공공 데이터를 공공 지식으로 전환하기: Claroty 연례 보고서의 비하인드 스토리

산업 제어 시스템(ICS)의 취약점을 조사하기 시작한 지 3년이 지났습니다. 제 상사의 말 한마디로 시작된 것이 "데이터를 좀 모아서 어떤 결과가 나오는지 보자"는 상사의 말에서 시작된 것이 이제는 주요 산업에서 노출된 산업용 디바이스 취약점의 큰 그림을 조사할 수 있는 자동화된 스크래핑 인프라로 바뀌었습니다. 연구와 지식을 공유하는 것이 항상 최종 목표였으며, 충분한 데이터와 결론을 수집한 후 Claroty의 연례 ICS 위험 및 취약성 보고서 가 탄생했습니다.

이 프로젝트를 진행하면서 많은 것을 배웠고, 2년에 한 번씩 네 차례 보고서를 작성하면서 이제 우리가 만든 프로세스에 대한 비하인드 스토리를 공유할 때가 되었다고 생각했습니다. 데이터 수집 및 분석에 대한 각자의 접근 방식에 도움이 되기를 바라며 커뮤니티의 이익을 위한 지식 공유의 중요성을 강조하기 위해서입니다.

2022년 상반기의 취약점을 다루는 다음 버전의 보고서는 8월에 공개될 예정임을 다시 한 번 알려드립니다.

유용하게 만드는 것부터 시작하세요

위에서 말했듯이 이 모든 것은 제 상사가 ICS 취약성에 대한 데이터를 수집하고 이에 대해 어떤 이야기를 할 수 있는지 보라는 요청에서 시작되었습니다. 하지만 솔직히 말해서 저는 처음부터 어떤 데이터를 수집해야 의미 있는 이야기를 할 수 있을지 확신이 없었습니다. 그래서 (제 자신에게) 첫 번째 질문은 다음과 같았습니다: 내가 수집하고 분석하는 데이터에서 무엇을 얻고자 하는가? 처음부터 이 질문을 기준으로 삼았기 때문에 한 가지 확실한 것은 사람들에게 읽을 만한 유용한 정보를 제공해야 한다는 것이었습니다.

이를 위해서는 사용자가 벤더, CISO, 연구원, 분석가, OT 운영자 등 누구든 상관없이 ICS 커뮤니티에 도움이 되는 실행 가능한 정보를 만들어야 했습니다. 그래서 새로운 아이디어와 개념을 세상에 내놓는 것이 아니라 데이터를 기반으로 ICS 취약성 환경을 가능한 한 완벽하게 파악하고 권장 사항을 제공하는 데 중점을 두었습니다. 전체 그림은 이러한 취약점으로 인한 위험과 이를 관리하기 위한 단계를 이해하는 데 도움이 되며, 완화, 치료, 성공적인 익스플로잇의 심각성 등의 주제를 다루고 있습니다.

이를 염두에 두고 다음과 같은 핵심 질문에 초점을 맞춰 연구를 진행했습니다:

1. 특정 기간 내에 공개된 ICS 취약점에 대한 공개 데이터에서 어떤 결론을 도출할 수 있나요?

2. 이러한 취약점은 이러한 시스템을 패치하거나 완화해야 하는 사람들에게 어떤 문제를 야기할까요?

3. 발견된 결론과 과제와 관련하여 ICS 네트워크의 보안 위험과 취약성을 더 잘 관리하기 위해 무엇을 할 수 있을까요?

이 프로젝트를 통해 무엇을 하려고 하는지 더 잘 알게 된 후, 저는 사용할 수 있는 데이터를 찾기 시작했습니다. 국가 취약점 데이터베이스(NVD)와 ICS-CERT라는 두 가지 공개 소스부터 시작하여 모든 ICS 관련 CVE와 CVSS 심각도 점수, 관련된 공통 취약점 열거(CWE), 취약점을 공개한 연구자 등 관련 세부 정보를 스크랩하는 크롤러를 개발했습니다. 이후 2년에 한 번씩 발표되는 보고서에는 새로운 데이터 소스가 추가되었고 크롤러는 영향을 받는 제품, 수정 및 완화 조치의 가용성 등 더 많은 데이터를 수집했습니다.

물론 모든 데이터에 공개적으로 액세스할 수 있다고 해서 모든 사람이 사용할 수 있는 것은 아니기 때문에 그 시점에서 작업이 완료된 것은 아닙니다. 모든 사람이 데이터를 수집하고, 전체적으로 검사하고, 분석할 수 있는 리소스, 능력, 시간을 가지고 있는 것은 아닙니다. 따라서 많은 보안 분석가들이 취약점 공개 목록을 검토하고도 더 이상 이를 활용할 수 없는 상황에 놓이게 됩니다. 이 격년 보고서가 해결하고자 했던 것이 바로 이러한 격차를 해소하는 것이었습니다: 공개적으로 이용 가능한 데이터를 모두가 이용할 수 있는 공개 지식으로 전환하는 것입니다.

유사한 철학의 예로 ICS 자문 프로젝트의 창립자인 Dan Ricci의 작업을 들 수 있습니다. 대형 컨설팅 회사에서 근무했던 Ricci는 화학 제조업체를 대상으로 위험 평가를 수행했습니다. 그는 자산 운영자와 네트워크 관리자가 제어 시스템 취약성에 대한 인식을 유지하는 데 어려움을 겪고 있다는 사실을 금방 알게 되었습니다. 이러한 인식 부족과 숙련된 사이버 보안 인력이 거의 없다는 점(대부분의 중소 제조업체에서 흔히 볼 수 있는 상황)을 결합하면 기업은 종종 불리한 상황에 처하게 됩니다.

"사용자 환경에 맞게 ICS 공급업체 제품별로 필터링할 수 있는 방법을 쉽게 제공할 수 있다면 좋겠다고 생각했습니다."라고 Ricci는 설명합니다.

이 프로젝트는 사용자가 공급업체, 제품, CVSS 점수, 중요 인프라 부문 또는 공통 취약점 열거(CWE)를 기준으로 필터링할 수 있는 여러 대화형 대시보드를 호스팅합니다. 이 대시보드는 권고 정보를 시각화하며, 여러 소스에서 권고 사항을 선별하여 사용자에게 취약성 정보를 원스톱으로 제공합니다.

생각할 거리와 행동 지침

다양한 소스에서 데이터 수집이 완료되면 크롤러는 향후 분석을 위해 데이터를 처리, 병합, 저장합니다. 연례 보고서를 작성할 때가 되면 방대한 양의 데이터를 검토하고 분석을 시작하여 트렌드와 강조할 유용한 정보를 찾습니다. 

이렇게 하다 보면 모든 것이 똑같이 중요한 것은 아니라는 사실을 잊기 쉽습니다. 그렇게 생각하면 모든 데이터 속에서 길을 잃기 쉽고, 핵심이 무엇인지 불분명해지기 때문에 독자들이 혼란을 겪게 됩니다. 따라서 일반적으로 몇 가지 핵심 트렌드를 골라 요약본이나 전용 웨비나 등에서 강조하는 것이 좋습니다.

의미 있는 지식과 실행 가능한 인사이트를 창출하기 위해서는 단순히 취약점을 집계하고 증가하는 추세를 파악하는 것만으로는 충분하지 않습니다. 이러한 공개에 컨텍스트를 제공하는 것이 중요한 이유는 이러한 취약점이 ICS 네트워크에 미치는 위험에 대한 심층적인 이해를 제공할 수 없기 때문입니다. 

한 가지 좋은 예는 CVSS 점수만으로 취약점을 해결하는 것이 충분하지 않다는 것을 깨달은 것입니다. CVSS 점수 모델은 우선순위가 다른(예: 데이터 무결성은 가용성이나 안전만큼 중요하지 않은) OT가 아닌 IT 네트워크를 염두에 두고 만들어졌습니다. 따라서 서비스 거부 공격 또는 원격 코드 실행으로 이어지는 익스플로잇의 파급 효과가 다른 것보다 더 중요하며 중요도 점수와 관계없이 강조되어야 한다는 점을 고려하여 CVSS 점수를 여러 구성 요소로 나누고 공통 약점 및 열거(CWE) 정보를 추가했습니다. 

앞서 말했듯이 취약성을 유형과 심각도별로 집계하고 분류하는 것만으로는 충분하지 않습니다. 이러한 정보가 완화 또는 패치 정보에 대한 실행 가능한 조언으로 보완되지 않는다면 무슨 소용이 있을까요? 이러한 정보는 보안 운영 센터 분석가 또는 OT 운영자가 허용 가능한 다운타임 및 시스템 업데이트에 대한 전략을 수립할 때 매우 중요한 정보입니다. 

저희는 완화라는 단어를 수정과 구분하여 사용하고 있으며, 그럴 만한 이유가 있습니다. 데이터와 업계에 알려진 바에 따르면 소프트웨어 패치와 펌웨어 업데이트가 항상 즉시 적용되지는 않는다는 것이 분명해졌습니다. 패치는 기존 애플리케이션과의 호환성 문제가 없는지 파악하기 위해 회귀 테스트를 거쳐야 하며, 패치로 인해 원활하게 운영 중인 프로세스가 중단되는 것을 원하지 않습니다! 

펌웨어 업데이트는 또 다른 과제입니다. 펌웨어 업데이트는 개발 시간이 오래 걸리고, 개발이 완료된 후에도 여러 지역에 있거나 접근하기 어려운 곳에 있는 사이트 전체에 적용하는 것이 쉽지 않습니다. 

분명한 것은 OT 환경에서의 업데이트는 IT 네트워크에서의 업데이트와는 매우 다른 문제입니다. 대부분의 경우 운영자는 업데이트 창이 전사적으로 작동하거나 영향을 받는 공급업체에서 패치 또는 펌웨어 업데이트를 제공할 때까지 임시방편으로 일종의 완화 조치에 의존합니다. 때때로 이러한 취약성 관리 측면은 공급업체의 권고나 CERT에서 제공하는 불완전한 정보로 인해 방해를 받기도 합니다. 이것이 바로 데이터 연습의 진정한 가치입니다. 동료들이 완화 조치를 통해 어떤 성공을 거두고 있는지, 그리고 이를 환경에 어떻게 적용할 수 있는지 보여주는 것입니다. 

저희는 보고서를 읽는 모든 사람이 하루 종일 키보드 뒤에 앉아 있거나 HMI에 시선을 고정하는 기술 전문가가 아니라는 것을 잘 알고 있습니다. 2년에 한 번씩 발간되는 이 보고서는 일상적인 운영상의 의사 결정뿐만 아니라 장기적인 전략적 의사 결정에도 도움이 되는 기술 및 전략적 인사이트를 제공합니다. 이 보고서를 작성하게 되어 영광이며, 새로운 트렌드가 등장하고 오래된 트렌드가 여전히 유효하다는 것을 확인하게 되어 기쁩니다. Team82의 사명은 중요 산업 분야의 시스템의 보안, 가용성 및 안정성을 개선하여 산업, 의료 및 상업 부문을 더욱 안전하게 만드는 것입니다. 2년에 한 번씩 발표하는 이 보고서는 저희의 기여 중 하나에 불과하지만 매우 중요한 보고서이므로 계속 읽어주시기 바랍니다.