한국정보보호학회 CPS보안연구회가 주관하는 제14회 CPS 보안워크숍(조직위원장 가천대 서정택 교수)이 2024년 5월 30일부터 31일까지 제주 메종글래드호텔 크리스탈볼룸에서 열렸다. 이번 행사에는 400여 명의 각 분야 보안 담당자들이 참석하여 성황을 이루었다.

이날 카스퍼스키 강민석 이사는 '2023년 OT 위협 랜드스케이프와 그 대응방안으로서의 OT XDR'을 주제로 강연을 진행했다.

OT 위협 동향 분석

강 이사는 2023년의 OT 위협 동향을 분석하며, "가장 활발한 공격 그룹은 북한 정부 후원 해킹그룹 라자루스였으며, 특히 정부기관과 금융기관을 주로 타깃으로 삼았다"고 밝혔다. 이어 "2020년부터 현재까지 APT(Advanced Persistent Threat) 타깃이 된 주요 산업은 정부기관과 금융기관이었으며, 에너지 산업도 중요한 공격 대상 중 하나"라고 덧붙였다.

그는 "2021년에는 콜로니얼 파이프라인 사건이 대표적"이라며, "콜로니얼 파이프라인이 공격을 받아 56억 원을 지불해야 했다. 그러나 대부분의 공격은 여전히 지정학적 이슈가 있는 국가들에서 발생했다"고 설명했다.

강 이사는 "OT에 대한 공격이 점점 늘고 있는 것은 국가 지원을 받는 준군사 조직의 공격 그룹들이 늘어나고 있기 때문이며, IIOT(Industrial Internet of Things)의 발달로 인해 인터넷과 OT망의 연결 접점이 늘어나면서 위협 표면이 증가했기 때문"이라고 분석했다.

강민석 이사 강연 내용에서 2023년 기준 산업 분야별 OT(Operational Technology) 위협 동향과 증가 요인에 대한 분석 내용을 정리하면 다음과 같다.

1. 정부기관 및 금융기관

-주요 타겟: 정부기관과 금융기관은 지속적으로 APT 공격의 주요 타겟이 되어왔다.

-공격 빈도: 2020년부터 현재까지 가장 많이 타겟이 된 산업군으로 꼽혔다.

2. 에너지 산업

-공격 증가: 에너지 산업에 대한 공격이 지속적으로 증가하고 있다.

-순위 변화: 과거 8위였던 에너지 산업이 최근 5위로 상승하며 공격 빈도가 높아졌다.

-주요 사례: 콜로니얼 파이프라인 사건이 대표적 사례로, 이 사건에서는 공격으로 인해 막대한 금전적 손실이 발생했다.

-APT 공격: 국가 중요 장치 산업인 에너지, 오일, 가스 분야는 APT의 주요 공격 대상이 되고 있다.

3. 제조 산업

-공격 빈도: 제조 산업 역시 공격이 증가하고 있으며, 최근 8위와 9위에 해당하는 산업으로 떠오르고 있다.

-APT 공격: 제조업체들이 APT 공격에 취약한 분야로 떠오르고 있다.

4. 건물 자동화

-악성코드 탐지 급증: 건물 자동화 영역에서는 악성코드 탐지율이 평균을 상회하는 높은 수치를 기록하고 있다.

-인터넷 연결: 인터넷 연결이 많은 점이 높은 악성 행위 탐지율의 주요 원인으로 분석되었다.

5. ICS(산업 제어 시스템)

-악성코드 탐지: ICS 컴퓨터에서 악성코드 탐지율이 높다.

-지정학적 이슈: 주로 지정학적 이슈가 있는 국가들에서 공격이 많이 발생하고 있다.

6. 기타

-국가 지원 공격 그룹: 국가의 지원을 받는 준군사 조직의 공격 그룹들이 증가하고 있으며, 이들이 다양한 산업 분야를 타겟으로 삼고 있다.

-IIOT의 발달: 산업 인터넷(IoT) 기술의 발전으로 인해 인터넷과 OT망의 연결 접점이 늘어나면서 위협 표면이 증가하고 있다.

XDR을 활용한 OT 보안 강화

강 이사는 OT 보안 솔루션의 필요성을 강조하며, "OT망에서는 IT망과 다른 특수한 보안솔루션이 필요하다"며 "엔드포인트 보안솔루션, DLP(Data Loss Prevention) 등 다양한 소프트웨어를 설치할 수 있는 IT망과 달리, OT망에서는 CPU 퍼포먼스와 메모리가 제한된 장비들이 많기 때문에 가벼운 전용 솔루션이 필요하다"고 설명했다.

이어 그는 "XDR(Extended Detection and Response) 솔루션의 필요성"에 대해서도 언급하며, "XDR은 단순히 위협을 탐지하고 제거하는 것이 아니라, 공격의 전체 체인을 분석해 대응할 수 있어야 한다"고 강조했다. 강 이사는 "OT 전용 엔드포인트 보안솔루션과 함께 NDR(Network Detection and Response) 솔루션을 통합한 XDR 솔루션으로 OT망 전체의 보안 수준을 높일 수 있다"고 말했다.

실제 공격 사례 분석

강 이사는 실제 공격 사례를 통해 OT 보안의 중요성을 강조했다. 그는 "블루노로프 스니치 크립토 캠페인의 공격 방식은 매우 복잡하며, 공격자는 초기 단계에서 리모트 엑세스 취약점이나 스피어 피싱 이메일을 통해 IT망에 접근한다"며 "공격자는 조커 파일을 전송하고, 이 파일은 공격자의 C&C 서버에 접속해 악성 스크립트를 다운로드 받는다"고 말했다.

이어 "공격자는 증적을 남기지 않기 위해 시스템에 증적을 남기는 솔루션이 있을 경우 스스로 지우고 사라진다"며 "2차 스크립트는 의미 있는 데이터가 있는지, 네트워크 관리자의 PC인지 확인해 핑거프린트를 찍어 공격자에게 전송한다"고 설명했다. 마지막으로 "트로이목마나 백도어 같은 프로그램을 다운로드 받아 데이터를 유출하거나 암호화, 파괴한다"고 덧붙였다.

강 이사는 "하나의 캠페인에서도 다양한 악성코드가 사용되며, 탐지가 어려운 스크립트들이 많이 존재한다"며, "완벽하게 모든 악성 코드를 탐지해낼 수 없기 때문에, 위협 인텔리전스를 이용해 공격에 대한 킬체인을 구축할 필요가 있다"고 강조했다.

마지막으로 강 이사는 카스퍼스키의 보안 서비스를 소개했다. "카스퍼스키는 1999년에 설립되었으며, 한국 지사는 2013년 11월에 설립되었다"며, "본사는 영국 런던에 위치하고 있으며, 데이터센터는 정보보호법이 가장 강력한 스위스에 있다"고 설명했다. 또한 "카스퍼스키의 글로벌 연구원들은 3천 명이 넘으며, 이들은 사이버 위협을 지속적으로 탐색하고 대응해 보다 안전한 사이버 세상을 만드는 것이 목표"라고 밝혔다.

발표 후 한 참석자는 "OT 보안솔루션을 도입하는 데 있어서 가장 큰 장애물은 무엇인가?"라는 질문을 던졌다. 이에 강 이사는 "가장 큰 장애물은 기존 시스템의 호환성과 비용"이라며, "많은 기업들이 기존 시스템을 교체하거나 업그레이드하는 데 부담을 느끼기 때문에, 비용 효율적인 솔루션을 제공하는 것이 중요하다"고 답변했다.

또 다른 참석자는 "XDR 솔루션의 도입 효과를 어떻게 측정할 수 있는가?"라는 질문을 했다. 강 이사는 "XDR 솔루션의 효과는 위협 탐지와 대응 속도, 그리고 실제 공격으로부터 보호된 사례들을 통해 측정할 수 있다"며 "실제 데이터를 기반으로 한 효과 분석이 필요하다"고 설명했다.

이번 발표는 각 산업 분야에서의 OT 보안 위협을 분석하고, 이를 통해 각 산업이 직면한 보안 위협을 이해하는 데 중요한 정보를 제공했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★