 감사도 실시.  

또한 소유자/운영자는 제어 시스템 네트워크에서 작동하는 원격 액세스 지점을 포함해 설치된 모든 시스템을 속속들이 알고 있어야 한다고 권고안은 말했다. 완전한 "연결성 인벤토리(connectivity inventory)”를 확보해야 한다고 CSA는 강조했다. 모든 원격 액세스 지점을 식별한 후에도 CISA/NSA는 보안을 개선하기 위해 다음과 같은 베스트 프랙티스를 제시했다. 
 
  • 인터넷 노출 자산을 사전 예방적으로 제한하고 강화하여 공격 영역을 줄인다. 
  • 제어 시스템과 공급업체의 액세스 지점 및 장치 사이에 방화벽 및 비무장지대(DMZ)를 설정한다.
  • 원격 액세스를 위한 정책 및 절차를 엄격하게 준수한다.
  • 점프 박스(jump box)를 사용해 시스템에 대한 액세스를 분리하고 모니터링한다.
  • 시스템 전체에서 기본 암호를 모두 변경하고 하드코딩된 암호로 제품을 업데이트한다.
  • 알려진 취약점에 대한 패치를 시시각각 적용한다. 
  • 의심스러운 액세스에 대한 원격 액세스 로그를 지속적으로 모니터링한다. 

ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.