2021.07.27

"2025년이면 사이버 공격자가 물리적 공격 기술 갖게 될 것" 가트너

김달훈 | CIO KR
"2025년이면 사이버 공격자가 인간을 물리적으로 해치거나 죽일 수 있는 무기화된 운영 기술(Operation Technology) 환경을 갖게 될 것이다."

"장비와 자산 그리고 프로세스를 모니터링하거나 제어하는 하드웨어 및 소프트웨어인 운영 기술에 대한 공격이 일반화되고 있다. 또한, 공장 폐쇄와 같은 즉각적인 프로세스 중단에 초점을 맞춰져 있던 사이버 공격이, 산업 환경에 물리적인 피해를 일으키는 방향으로 발전하고 있다."

가트너가 사이버 공격의 행태가 사람을 해치거나 죽이는 물리적인 피해를 일으킬 수 있다고, '10가지 운영 기술 보안 제어(10 Security Controls for Operational Technology)' 프레임워크를 공개하며 경고했다. 

사이버 공격자들이 시스템 오류나 프로세서 중단을 목표로 삼았던 공격 행태가, 무기화된 운영 기술(Weaponized Operational Technology)을 갖게 되면서, 물리적인 손상이나 피해를 통해 사람의 안전과 생명까지 위협하게 될 것이라는 분석이다.

가트너의 왐 보스터는 "운영 환경에서 보안 및 위험 관리 리더는 정보 도용보다 인간과 환경에 대한 실제 위험에 더 관심을 가져야 한다. 가트너 고객들의 문의에 따르면 제조, 자원 및 유틸리티와 같은 자산 집약적 산업의 조직은, 적절한 제어 프레임워크를 정의하는 데 어려움을 겪고 있다"고 밝혔다.


2025년까지 사이버 공격자가 사람을 직접 해치거나 죽일 수 있는 무기화된 운영 기술 환경을 갖게 될 것으로 예상했다. 이러한 보안 위협을 차단하거나 최소화하기 위해서는 '10가지 운영 기술 보안 제어' 프레임 워크를 채택해야 한다고 강조했다. (자료 : Gartner)

가트너는 치명적인 인명 손상을 일으키는 사이버-물리적 시스템(CPS;cyber-physical systems) 공격으로 인한 손실액이 2023년까지 500억 달러에 달할 것으로 예상했다. 인명 피해를 제외하더라도 보상, 소송, 보험, 벌금, 평판 손실 등을 고려하면 막대한 비용 손실이 발생할 수밖에 없다. 특히 이러한 사건이 발생하면 CEO가 사건 발생에 대한 개인적인 책임도 지게 될 것이라고 가트너는 밝혔다.

이러한 사이버-물리적 시스템의 보안 사고는 세 가지 형태의 피해가 발생한다. 첫째는 물리적으로 발생하는 실제적인 피해, 둘째는 기물 파손이나 생산 감소로 인한 손실 발생, 셋째는 공격을 당한 업체의 평판이 나빠지면서 신뢰도가 하락한다는 점이다. 이러한 위험성을 최소화하기 위해서는 운영 기술 보안 제어에 대해, 다음과 같은 10가지 요소를 기반으로 보안 제어 프레임워크를 구현해야 한다고 가트너는 강조한다.

첫 번째는 역할 및 책임 정의다. 관리자부터 담당자에게 이르기까지 모든 작업자에게 보안과 관련된 역할과 책임을 할당하고, 문서화할 책임이 있는 시설에 대해 운영 기술 보안 관리자를 지정해야 한다.

두 번째는 모든 운영 기술 직원에게 적절한 교육과 위험을 인식시키는 것이다. 이를 위해 해당 시설에 근무하는 직원에게 보안 위험, 일반적인 공격 형태, 보안 사고 발생 시 대처 방법을 교육을 통해 숙지시켜야 한다.

세 번째는 사고 대응 구현과 테스트다. 운영 기술별 보안 기술 관리 프로세스를 구현하고, 제대로 유지되고 있는 테스트 해야 한다. ▶︎준비(preparation) ▶︎탐지 및 분석(detection and analysis) ▶︎봉쇄(containment), 근절(eradication), 복구(recovery) ▶︎ 사후 활동(post-incident activity) 등으로 구성되는 4가지 보안 사고 관리 프로세스를 구현하고 유지 상태를 확인해야 한다.

네 번째는 백업, 복원 및 재해복구다. 사고 발생 이후 수습과정에서 필요한 적절한 백업, 복원, 복구 절차가 마련되어 있는지를 확인 해야 한다. 화재와 같은 물리적인 사건으로부터 영향을 차단하려면, 백업 시스템과 백업 미디어를 물리적으로 다른 장소에 분리해서 운영해야 한다. 백업 미디어가 무단으로 도용되는 것을 방지해야 하며, 심각한 보안 사고로부터 새로운 시스템이나 가상 머신에 백업을 복원할 수 있어야 한다.

다섯 번째는 휴대용 미디어 관리다. USB 메모리나 외장 하드디스크와 같은 모든 휴대용 데이터 저장장치의 안정성을 검사하는 정책을 만들어야 한다. 장치 소유자가 내부 직원이든 하청업체 직원이든 아니면 제품 납품업체 직원이든, 소유자와 상관없이 모든 휴대용 미디어 장치는 보안 프로그램으로 검사한 후 안전이 확인되어야 운영 기술 시스템에 연결할 수 있도록 해야 한다.

여섯 번째는 최신 자산의 인벤토리를 보유하는 것이다. 보안 관리자는 모든 운영 기술 장비 및 소프트웨어의 인벤토리를 지속적인 업데이트를 통해 항상 최신 버전으로 유지해야 한다.

일곱 번째는 적절한 네트워크 분리 설정이다. 운영 기술 네트워크는 물리적 또는 논리적으로 다른 네트워크와 내부 및 외부에서 분리되어야 한다. 또한, 운영 기술 네트워크와 다른 네트워크와의 데이터 트래픽은 보안 게이트웨이 솔루션을 통과하도록 설계해야 한다. 아울러 대화형 세션의 경우는 게이트웨이에서 다단계 인증을 사용해야 한다.

여덟 번째는 로그 기록 수집 및 실시간 탐지 구현이다. 이를 위해서는 실제 보안 이벤트의 자동 로깅과 검토를 위한 정책과 절차가 있어야 한다. 보안 로그가 보존되는 정확한 보존 시간, 변조 또는 원하지 않는 수정에 대한 보호가 포함되어야 한다.

아홉 번째는 보안 구성 프로세서의 구현이다. 엔드포인트, 서버, 네트워크 장치 및 필드 장치와 같은 모든 적용 가능한 시스템에 대해 보안 구성을 개발, 표준화 및 배포해야 한다. 또한, 멀웨어 방지와 같은 엔드포인트 보안 소프트웨어는, 이를 지원하는 운영 기술 환경의 모든 구성 요소에 설치 및 활성화되어야 한다.

열 번째는 정식 패치 프로세스 검증이다. 배포하기 전에 장비 제조업체가 패치를 검증하도록 하는 프로세스를 구현하고, 검증된 패치는 사전에 지정한 적절한 시스템에만 배포해야 한다. ciokr@idg.co.kr



2021.07.27

"2025년이면 사이버 공격자가 물리적 공격 기술 갖게 될 것" 가트너

김달훈 | CIO KR
"2025년이면 사이버 공격자가 인간을 물리적으로 해치거나 죽일 수 있는 무기화된 운영 기술(Operation Technology) 환경을 갖게 될 것이다."

"장비와 자산 그리고 프로세스를 모니터링하거나 제어하는 하드웨어 및 소프트웨어인 운영 기술에 대한 공격이 일반화되고 있다. 또한, 공장 폐쇄와 같은 즉각적인 프로세스 중단에 초점을 맞춰져 있던 사이버 공격이, 산업 환경에 물리적인 피해를 일으키는 방향으로 발전하고 있다."

가트너가 사이버 공격의 행태가 사람을 해치거나 죽이는 물리적인 피해를 일으킬 수 있다고, '10가지 운영 기술 보안 제어(10 Security Controls for Operational Technology)' 프레임워크를 공개하며 경고했다. 

사이버 공격자들이 시스템 오류나 프로세서 중단을 목표로 삼았던 공격 행태가, 무기화된 운영 기술(Weaponized Operational Technology)을 갖게 되면서, 물리적인 손상이나 피해를 통해 사람의 안전과 생명까지 위협하게 될 것이라는 분석이다.

가트너의 왐 보스터는 "운영 환경에서 보안 및 위험 관리 리더는 정보 도용보다 인간과 환경에 대한 실제 위험에 더 관심을 가져야 한다. 가트너 고객들의 문의에 따르면 제조, 자원 및 유틸리티와 같은 자산 집약적 산업의 조직은, 적절한 제어 프레임워크를 정의하는 데 어려움을 겪고 있다"고 밝혔다.


2025년까지 사이버 공격자가 사람을 직접 해치거나 죽일 수 있는 무기화된 운영 기술 환경을 갖게 될 것으로 예상했다. 이러한 보안 위협을 차단하거나 최소화하기 위해서는 '10가지 운영 기술 보안 제어' 프레임 워크를 채택해야 한다고 강조했다. (자료 : Gartner)

가트너는 치명적인 인명 손상을 일으키는 사이버-물리적 시스템(CPS;cyber-physical systems) 공격으로 인한 손실액이 2023년까지 500억 달러에 달할 것으로 예상했다. 인명 피해를 제외하더라도 보상, 소송, 보험, 벌금, 평판 손실 등을 고려하면 막대한 비용 손실이 발생할 수밖에 없다. 특히 이러한 사건이 발생하면 CEO가 사건 발생에 대한 개인적인 책임도 지게 될 것이라고 가트너는 밝혔다.

이러한 사이버-물리적 시스템의 보안 사고는 세 가지 형태의 피해가 발생한다. 첫째는 물리적으로 발생하는 실제적인 피해, 둘째는 기물 파손이나 생산 감소로 인한 손실 발생, 셋째는 공격을 당한 업체의 평판이 나빠지면서 신뢰도가 하락한다는 점이다. 이러한 위험성을 최소화하기 위해서는 운영 기술 보안 제어에 대해, 다음과 같은 10가지 요소를 기반으로 보안 제어 프레임워크를 구현해야 한다고 가트너는 강조한다.

첫 번째는 역할 및 책임 정의다. 관리자부터 담당자에게 이르기까지 모든 작업자에게 보안과 관련된 역할과 책임을 할당하고, 문서화할 책임이 있는 시설에 대해 운영 기술 보안 관리자를 지정해야 한다.

두 번째는 모든 운영 기술 직원에게 적절한 교육과 위험을 인식시키는 것이다. 이를 위해 해당 시설에 근무하는 직원에게 보안 위험, 일반적인 공격 형태, 보안 사고 발생 시 대처 방법을 교육을 통해 숙지시켜야 한다.

세 번째는 사고 대응 구현과 테스트다. 운영 기술별 보안 기술 관리 프로세스를 구현하고, 제대로 유지되고 있는 테스트 해야 한다. ▶︎준비(preparation) ▶︎탐지 및 분석(detection and analysis) ▶︎봉쇄(containment), 근절(eradication), 복구(recovery) ▶︎ 사후 활동(post-incident activity) 등으로 구성되는 4가지 보안 사고 관리 프로세스를 구현하고 유지 상태를 확인해야 한다.

네 번째는 백업, 복원 및 재해복구다. 사고 발생 이후 수습과정에서 필요한 적절한 백업, 복원, 복구 절차가 마련되어 있는지를 확인 해야 한다. 화재와 같은 물리적인 사건으로부터 영향을 차단하려면, 백업 시스템과 백업 미디어를 물리적으로 다른 장소에 분리해서 운영해야 한다. 백업 미디어가 무단으로 도용되는 것을 방지해야 하며, 심각한 보안 사고로부터 새로운 시스템이나 가상 머신에 백업을 복원할 수 있어야 한다.

다섯 번째는 휴대용 미디어 관리다. USB 메모리나 외장 하드디스크와 같은 모든 휴대용 데이터 저장장치의 안정성을 검사하는 정책을 만들어야 한다. 장치 소유자가 내부 직원이든 하청업체 직원이든 아니면 제품 납품업체 직원이든, 소유자와 상관없이 모든 휴대용 미디어 장치는 보안 프로그램으로 검사한 후 안전이 확인되어야 운영 기술 시스템에 연결할 수 있도록 해야 한다.

여섯 번째는 최신 자산의 인벤토리를 보유하는 것이다. 보안 관리자는 모든 운영 기술 장비 및 소프트웨어의 인벤토리를 지속적인 업데이트를 통해 항상 최신 버전으로 유지해야 한다.

일곱 번째는 적절한 네트워크 분리 설정이다. 운영 기술 네트워크는 물리적 또는 논리적으로 다른 네트워크와 내부 및 외부에서 분리되어야 한다. 또한, 운영 기술 네트워크와 다른 네트워크와의 데이터 트래픽은 보안 게이트웨이 솔루션을 통과하도록 설계해야 한다. 아울러 대화형 세션의 경우는 게이트웨이에서 다단계 인증을 사용해야 한다.

여덟 번째는 로그 기록 수집 및 실시간 탐지 구현이다. 이를 위해서는 실제 보안 이벤트의 자동 로깅과 검토를 위한 정책과 절차가 있어야 한다. 보안 로그가 보존되는 정확한 보존 시간, 변조 또는 원하지 않는 수정에 대한 보호가 포함되어야 한다.

아홉 번째는 보안 구성 프로세서의 구현이다. 엔드포인트, 서버, 네트워크 장치 및 필드 장치와 같은 모든 적용 가능한 시스템에 대해 보안 구성을 개발, 표준화 및 배포해야 한다. 또한, 멀웨어 방지와 같은 엔드포인트 보안 소프트웨어는, 이를 지원하는 운영 기술 환경의 모든 구성 요소에 설치 및 활성화되어야 한다.

열 번째는 정식 패치 프로세스 검증이다. 배포하기 전에 장비 제조업체가 패치를 검증하도록 하는 프로세스를 구현하고, 검증된 패치는 사전에 지정한 적절한 시스템에만 배포해야 한다. ciokr@idg.co.kr

X