“내부 모니터링, 원격 접속시 강력한 보안인증, 취약성 관리 등 내부 노력과 함께 보안기업과 협업 해야”
(샌프란시스코=데일리시큐) 세계 최대 사이버보안 컨퍼런스 RSAC 2023이 4월 24일부터 27일까지 샌프란시스코 모스콘 센터에서 전세계 수만명의 보안 관계자들이 참석한 가운데 성황리 개최되고 있다.
25일 모스콘센터 남관 RSAC 샌드박스 컨퍼런스룸에서는 ICS 샌드박스 세션이 진행돼 많은 참관객이 관심을 갖고 모여들었다. OT보안에 대한 관심이 커지고 랜섬웨어 공격이 여전히 증가하고 있기 때문이다.
이 자리에서 ‘랜섬웨어로부터 OT 시스템을 방어하는 방안’에 대한 강연이 진행됐다. 이번 RSAC는 지난해보다 OT 보안과 관련된 강연과 관련 기업도 많이 증가한 것을 알 수 있다. 즉 인프라 스트럭처, 산업제어시스템 등 OT 보안에 대한 필요성과 현장의 니즈가 더욱 증가하고 있으며 관련 산업도 발전해 가고 있다는 것을 알 수 있다.
이 세션은 그림(GRIMM)이라는 인프라스트럭처 보안 기업의 제프 존스(Jaff Jones)가 진행했다. 강연 요지는 다음과 같다.
기반시설 및 제조기업들은 랜섬웨어 공격으로 인해 다운타임이 발생하면 감당할 수 없기 때문에 랜섬머니를 지불할 확률이 높다. 그래서 해커들은 더욱 공급망 기업들을 대상으로 공격을 계속하게 된다.
공격자들이 타깃 시스템에 액세스할 수 있는 방법은 주로 IoT 시스템의 약한 인증 부분을 해킹해 IoT 장치에 액세스한다. 각종 산업제어시스템도 인터넷에 연결되면서 랜섬웨어 공격에 노출될 수밖에 없다. 여전히 OT 관리자들은 장비의 비밀번호를 admin, admin123 등 단순한 암호를 사용하고 있기 때문에 해커들은 손쉽게 액세스 권한을 탈취하게 된다.
또 발전소나 전력망 등은 원격 관리를 많이 하고 있어 VPN 장비나 원격 액세스 업무 환경에서 보안보다는 편리함과 타협하는 경우가 많기 때문에 사이버 공격자들은 이를 노리고 공격하게 된다.
특히 최근 랜섬웨어 공격자들은 소규모 해킹 조직이 아니라 기업화된 혹은 국가가 지원하는 공격그룹인 경우가 많다.
결국 현장 관리자의 편리함과 타협하면서 허술하게 관리된 장비들과 비밀번호가 치명적인 보안문제를 발생시키는 것이다.
한편 랜섬웨어 공격자들은 OT 시스템에서 많이 사용하고 있는 마이크로소프트 윈도우의 취약점을 가장 많이 사용하는 것으로 조사됐다. 오래된 윈도우OS를 업데이트하지 않고 방치하면서 이미 알려진 취약점임에도 불구하고 보안패치관리가 되지 않아 랜섬웨어 공격 피해를 당하는 경우가 가장 많다. 윈도우 시스템 이외에도 브이엠웨어, 어도비 등을 사용하는 기업들은 보안업데이트에 각별한 주의를 기울여야 한다.
존스는 “OT에서도 네트워크 트래픽과 가시성을 확보해야 한다. 이것이 OT보안의 출발점이다. 발전소, 전기, 교통, 항공, 항만, 철도 등 기반시설과 공급망 시스템은 공격을 받게 되면 정보유출 정도와는 비교가 되지 않을 정도로 큰 피해를 야기하기 때문에 철저한 사고 대응 계획을 세우기 위해 경영진을 비롯해 IT 및 보안관리자와 한 테이블에 앉아야 한다. 외부 보안 전문가에 의뢰하기 전에 내부에서 이런 논의가 철저하게 이루어져야 한다. 실수를 하더라도 이 과정이 꼭 필요하다”고 강조했다.
이어 “시스템에 예기치 않은 트래픽, 비정상적 명령이나 동작, 업무시간 외에 악의적 활동 등에 대해 모니터링은 무엇보다 중요하다. 즉 OT 분야도 외부만 모니터링 할 것이 아니라 내부 모니터링에도 집중해야 위협에 대비할 수 있다. 내부 네트워크에 어떤 트래픽들이 들어오고 나가는지를 능동적으로 모니터링하는 것이 중요하다. 그리고 오픈소스에 대한 관리도 중요하다. 오픈소스 보안관리가 되지 않아 심각한 피해를 당하는 기업들이 많다”고 말했다.
그는 또 “원격 액세스 시스템이 증가할 때 절대적으로 필요한 액세스만 가능하도록 철저하게 제한해야 한다. 최소 연결, 최소 시간, 멀티팩트 인증 등을 철저히 적용하고 무료 소프트웨어는 사용하지 않는 것이 현명하다. 그리고 내부 혹은 원격 장비들의 취약성 점검은 필수적이다. 취약성이 있는 장비들은 신속하게 업데이트 해야 한다. 특히 모니터링과 자산 내에 취약성 여부를 지속적으로 파악하는 것은 무엇보다 중요하다. 그런 노력과 함께 도움을 받을 수 있는 외부 보안기업과 협업하는 것이 OT 영역에서 랜섬웨어와 해킹 공격을 예방하는데 큰 도움이 될 것”이라고 말했다.
그는 OT 분야에서 랜섬웨어 및 사이버공격 대응은 사고대응 체계를 각 구성원들이 모여 구축하고 내부 모니터링과 원격 접속시 강화된 인증, 인터넷과 연결되는 장비들의 허술한 패스워드 및 취약성 관리, 오픈소스 보안관리, 외부 보안기업과 협력 등이 중요하다고 말한다. 특히 외부 보안기업이나 솔루션에만 의존할 것이 아니라 힘들지만 내부에서 경영진, IT관리자, OT관리자가 모여 먼저 대응체계를 만들어 보는 것이 핵심적인 내용이다. 이를 위해서 CISA나 NIST에서 발표한 보안 문서를 참고하면 큰 도움이 될 수 있다고 강조했다.
★정보보안 대표 미디어 데일리시큐!
