조직이 원격 및 하이브리드 인력을 관리하고, 디지털 혁신을 도입하고, 글로벌 불안정성에 대처하기 위해 노력함에 따라 위협 행위자는 공격 표면이 확장되고 취약점이 이동하는 것을 활용하여 더욱 대담하고 정교하며 피해를 주는 공격을 시도하고 있습니다. 그 결과, 중요 인프라 조직을 노리는 파괴적인 사이버 보안 위협이 등장하고 있습니다. 운영 중단부터 비즈니스 프로세스, 안전 위험에 이르기까지 다양한 위협이 존재합니다. 공격자들은 계속해서 적응하고 있으므로 보안 방어를 강화하고 비즈니스를 보호하기 위해 오늘날의 주요 사이버 보안 위협과 구현해야 할 모범 사례를 이해하는 것이 그 어느 때보다 중요해졌습니다.
1. 오늘날의 주요 사이버 위협
2. 산업 사이버 위협의 예
3. 의료 사이버 위협의 예
4. 모범 사례
침해 예방은 오늘날 조직에 영향을 미치는 사이버 보안 위협이 무엇인지 이해하는 것에서 시작됩니다. 공격자가 쉽게 악용할 수 있는 기회에 대한 지식을 확보하는 것이 공격에 앞서 사이버 및 운영 복원력을 확보하는 첫 번째 단계입니다.
랜섬웨어는 새로운 사이버 보안 위협은 아니지만, 최근 몇 년간 전 세계적인 팬데믹과 국경 없는 업무의 급속한 도입으로 인해 그 수가 증가했습니다. 조직들은 적절한 보안 프로토콜과 시스템을 구축할 시간도 없이 하루아침에 원격 및 하이브리드 업무 환경을 도입해야 했고, 이로 인해 안전하지 않은 원격 액세스가 발생했습니다. 또한 팬데믹으로 인해 안전하지 않은 새로운 기술의 사용이 가속화되어 취약성의 위험이 커지고 사물 인터넷(XIoT)이 점점 더 상호 연결됨에 따라 공격 표면이 확대되었습니다. 이러한 수준의 상호 연결성으로 인해 공격자들은 랜섬웨어 전략에서 점점 더 표적이 되고 있으며, 기회주의적인 스프레이 앤 프레이 사이버 공격에서 운영 중단 시간에 대한 내성이 낮은 특정 기업을 의도적으로 악용하려는 보다 신중한 접근 방식으로 전환하고 있습니다.
정보 기술(IT)과 운영 기술(OT)의 융합은 모든 산업 분야의 조직에 운영 가시성 향상, 자동화 및 효율성 증대, 다운타임 및 유지보수 비용 절감, 전반적인 생산성 향상 등 다양한 이점을 제공했습니다. 이러한 컨버전스는 기계 간의 데이터 수집과 교환을 최적화했지만, 상호 연결성으로 인해 공격 표면이 넓어져 공격자가 환경에 침투할 수 있는 새로운 방법을 제공했습니다. IT/OT 융합의 영향을 받는 디바이스, 소프트웨어, 시스템은 사이버 보안에 대한 차세대 위협으로 인해 보호되지 않은 채로 방치되는 경우가 많습니다:
전통적으로 IT 시스템과 OT 시스템은 별도로 관리되어 왔으며, IT 시스템은 컴퓨팅과 데이터 관리에 중점을 두고, OT 시스템은 이벤트, 물리적 프로세스 및 디바이스를 제어하고 모니터링하는 데 중점을 두었습니다. 두 시스템은 뚜렷한 차이로 인해 고유한 기술을 가진 완전히 다른 팀의 감독이 필요했습니다. 그러나 현재의 기술 환경에서는 IT와 OT의 세계가 융합되고 있어 IT 및 OT 보안 프로세스에 대한 단일하고 통합된 접근 방식이 필요합니다. 대부분의 조직은 팀이 사일로화되어 있고 동일한 목표와 목적이 없기 때문에 운영에서 보안 조정이 부족하여 어려움을 겪고 있습니다. IT 부서와 OT 부서 간에 명확한 커뮤니케이션과 조율이 이루어지지 않으면 조직은 효과적인 보안 프로토콜과 전략을 구현하는 데 어려움을 겪게 되며, 증가하는 위협 환경에 취약해질 수밖에 없습니다.
미국 교통안전국(TSA) 이 철도, 항공 및 파이프라인 운송에 대한 사이버 보안 지침을 발표한 이유도 바로 이 때문입니다. 미국의 중요 인프라에 대한 사이버 위협이 지속됨에 따라 TSA는 사이버 보안 복원력을 강화하고 운영 중단 및 인프라 성능 저하를 방지하기 위한 긴급 조치를 취했습니다. TSA 사이버 보안 지침에 따르면 조직은 정보 기술(IT) 시스템이 손상된 경우에도 운영 기술(OT) 시스템이 안전하게 계속 운영될 수 있도록 네트워크 분할 정책 및 제어를 구현해야 하며, 그 반대의 경우도 마찬가지입니다. 이 정책을 통해 조직은 올바른 세분화 정책이 마련되어 있는지 확인하여 IT에서 OT로 공격이 횡적으로 이동하는 것을 방지할 수 있습니다. 또한, IT 팀과 OT 팀이 서로 효과적으로 소통하고 운영하여 공격의 확산을 방지할 수 있습니다.
사일로화된 비즈니스 부서와 더불어 많은 조직은 제한된 직원과 자금 부족으로 인한 리소스 제약에 직면해 있습니다. 적절한 비즈니스 부서가 없다면 조직은 전체 XIoT에 걸쳐 사이버 보안에 대한 추가 책임을 해결하는 것은 물론 일상적인 IT 인프라 관리에도 어려움을 겪을 수 있습니다. 마찬가지로 사이버 보안 조치에 투자할 자금이 부족한 조직은 사이버 보안 솔루션을 성공적으로 구현하거나 보안 운영을 관리할 자격을 갖춘 인재를 고용할 리소스가 없을 수 있습니다. 이는 이미 제한된 직원과 결합하여 조직을 위협에 특히 취약하게 만들 것입니다.
IT 시스템과 달리 OT 시스템은 고유한 하드웨어 및 소프트웨어 아키텍처, 특수 프로토콜, 다양한 성능 요구 사항을 가지고 있는 경향이 있습니다. 또한 OT 시스템은 오래된 소프트웨어에서 작동하고 교체하기 어려운 레거시 디바이스에 연결되는 경우가 많습니다. 이러한 요인으로 인해 IT 보안 도구는 OT 환경을 보호하는 데 적합하지 않으며, 사용할 경우 중요한 업무에 중단을 초래할 수 있습니다. 예를 들어, IT 보안 도구를 사용하여 OT 시스템의 취약점을 검사하면 지연이 발생하거나 시스템 장애가 발생할 수 있습니다. 마찬가지로 OT 시스템에 패치를 배포하려고 하면 호환성 문제나 기타 의도하지 않은 결과가 발생할 수 있습니다.
국제적으로 긴장이 고조되면서 지적 재산과 민감한 정보를 훔치거나 물리적 인프라에 피해나 혼란을 야기하기 위해 국가가 후원하는 공격이 점점 더 많이 이용되고 있습니다. PwC의 CEO 설문조사에 따르면 사이버 위험과 지정학적 분쟁은 CEO의 5대 관심사 중 하나로 꼽혔습니다. 이 두 가지 문제가 결합되면 비즈니스 위험 환경은 크게 높아집니다. PwC는 "사이버 보안은 지정학적 분쟁에서 무기고의 일부가 되었으며, 공격은 정교하고 지속적일 수 있다"고 말합니다. 이는 조직이 위협에 신속하고 효과적으로 대응하기 위해 지속적으로 위험을 모니터링하고 평가해야 한다는 것을 의미합니다.
규정 준수는 매우 복잡할 수 있어 조직에서 요구되는 사항과 필요한 보안 조치를 구현하는 방법을 이해하기 어려울 수 있습니다. 조직의 규정 준수 능력은 네 번째 과제인 리소스 제약과도 밀접한 관련이 있습니다. 예산이나 적절한 인력이 없으면 기업은 끊임없이 진화하고 업데이트되는 업계 규정을 이행하고 유지하는 데 어려움을 겪을 수 있습니다. 최근 등장한 사이버 보안 규정 중 조직이 이해하기 어려운 복잡한 규정은 네트워크 및 정보 보안 지침(NIS2)입니다. 이 법안은 최소한의 사이버 보안 조치와 보고 요건을 설정하여 사이버 보안 태세와 복원력을 강화하기 위해 유럽연합(EU)에서 제정했습니다. 복잡하고 기술적인 특성으로 인해 조직은 규정 준수를 위해 기술, 직원 교육 또는 외부 지원에 상당한 투자가 필요하다는 것을 알게 될 수 있습니다.
중요 인프라 조직에 영향을 미치는 위 위협의 실제 사례는 다양합니다. 가장 주목할 만한 사례는 NotPetya 공격입니다. 이 멀웨어 공격은 역사상 가장 비용이 많이 들고 파괴적인 사이버 공격으로 꼽히며, 국가가 후원하는 새로운 유형의 사이버 전쟁의 선례를 남겼습니다. 우크라이나가 주요 공격 대상이었지만 이 공격은 60여 개국으로 빠르게 확산되어 수천 개의 다국적 기업의 컴퓨터 시스템을 마비시켰습니다. 이러한 다국적 기업들은 의료, 에너지, 교통 등 다양한 핵심 인프라 부문에 걸쳐 있었습니다. 놀랍게도 낫페트야는 상품, 서비스, 기회의 손실이라는 부수적인 피해는 포함하지 않은 채 100억 달러라는 사상 최대 규모의 피해를 발생시켰습니다. 이 공격은 미국 국가안보국(NSA)이 만든 Windows 익스플로잇인 이터널블루를 악용하여 기업 네트워크를 횡적으로 이동하고 취약한 시스템에서 다음 시스템으로 확산되는 방식으로 진행되었습니다. 산업 사이버 보안에 대한 이 전례 없는 위협은 NotPetya가 이렇게 많은 수의 OT 환경을 감염시킬 수 있었던 두 가지 주요 문제를 강조했습니다:
조직의 XIoT와 관련된 취약성과 위험을 이해하는 것은 디바이스와 시스템이 사이버 범죄자의 표적이 되지 않도록 하는 데 있어 핵심입니다. NotPetya의 영향을 받은 조직이 전략을 구현하고 공격 노출 관리 전략을 구현하고 이터널블루에 대해 알려진 패치를 적용했다면 운영에는 영향을 받지 않았을 것입니다. NotPetya의 영향을 받은 기업에게는 중요한 해결책이었겠지만, 많은 OT 디바이스에서는 패치가 특히 어려운 과제라는 점에 유의해야 합니다. 그 이유는 OT 환경의 레거시 시스템과 기술이 소프트웨어 업데이트와 패치를 염두에 두고 설계되지 않았기 때문입니다. 또한 이러한 디바이스에 패치를 적용하면 중단이나 다운타임이 전체 시스템에 영향을 미칠 수 있기 때문에 운영에 중대한 영향을 미칠 수 있습니다. 패치 적용 문제 때문에 네트워크 세분화와 보완 제어 기능을 갖추는 것이 매우 중요해졌으며, 이것이 바로 NotPetya가 그토록 치명적이었던 두 번째 문제입니다.
네트워크 세분화가 부족했기 때문에 NotPetya는 조직의 IT 및 OT 환경 전반으로 빠르게 이동할 수 있었습니다. 네트워크 세그먼트를 격리하거나 분리함으로써 NotPetya의 영향을 받은 조직은 피해를 억제하고 제한할 수 있었을 것입니다. 위에 나열된 문제로 인해 OT 디바이스에 대한 패치가 항상 즉시 가능한 것은 아니지만, 네트워크 세분화를 통해 조직은 취약한 디바이스를 패치하는 동시에 잠재적인 위협을 모니터링하고 탐지하는 보완 보안 조치를 구현하여 위험을 완화할 수 있습니다. 적절한 OT 세분화, 퍼듀 모델에 따른 조정, 기타 모범 사례 구현이 없다면 조직은 NotPetya와 같은 랜섬웨어 및 기타 악성 프로그램의 측면 확산으로 인해 계속 어려움을 겪게 될 것입니다.
낫페트야 공격은 상호 연결성의 위협을 크게 부각시켰는데, 이전에 '에어 갭'이 존재했던 시스템이 서로 연결되면서 해커가 다양한 시스템에 자유롭게 접근할 수 있게 되었기 때문입니다. 또한 사이버 보안 사각지대라는 또 다른 위협에 대한 문제도 제기되었습니다. 적절한 OT 스캐닝 도구가 없는 피해 조직은 환경의 취약점을 전혀 인지하지 못했습니다. 이 공격의 결과로 조직은 확장되는 공격 표면을 방어하기 위해 강력하고 탄력적인 사이버 보안 전략과 특수 제작된 OT 사이버 보안 솔루션의 도움을 필요로 하게 될 것입니다.
또한 이러한 주요 위협이 의료 사이버 보안에 큰 영향을 미치는 것을 확인했습니다. 가장 주목할 만한 것은 뒤셀도르프 대학 병원에 영향을 미친 랜섬웨어 공격이었습니다. 이 랜섬웨어는 Citrix 애플리케이션의 잘 알려진 취약점을 통해 병원 네트워크에 유입된 것으로 알려져 있습니다. 병원 측은 이 취약점을 패치했다고 주장했지만, 여전히 30대의 서버가 손상되어 병원에서 계획된 외래 진료와 응급 치료가 불가능하다는 공지를 발표해야 했습니다. 그 후 응급 치료를 받으려는 사람들은 다른 병원으로 안내되었으며, 여기에는 즉각적인 치료가 필요한 78세 여성도 포함되었습니다. 공격으로 인해 구급차가 19마일 떨어진 병원으로 우회하면서 치료가 지연되었고, 안타깝게도 이 여성은 얼마 지나지 않아 사망했습니다. 이 사건은 의료 서비스 제공 기관에 랜섬웨어의 파괴적인 영향에 대한 경고 신호였으며, 그 결과가 단순한 금전적 피해 그 이상이라는 점을 강조했습니다. 중요 인프라에 대한 이 공격은 환자 안전을 보장하고 의료 기기를 보호하기 위해 효과적인 의료 사이버 보안을 구현하는 것이 얼마나 중요한지 보여주었습니다.
오늘날 중요 인프라 조직을 괴롭히는 주요 사이버 보안 위협을 이해했다면 이제 비즈니스를 보호하기 위해 다음과 같은 모범 사례를 구현해야 할 때입니다.
사이버-물리 시스템(CPS) 연결로 인해 보안 사각지대가 발생하고 공격 표면이 증가하여 환경의 가용성, 무결성, 안전에 위험을 초래할 수 있습니다. 따라서 보안 및 규정 준수 태세를 관리하기 위해서는 전사적으로 자산, 취약성 및 위험에 대한 완전한 인벤토리를 확보하는 것이 필수적입니다. 심층적인 자산 인벤토리를 통해 조직은 전체 식별자 및 동작 세부 정보를 포함하여 모든 XIoT 자산에 대한 포괄적인 가시성을 확보할 수 있습니다. 이러한 세부 정보는 조직이 기존 IT 보안 도구와 호환되지 않거나 보이지 않는 독점 프로토콜을 식별하는 데 도움이 됩니다. 또한 레거시 디바이스의 작동 및 통신 방식을 파악하는 데 도움이 됩니다. 이러한 심층적인 가시성은 규제 요건에 관계없이 달성할 수 있으므로 규정 준수와 관련된 사이버 보안 위협을 줄일 수 있습니다.
전사적 가시성을 확보한 후에는 조직이 기존 IT 도구 및 워크플로를 OT와 통합하는 것이 필수적입니다. 많은 CPS는 기존 IT 보안 솔루션과 호환되지 않는 독점 프로토콜과 레거시 시스템을 사용합니다. 많은 환경에서 기존의 취약성 스캐너는 안전하지 않으며, 다운타임에 대한 내성이 낮기 때문에 패치가 거의 허용되지 않습니다. IT 팀과 OT 팀 간의 협업과 올바른 CPS 보안 도구를 사용하면 조직은 이미 광범위한 기술 스택을 특수 목적의 OT 보안 솔루션과 통합하여 운영을 위험에 빠뜨리지 않으면서 위험 사각지대를 안전하게 발견할 수 있습니다. 이 전략을 통해 조직은 기존 도구와 워크플로를 IT에서 OT로 확장함으로써 위험 환경을 제어하고 전통적으로 사일로화된 팀 전체에 대한 가시성을 강화할 수 있습니다.
IT 환경과 달리 대부분의 XIoT 환경에는 필수적인 사이버 보안 제어와 일관된 거버넌스가 부족합니다. 이는 많은 XIoT 환경의 레거시 시스템이 보안보다는 기능 및 운영 안정성에 중점을 두고 구축되었기 때문인데, 이러한 시스템은 처음부터 인터넷에 연결할 의도가 없었기 때문입니다. 상호 연결성의 증가로 인해 이전에 '에어 갭'이 존재했던 이러한 시스템은 동일한 방식으로 연결 및 관리되도록 설계되지 않았던 IT 네트워크와 통합되었습니다. 디지털 혁신과 원격 및 하이브리드 업무 환경의 빠른 도입으로 인해 보안팀은 새롭게 상호 연결된 XIoT 환경의 고유한 과제에 대한 인식과 이해가 부족해졌습니다. 전담 보안 팀이나 OT 시스템 보안을 전문으로 하는 솔루션의 도움이 없다면 조직은 일관된 거버넌스와 제어가 부족하여 어려움을 겪을 것입니다. 이 문제를 해결하기 위해 조직은 모든 CPS에 대한 가시성을 제공하고, 기존 IT 도구 및 워크플로를 CPS와 통합하며, 보안 거버넌스를 통합하고 사이버 및 운영 복원력을 향한 여정에서 모든 사용 사례를 추진함으로써 IT 제어를 XIoT로 확장하는 데 도움을 주는 CPS 보안 공급업체와 협력할 수 있습니다.
조직이 새로운 사이버 위협으로부터 자신을 보호하기 위해 구현할 수 있는 다른 모범 사례는 여러 가지가 있지만, 이 세 가지가 훌륭한 출발점입니다. 지속적으로 진화하는 위협 환경의 트렌드와 변화에 대응하기 위해서는 포괄적인 가시성을 확보하고, 기존 IT 도구 및 워크플로우를 CPS와 효율적으로 통합하며, 강력한 보안 제어 및 거버넌스를 구축하는 것이 필수적입니다. 오늘날 사이버 보안은 환경이 점점 더 상호 연결되고 공격자들의 공격이 더욱 집요해짐에 따라 디지털 혁신의 영향과 유사하게 대응하는 것이 중요합니다. 위협 행위자가 악용하려는 위협 요소를 파악하고 적합한 CPS 보안 공급업체와 협력함으로써 조직은 보안 방어를 강화하고 비즈니스를 성공적으로 보호할 수 있습니다.
MOVEit 취약점에 대한 공개 익스플로잇으로 노출 증가
NotPetya: 6년 후를 돌아보며
