수년 동안 정부는 정부 기관과 에너지, 원자력, 상업 시설, 수도, 항공, 주요 제조 부문을 포함한 미국의 여러 중요 인프라 부문에 대한 표적 공격에 대해 공개적이고 분명하게 경고해 왔습니다. 최근 콜로니얼 파이프라인에 대한 다크사이드 사이버 범죄 그룹의 랜섬웨어 공격으로 인해 우리 모두에게 위험이 현실화되었습니다. 콜로니얼 파이프라인은 사이버 공격으로 인해 파이프라인 운영을 중단하고 미국 남동부 전역에 휘발유 및 기타 석유 제품의 공급을 중단했습니다. 이 사건은 운송 산업의 여러 부문에 영향을 미쳤는데, 많은 항공사의 제트 연료 부족으로 항공 운송에 차질이 빚어지고 가스 부족에 대한 공포로 인해 소비자들은 주유소에서 패닉 구매를 하는 등 여러 분야에 영향을 미쳤습니다.
최근, Claroty 의 편집 디렉터인 마이크 미모소는 산업 사이버 보안의 최전선에 있는 Claroty 전문가들을 모아 "랜섬웨어가 OT 네트워크에 미치는 영향"이라는 웨비나를 개최했습니다: 랜섬웨어가 산업 프로세스에 미치는 영향에 대해 콜로니얼 파이프라인 이후 알아야 할 사항"이라는 주제로 웨비나를 개최했습니다. 패널 중에는 "위기를 낭비하지 말고 변화를 주도하세요."라는 관점으로 분위기를 조성한 마이클 로저스 제독(예비역)( Claroty , 자문위원회 의장)이 참여했습니다. 위기를 기회로 삼아 변화를 주도하세요." 이러한 정신으로 그는 Gary Kneeland, Sr. 제품 관리자, 혁신 담당 이사 저스틴 우디와 함께 IT 및 OT 팀을 위한 관찰, 조언 및 다음 단계를 공유했습니다.
랜섬웨어 공격은 대부분 기회주의적입니다. 콜로니얼 파이프라인 사이버 공격 당시, 공격자들은 거액의 몸값을 지불할 수 있다고 생각되는 대규모 조직을 대상으로 서비스형 랜섬웨어를 활용했습니다. 콜로니얼 파이프라인에 침투하여 궁극적으로 콜로니얼 파이프라인을 중단시킨 초기 공격 벡터가 무엇인지 알 수는 없지만 가장 일반적인 세 가지 방법은 패치되지 않은 시스템, 피싱, 도난 또는 구매가 가능한 유출된 자격 증명이 있습니다. 조직이 디지털화를 우선시하고 IT 네트워크와 OT 네트워크의 융합이 확대됨에 따라 IT 네트워크와 OT 네트워크 간의 경계가 모호해지고 있습니다. 이로 인해 사이버 범죄자들이 다른 네트워크 도메인으로 횡적으로 이동할 수 있게 되면서 산업 사이버 보안에 심각한 문제가 발생하고 있습니다.
그러나 현재까지 OT 구성 요소를 구체적으로 표적으로 삼은 랜섬웨어의 사례는 아직까지 발견되지 않았습니다. 이는 랜섬웨어가 IT 네트워크에 침투하여 OT 네트워크에 직접적인 영향을 미쳤다는 증거가 없는 Colonial Pipeline 사이버 공격의 경우에도 마찬가지입니다. 콜로니얼 파이프라인은 비록 OT에는 영향을 미치지 않았지만, 만일의 사태에 대비해 네트워크의 OT 쪽을 셧다운하여 연료 분배 기능을 차단했습니다. OT 운영을 중단하기로 결정한 이유는 노출 수준에 대한 가시성과 이해가 부족하고 OT 네트워크에 미치는 영향을 완화할 수 있는 능력에 대한 확신이 부족했기 때문입니다. 다행히도 이 문제는 기본적인 보안 관행으로 해결할 수 있으며, 향후 이러한 유형의 사이버 위협을 예방하는 데 사용할 수 있습니다.
패널들이 몇 가지 보안 관행에 대해 논의하는 동안 다음은 5가지 주요 권장 사항입니다:
모든 보안 프로그램의 기본은 네트워크 구조, 엔드포인트, 연결 경로에 대한 가시성과 정확한 지식을 확보하는 것이며, 이는 지난 15개월 동안 꾸준히 증가해왔고 급격히 늘어났습니다. 항상 최신 인벤토리를 통해 시스템을 패치하거나 레거시 및 지원되지 않는 시스템에 대한 추가 확인 또는 기타 보완 제어를 적용할 수 있습니다.
랜섬웨어에 대한 사이버 방어 및 복원력을 높이려면 미사용 및 이동 중인 데이터를 암호화하는 것이 중요합니다. 이러한 공격으로부터 신속하게 복구하려면 안전하면서도 사용 가능한 오프라인 백업이 중요합니다.
네트워크 세분화는 공격자의 측면 네트워크 이동을 방해하는 중요한 전략입니다. 오늘날의 초연결 세상에서 OT 네트워크는 더 이상 에어 갭이 존재하지 않으며 네트워크 세분화는 이를 보완합니다.
비정상적인 활동에 대한 지속적인 네트워크 모니터링을 통해 악의적인 행위자가 네트워크에 침입하는 시점을 파악하고 더 빠르게 대응하여 나쁜 상황을 개선할 수 있습니다.
테이블탑 연습과 레드팀/블루팀 연습을 통해 프로덕션 환경에 영향을 주지 않고 계획을 계획하고 테스트할 수 있습니다. 더 많이 훈련하고 테스트할수록 신속하고 효과적으로 대응할 수 있는 준비가 되어 있습니다. 타사와 협력하는 경우에는 서비스 계약에 재해 복구가 포함되어 있는지 확인하세요.
웨비나 청중이 제기한 몇 가지 질문은 랜섬웨어 공격의 빈도와 정교함이 증가함에 따라 중요한 논의 주제로 남을 것입니다. 따라서 여기에서 이러한 질문을 공유하고자 합니다:
콜로니얼 파이프라인은 자체적으로 파이프라인을 폐쇄하기로 결정했습니다. 모든 부문에 적용되는 것은 아니지만 에너지, 석유 및 가스, 운송, 금융 및 의료와 같은 일부 중요 부문에 속한 기업의 경우, 폐쇄 결정은 진공 상태가 아닌 정부 기관과 협의하여 내려야 할 수 있습니다. 그러나 이 경우 즉각적인 접근과 전담 인력을 위한 대비책을 마련해야 합니다.
몸값 지불에 대한 압력은 상황에 따라 다르며, 모든 상황에 맞는 일률적인 접근 방식은 없습니다. 하지만 몸값 지불에 대한 처벌을 도입하는 법적 프레임워크가 통과되면 기업이 이러한 공격을 관리하는 과정에서 정부 기관이 실시간으로 도움을 줄 수 있어야 합니다. 보험 제공업체에는 어떤 영향이 있을까요? 좋은 운전자와 더 안전한 자동차에 보상하는 자동차 보험과 마찬가지로 사이버 보험은 위험과 책임을 회피하기 위한 수단이 아니라 더 강력한 보안 관행을 장려하는 데 사용되어야 합니다.
여기에는 지정학적 환경, 경제적 동인, 파괴적인 지역 또는 세계 사건 등 다양한 변화 요인이 작용합니다. 하지만 로저스 제독은 조직이 표적이 될 가능성을 사이버 방어 및 복원력 전략의 초석으로 삼아서는 안 된다고 조언합니다. 공격자가 가장 중요하게 생각하는 것은 몸값을 지불할 돈이 있는지, 네트워크 액세스 권한을 얻기 위한 공격자의 기술이 효과적인지 여부라는 것을 우리는 반복해서 목격하고 있습니다. 또한 SolarWinds 공격에서 알 수 있듯이, 피해를 입은 수백 개의 기업은 모두 특정 표적이 아니라 공급망의 일부로 우연히 부수적인 피해를 입었습니다.
콜로니얼 파이프라인 사이버 공격은 산업 사이버 공격이 주류로 부상하는 계기가 되었습니다. 이 사건을 통해 IT 시스템에 대한 랜섬웨어 공격이 OT 네트워크와 프로세스에 미치는 영향과 중요 인프라 조직이 점점 더 많은 표적이 되는 이유를 알게 되었습니다. 오늘날의 불안정한 사이버 보안 환경에서 해커들은 중요 인프라 조직이 다운타임을 감당할 수 없다는 것을 알고 있기 때문에 랜섬웨어 공격의 빈도와 정교함이 점점 더 커지고 있습니다. 다행히도 조직은 기본적인 보안 모범 사례를 마련하고 전용 사이버 물리 시스템(CPS) 보호 플랫폼의 도움을 받아 이와 같은 공격을 방지할 수 있습니다.
전체 토론 내용을 듣고 이 위기를 기회로 삼아 조직의 산업 사이버 보안을 강화하는 실질적이고 의미 있는 변화를 추진하는 방법에 대해 자세히 알아보려면 지금 온디맨드 웨비나 다시보기를 시청하세요.
Claroty 글로벌 정전 중에도 제품 보안 유지, 고객을 위한 지침
의료 서비스 사이버 공격의 변화: 의료 서비스 제공 조직에 미치는 영향
MOVEit 취약점에 대한 공개 익스플로잇으로 노출 증가
