최근 몇 년간 운영 기술(OT) 시스템에 대한 사이버 공격은 빠르게 확장되는 공격 표면, 지정학적 분쟁, 강력한 랜섬웨어 도구의 증가로 인해 증폭되고 있습니다. 중요 운영을 뒷받침하는 OT 디바이스와 시스템이 그 어느 때보다 더 많이 연결됨에 따라, 중요 인프라 조직은 OT 사이버 위험을 정확하게 평가할 수 있는 방법을 고민하고 있습니다. 포괄적이고 사전 예방적인 공격 노출 관리 전략을 구현함으로써 조직은 OT 위험 상태를 적절히 평가하고 환경에서 가장 시급한 취약점의 우선순위를 효과적으로 지정할 수 있는 도구를 확보할 수 있습니다. 이 블로그에서는 OT 사이버 위험의 의미를 세분화하고, 고유한 환경의 맥락에서 이를 이해하는 방법을 알아보고, 진화하는 사이버 위협으로부터 OT 시스템을 보호하기 위한 주요 공격 노출 관리 전략을 평가합니다.

OT 사이버 위험이란 무엇인가요?

위험의 핵심은 바람직하지 않은 일이 발생할 가능성과 잠재적 영향을 측정하는 것입니다. 이 간단한 정의는 사이버 물리 시스템(CPS), 사이버 보안 등에 국한된 것이 아니라 어떤 상황에서도 변함없이 유지되며 다음 공식을 통해 쉽게 증명할 수 있습니다: 위험 = 가능성 x 영향. 이 방정식은 수학적으로 문자 그대로 해석할 수 있는 것은 아니지만, 방정식의 변수 중 하나만 제거하면(즉, 0의 값을 할당하면) 해당 위험도 제거된다는 수학적으로 정확한 진리를 강조합니다. 대부분의 위험을 완전히 제거하는 것은 거의 불가능하지만, 위험 관리의 기본 원칙은 위험을 줄이는 방법, 즉 이 블로그의 뒷부분에서 자세히 설명할 OT 위험 제어를 적용하는 방법을 알려줍니다.

최근 IT와 OT의 급속한 융합으로 인해 사이버 위험이 더욱 증폭되고 있습니다. 전통적으로 IT와 OT 환경은 서로 연결되지 않은 채 독립적으로 운영되고 별도의 보안 팀에서 관리하도록 설계되었습니다. 하지만 OT 시스템이 IT 네트워크와 인터넷에 점점 더 많이 연결되면서 변하지 않는 위험 요소가 생겼습니다. 그리고 이러한 위험 요소의 결과로 물리적 손상, 운영 중단, 환경 사고, 심지어 공공 안전에 대한 위협 등 심각한 영향을 미칠 수 있는 사이버 위협이 발생할 수 있습니다. 그렇기 때문에 중요 인프라 조직은 OT 사이버 위험 관리의 우선순위를 정하는 것이 무엇보다 중요합니다. 

OT 사이버 위험의 예

안타깝게도 조직에 더 나은 의사 결정, 위험 감소, 환자 치료 결과 개선, 전체 비용 절감을 제공하는 동일한 CPS가 보안을 염두에 두고 설계되지 않았기 때문에 일반적으로 사이버 공격에 취약할 수 있습니다. 이러한 문제를 극복할 수 있는 적절한 전략과 솔루션이 없다면 조직은 다음과 같은 형태로 OT 사이버 위험 증가에 직면하게 됩니다: 

1. 무단 원격 액세스:

모든 CPS 환경에는 사이버 위험 태세에 기여하는 다양한 위험 요소와 제어 기능이 있으며, 이러한 요소는 CPS 사이버 위험 점수 메커니즘을 통해 고려하고 정량화해야 합니다. 주요 위험 요소 중 하나는 무단 원격 액세스를 포함합니다. OT 원격 사용자는 운영에 위험을 초래할 수 있는 무단 변경을 수행할 수 있는 잠재적 위험이 있습니다. 이러한 위험은 사이버 보안 담당자가 사용자의 활동에 대한 가시성을 제대로 확보할 수 없고 사용자에 대한 역할 및 정책 기반 액세스 제어를 구현할 수 없는 기존의 원격 액세스 도구를 사용함으로써 더욱 가중됩니다. 위험 점수 매기기와 같은 강력한 OT 전용 보호 기능을 갖추지 않으면 환경에 막대한 위험이 발생할 수 있습니다. 

2. 랜섬웨어:

석유 및 가스 회사, 제조 조직, 식음료 생산업체, 제약 회사는 최근 랜섬웨어 공격으로 인해 전례 없는 재정적 손실, 공급망 중단, 우리 사회를 지탱하는 필수 서비스에 대한 피해와 함께 장기간의 가동 중단을 초래한 많은 피해자들 중 하나입니다. 사이버 위협 공격자들이 이러한 중요 인프라 조직에 내재된 취약점을 점점 더 많이 악용하고 있기 때문에 위험을 정확하게 평가하고, 환경에 존재하는 취약점을 파악하고, 그에 따라 보안 조치의 우선순위를 정하려면 OT 환경에 대한 포괄적인 이해가 필요합니다. 

3. 레거시 장치:

레거시 디바이스와 시스템은 오래된 소프트웨어와 하드웨어로 인해 알려진 취약점에 노출되어 사이버 위험을 증가시키는 원인이 되었습니다. 또한 보안 업데이트와 패치가 부족하여 공격자가 무단으로 액세스할 수 있는 익스플로잇에 더 취약한 경우가 많습니다. CPS 환경의 광범위한 위험 요소와 제어를 반영하는 위험 점수 메커니즘이 없으면 레거시 디바이스 관리, 자산 패치 및 일상적인 유지 관리, 사이버 보안 관행을 자산 사용에 통합하는 것은 운영에 영향을 주지 않고는 거의 불가능합니다. 

OT 사이버 리스크를 이해하는 방법

많은 조직이 OT 시스템에 대한 사이버 공격이 얼마나 심각한지 알고 있지만, 자사 환경에서 가장 위험한 위협에 가장 효과적으로 대처하기 위해 OT 사이버 위험의 우선순위를 정하는 데 어려움을 겪는 경향이 있습니다. 이는 조직이 표준 솔루션에서 생성된 CPS별 위험 점수를 평가하기 때문에 가장 중요한 환경의 취약점을 우선순위로 지정할 수 없기 때문입니다. 표준 솔루션의 CPS별 위험 점수는 다음과 같은 이유로 인해 오해의 소지가 있는 경향이 있습니다:

1. 가시성 제한: 대부분의 표준 솔루션은 일부 독점 프로토콜, 레거시 시스템 및/또는 중요 인프라 환경에 내재된 고유한 복잡성과 호환되지 않으므로, 해당 환경 내에서 위험을 정확하게 평가하는 데 필요한 수준의 가시성을 제공할 수 없습니다. 

2. 범위 제한: 표준 솔루션은 계산 시 CPS 환경의 보상 제어 및 위험 요소의 전체 범위를 고려하지 않으며, 이러한 격차는 위에서 언급한 가시성 제한으로 인해 더욱 악화될 뿐입니다. 그 결과 제공되는 위험 점수가 너무 높거나 낮은 경향이 있습니다. 

3. 유연성의 한계: 대부분의 표준 솔루션은 위험 계산에 대해 경직된 '획일적' 접근 방식을 취합니다. 각 CPS 환경은 고유하지만, 표준 솔루션은 고객이 가장 중요한 요소에 따라 다양한 위험 요소에 가중치를 부여하는 방법을 사용자 지정할 수 있는 옵션을 거의 제공하지 않습니다. 그 결과, 조직은 비즈니스의 실제 상황에서 CPS 위험 상태를 정량화할 수 없습니다. 

조직이 고유한 환경의 맥락에서 위험을 식별하고 그 영향을 평가할 수 있는 올바른 전략과 기술을 갖추지 않으면 잘못된 정보에 기반한 OT 사이버 위험 관리 전략에 머물게 될 것입니다. 다행히도 위험 기반 취약성 관리(RBVM) 전략과 위험 상태 평가를 최적화할 수 있는 올바른 툴을 갖춘 조직은 CPS 위험 상태를 효과적이고 효율적으로 이해하고 정량화할 수 있습니다. 

최고의 리스크 관리 전략은 무엇인가요? 

효과적인 OT 보안 위험 관리 전략은 비즈니스 목표와 운영에 영향을 미칠 수 있는 잠재적인 위험과 취약성을 성공적으로 식별, 평가, 완화하는 것에서 시작됩니다. 포괄적인 위험 관리 프레임워크는 조직의 특정 요구 사항과 목표에 맞게 조정되어야 하지만, 다음은 여정을 시작하는 데 도움이 되는 몇 가지 주요 전략입니다: 

OT 환경의 모든 CPS에 대한 가시성 확보 

OT 환경을 뒷받침하는 모든 OT, IoT, IIoT, BMS 자산 및 기타 모든 CPS에 대한 포괄적인 인벤토리는 효과적인 취약성 및 위험 관리의 기초입니다. 그러나 이러한 가시성을 확보하는 것은 오늘날 보안 및 리스크 리더가 직면한 가장 중요하면서도 어려운 과제 중 하나입니다. 그렇기 때문에 조직의 고유한 요구사항에 가장 적합한 방식으로 완전한 가시성을 제공하기 위해 여러 가지 매우 유연한 검색 방법을 혼합 및 조합할 수 있는 CPS 보안 도구를 구현하는 것이 중요합니다. 이러한 수준의 자산 가시성은 조직의 취약성과 잠재적인 공격 경로를 심층적으로 파악하여 가장 중요한 문제에 우선적으로 집중할 수 있도록 지원합니다. 

세분화되고 유연한 위험 점수 프레임워크 구현

모든 CPS 환경은 고유하지만 대부분의 솔루션은 고객에게 중요한 요소에 따라 다양한 위험 요소에 가중치를 부여하는 방법을 사용자 지정할 수 있는 옵션을 거의 제공하지 않습니다. 대부분의 사이버 보안 소프트웨어 공급업체는 기업이 원하는 위험 계산 방식에 맞게 구성하거나 조정할 수 없는 고정된 위험 계산을 개발합니다. 따라서 위험을 증가시킬 수 있는 확장된 범위의 요인을 고려하는 위험 관리 도구를 구현하고 위험을 상쇄할 수 있는 보상 제어를 구현하는 것이 중요합니다. 이를 통해 이제 막 CPS 보안을 시작하는 조직은 OT 위험 상태를 바로 정확하게 평가할 수 있으며, CPS 보안 성숙도를 향한 여정을 가속화할 수 있습니다. 

악용 가능성에 따라 취약점 우선 순위 지정하기

표준 솔루션과 기존의 통념에 따르면 취약점 우선순위는 악용 가능성보다는 공통 취약점 점수 시스템(CVSS)을 기반으로 지정하는 경향이 있습니다. 이러한 취약점 우선순위 지정 방식으로 인해 이미 업무 부담이 과중한 많은 조직의 담당자가 악용될 가능성이 없거나 악용될 가능성이 없는 취약점에 우선순위를 두고 리소스를 소비하게 되는 경우가 많습니다. 이러한 문제를 해결하기 위해 조직은 알려진 익스플로잇 취약점(KEV) 카탈로그와 익스플로잇 예측 점수 시스템(EPSS)의 최신 현황 및 예상 익스플로잇 가능성 지표를 기반으로 취약점을 자동으로 보강하고 우선순위 그룹에 할당할 수 있는 도구를 구현해야 합니다. 따라서 조직은 무기화될 가능성이 가장 높은 취약점을 기준으로 가장 중요한 취약점을 보다 효율적이고 효과적이며 쉽게 이해하고 우선순위를 지정할 수 있습니다. 

조직은 변화하는 비즈니스 환경과 새로운 위협에 적응하고 환경에 내재된 OT 취약성에 맞서 싸우면서 OT 사이버 위험을 관리하는 데 계속 어려움을 겪을 것입니다. 따라서 중요한 인프라 환경의 잠재적 위험과 불확실성을 완화하기 위해 OT 보안 위험 관리 전략과 솔루션을 구현하는 것이 중요합니다. Claroty 의 새로운 공격 노출 관리 솔루션 및 취약성 및 위험 관리(VRM) 모듈과 같은 기능을 통해 조직은 CPS 위험 상태를 더 잘 이해하고, 이를 개선하기 위해 리소스를 더 잘 할당하고, CPS 보안 여정을 가속화할 수 있습니다. Claroty 에서는 모든 CPS 환경이 고유하므로 위험 및 취약성 관리 전략을 각 조직의 필요에 맞게 구체적으로 조정해야 한다는 점을 잘 알고 있습니다. VRM은 OT 사이버 위험을 정확하게 평가하는 방법을 포함하여 고객이 가장 어려운 사이버 보안 질문에 답할 수 있도록 지원함으로써 바로 그 역할을 수행합니다.

이 최신 릴리스에 대한 자세한 내용과 Claroty 에서 CPS 보안 여정을 지원하는 방법에 대해 알아보려면 xDome 또는 Medigate용 VRM 솔루션 개요를 확인하거나 보도 자료를 읽거나 간단히 데모를 요청하세요.