[아이티데일리] 우주론에는 ‘홀로그램 우주’라는 이론이 있다. 이는 3차원 공간의 부피가 2차원 표면에 드러난 정보로 완전히 설명될 수 있다는 내용이다. 조직의 보안 태세 맥락에서 보면 ‘공격 표면 관리’는 매우 중요하다. 악의적인 행위자가 취약점을 악용할 수 없으면 취약점은 아무런 의미가 없다. 취약점이 실제로 악용 가능한지를 파악하는 핵심은 보안 통제나 다른 심층 방어 요소를 고려해 실제로 접근 가능한지를 식별하는 데 있다.

공격 표면은 여러 방면으로 확장되고 있으며, 매우 정교화되고 있다. 이 중 주목할 만한 두 가지 확장 영역은 운영 기술(OT)과 클라우드다. 런제로 연구 보고서에서 OT와 클라우드 기술의 확산과 이와 관련된 특정된 위험이 이러한 환경의 공격 표면에서 발생하는 문제를 어떻게 다뤄야 하는지에 대한 심층적인 검토가 필요하다고 강조했다.

OT 및 IT 융합이 최종 상태가 될 것
운영 기술(OT) 및 산업 제어 시스템(ICS) 환경은 IT 장치 및 네트워크와의 새로운 융합 시대를 맞아 크게 변화하고 있다. 실제로 미국 대통령의 국가 안보 통신 자문 위원회(National Security Telecommunications Advisory Committee)의 2022년 IT-OT 융합 보고서는 IT와 OT의 융합이 ‘최종 상태’가 될 것이라고 결론지었다. 역사적으로 분리돼 있던 네트워크가 일반 IT 범주에 병합됨에 따라 공격자들이 노릴 수 있는 새로운 높은 가치의 공격 표면이 생성됐다.

과거 OT/ICS 장치를 지원하는 ‘등급이 분리된’ 네트워크에서는 보안보다는 안전성과 신뢰성이 더 중요했다. 이러한 네트워크는 산업별 네트워크 프로토콜을 사용하고, IT 시스템보다 유지보수에 대한 주목도가 덜했다. 공격자의 관점에서 보면, OT 시스템은 비교적 보안이 말랑말랑한 공격 목표였고, 잠재적으로 큰 수지를 안겨줄 수 있는 것으로 인식됐다.

OT 장비는 장기적인 신뢰성과 빈번하지 않은 변경을 염두에 두고 설계됐다. 많은 공장, 정수장 등 중요 인프라 및 기타 산업 프로세스에서는 현대의 PC에 비해 상대적으로 느린 장비를 사용하고 있다. OT 장비는 실시간 제어 요구 사항을 지원하기 위해 프로토콜 수준에서 암호화 및 인증을 배제하는 경우가 많다.

그리고 최근까지 OT는 IT의 문제가 아녔다. 그러나 네트워킹 및 보안 기술의 발전으로 인해 조직이 OT와 IT 네트워크를 연결할 수 있게 됐다. 이는 때로는 의도적으로, 때로는 의도치 않게 이뤄졌다. 이전에 노트북과 서버의 보안을 담당하던 팀이 이제 OT 보안까지 책임지게 됐다. 관리 및 모니터링 효율성을 개선해야 한다는 요구로 인해, 한때 고립된 상태로 유지됐던 시스템이 이제는 이론적으로 세계 어디서든 접근 가능해졌다.

OT/ICS 전 세계 현황
런제로 연구팀의 데이터에 따르면, 수천 대의 OT/ICS 장치가 실제로 ‘전 세계 어디서든 접근 가능’한 상태임이 확인됐다. 이러한 장치들은 국가 차원의 공격자나 몸값을 노리는 범죄자들에게 주요 목표가 되고 있다. 이들 장치를 해킹하면 산업 또는 공공 설비의 운영이 중단될 수 있기 때문이다.

인터넷에 직접 노출된 산업 제어 시스템의 수는 충격적이다. 노출된 장치의 연간 증가율은 다소 둔화하고 있지만 총 숫자는 여전히 증가하고 있다. 런제로 연구 보고서의 샘플 데이터에 따르면, 전체 ICS 시스템의 7% 이상이 퍼블릭 인터넷에 직접 연결돼 있으며, 이는 점점 더 많은 조직이 중요한 제어 시스템을 퍼블릭 인터넷에 배치하고 있음을 보여준다.

OT 스캔: 패시브에서 때때로 액티브로

OT 장치들은 종종 제한된 컴퓨팅 성능을 가진 하드웨어에서 산업 전용 소프트웨어를 실행한다. 이러한 제약과 OT 배포의 장기적 특성은 예상치 못한 과도한 네트워크 트래픽에 잘 반응하지 않는 환경을 조성한다는 것이다.

취약점 스캔으로 인해 공장 가동이 중단되는 일은 흔하게 일어나고 있다. 이러한 이유로 OT 엔지니어들은 네트워크상에 패킷을 전송하는 자산 인벤토리 작성 과정에 대해 회의적인 태도를 취하게 됐으며, 대신 벤더 전용 도구나 패시브 네트워크 모니터링을 선호하게 됐다. 패시브 모니터링은 네트워크 트래픽을 외부의 처리 시스템으로 전송해 장치와 예기치 않은 행동을 식별하지만, 네트워크상에 새로운 통신을 생성하지 않는 방식이다.

패시브 디스커버리는 비교적 안전하지만 제한적이다. 패시브 디스커버리는 전송되는 트래픽만을 볼 수 있기 때문에 식별 정보를 전송하지 않는 장치는 탐지되지 않을 수 있다. 또한, 패시브 배포는 규모가 커질수록 탐지가 어려워진다. 모든 사이트에서 네트워크 트래픽의 전체 복사본을 얻는 것이 항상 가능한 것은 아니다. 많은 통신이 OT 시스템 간에 발생하고 네트워크의 가장 깊은 레벨을 벗어나지 않기 때문이다.

액티브 스캐닝(Active scanning)은 더 빠르고 더 정확하며 배포 비용을 줄일 수 있지만 대부분의 스캐닝 도구는 OT(운영 기술) 환경에서는 적절하지 않거나 안전하지 않을 수 있다. 액티브 스캐닝을 수행할 때는 극도로 주의해야 한다. 대량의 트래픽이나 OT 장비에서 나타나는 트래픽은 통신을 중단하거나 심지어 시스템 안전에 영향을 줄 수 있다.

안전한 액티브 스캔

런제로는 고유한 접근 방식을 통해 민감한 시스템의 안전한 액티브 스캔을 가능하게 한다. 이 접근 방식은 아래와 같은 세 가지 기본 원칙을 따르고 있다.

● 가능한 한 적은 트래픽 전송
● 장치가 예상하는 트래픽만 전송
● 특정 장치에 대해 안전하지 않을 수 있는 방법을 피하기 위해 자산을 점진적으로 디스커버리

런제로는 호스트 수준 및 전체 작업에 걸쳐 트래픽 속도를 조정할 수 있다. 런제로의 액티브 스캔은 특정 엔드포인트에 초당 하나의 패킷만 전송하도록 설정할 수 있으며, 여전히 대규모 환경의 스캔을 합리적인 글로벌 패킷 속도로 신속하게 완료할 수 있다.

런제로의 장점은 단계별 ‘탐색 작업’ 과정에 기반한다. 런제로는 탐지된 서비스에만 유효한 트래픽을 전송하며, 장치를 방해할 수 있는 OT 프로토콜을 통한 통신을 의도적으로 피한다. 이 논리는 적응형으로, 런제로의 액티브 스캔은 점진적인 향상 정책을 통해 타겟에 맞게 맞춤화된다.

특정 프로토콜과 애플리케이션을 쿼리하고, 반환된 정보를 바탕으로 다음 단계를 조정한다. 초기 ‘탐색 작업’은 모든 유형의 장치에 가장 안전하며, ARP 요청, ICMP 에코 요청, 일부 UDP 탐색 방법 등을 포함한다. 이러한 초기 탐색 작업은 HTTP 서비스와 애플리케이션별 요청을 포함한 후속 디스커버리 단계의 제약을 결정한다. 아래 그림은 이 논리가 적용되는 방법을 설명한다.

마지막으로, 런제로의 액티브 스캔은 네트워크 경로 내의 공유 리소스도 고려하고 있다. 액티브 스캔은 모든 브로드캐스트 트래픽을 단일 글로벌 호스트로 처리하고 이러한 요청에 대해 호스트별 속도 제한을 적용한다. 레이어 3 장치를 통과하는 스캔은 특허 출원 중인 알고리즘을 사용해 세션 인지 중간 장치 내에서 상태를 적극적으로 재설정한다. 이러한 조합은 런제로의 액티브 스캔이 취약한 장치를 안전하게 탐지하고, 경로 내 네트워크 장치뿐만 아니라 동일 브로드캐스트 도메인 내의 CPU 제약 시스템에 대한 영향을 줄이는 데 도움을 준다.

액티브 스캔을 사용할 수 없는 환경에서는 런제로의 트래픽 샘플링 메커니즘을 통해 포괄적인 패시브 디스커버리 기능을 지원한다. 이 샘플링 절차는 관찰된 네트워크 트래픽에 대해 런제로의 심층 자산 탐지 논리를 적용하며, 이는 깊이와 세부 측면에서 런제로의 액티브 스캐너와 유사한 결과를 산출한다.

클라우드는 누군가의 공격 표면이다

컴퓨팅 파워의 상품화, 가상화의 대규모 발전, 빠른 네트워크 연결 덕분에 이제는 거의 모든 형태의 소프트웨어, 하드웨어 또는 인프라가 고객에게 ‘서비스로’ 제공될 수 있다. 과거에는 기업들이 자체 데이터 센터를 운영하거나 타사의 랙 유닛을 임대했지만, 이제는 CPU의 일부를 임대하거나 분 단위로 베어 메탈 하드웨어를 이용할 수 있게 됐다.

클라우드 마이그레이션은 종종 스위치를 켜는 것처럼 단순하게 묘사되지만, 실제로 이러한 작업은 몇 년이 걸릴 수 있으며, 종종 공격 표면 복잡성을 증가시키는 장기적인 하이브리드 접근 방식을 초래하기도 한다. 그 결과, 관리해야 할 시스템이 더 많아지고, 시스템 간 연결이 더 많아지며, 전반적인 노출도 증가한다.

클라우드 마이그레이션

클라우드 마이그레이션에 대한 일반적인 접근 방식은 온프레미스 환경을 열거한 다음 해당 환경을 클라우드 공급자 내에서 가상으로 재구축하는 것이다. 런제로는 온프레미스 데이터 센터의 기본 인벤토리를 제공하고, 이를 새 클라우드 환경과 비교하기 쉽게 만들어 고객을 지원한다. 이 과정에서 조직은 자산의 수가 두 배 이상 늘어날 수 있는데 이는 마이그레이션 프로세스 자체가 추가적인 인프라를 필요로 하기 때문이다.

런제로는 지난 5년간 수십 건의 클라우드 마이그레이션 프로젝트를 지원하면서 이를 직접 목격했다. 이러한 프로젝트들은 계획보다 더 오래 걸리고, 결과적으로 관리해야 할 자산이 더 많아지는 것이 일반적이다.

마이그레이션 과정은 까다로울 수 있으며, 점진적인 접근 방식은 과거와 현재 환경 간의 연결을 필요로 한다. 데이터베이스, 아이덴티티 서비스, 파일 서버와 같은 공유 리소스는 마이그레이션하기 가장 어려운 부분이지만, 이들은 또한 환경에서 가장 민감한 구성 요소이기도 하다.

결국 많은 클라우드 환경은 여전히 온프레미스 네트워크와의 직접적인 연결(그리고 그 반대의 경우도 포함)을 유지하고 있다. 클라우드 시스템이 손상되면, 온프레미스 시스템이 손상된 경우와 마찬가지로, 또는 그 이상으로 조직의 보안 상황에 치명적일 수 있다.

결국, 오래 걸리는 마이그레이션 과정은 과거의 현재 환경 간의 암묵적인 양방향 신뢰로 인해 단기적으로 자산이 노출될 수 있다.

클라우드 환경의 새로운 노출

클라우드 제공업체들은 데이터 센터 관리의 혁신을 이루며 전력, 네트워크, 저장소, 하드웨어 실패의 부담을 떠안고 있다. 그러나 이러한 변화는 새로운 도전 과제와 고유한 위험을 동반하며, 이를 효과적으로 완화하기 위해서는 다른 기술과 전략이 필요하다.

가장 중요한 도전 과제 중 하나는 클라우드에서 호스팅되는 시스템이 본질적으로 인터넷에 연결돼 있다는 점이다. 클라우드 환경 내에서 격리된 시스템 그룹을 생성하는 것은 기술적으로 가능하지만, 기본 설정은 일반적으로 광범위한 연결성과 제한되지 않은 외부 연결을 선호한다.

클라우드 제공업체는 많은 보안 컨트롤을 제공하지만, 이 중 일부만 기본적으로 활성화되며 온프레미스 솔루션과는 다르게 작동한다.

클라우드 호스팅 시스템은 공유 컴퓨팅 환경에서만 발생하는 위협에 직면하기도 한다. 예를 들어, 멜트다운(Meltdown), 스펙터(Spectre), 스펙터(Spectre) v2와 같은 CPU 전용 취약점은 클라우드 운영자들에게 성능과 보안 사이의 균형을 맞추도록 강요하고 있다. 이러한 취약점에 대한 완화 조치는 여전히 악용될 소지가 있으며, 최근 CVE-2024-2201이 이를 증명한다. 이 취약점은 프로세서에서 스펙터(Spectre) 스타일의 데이터 탈취 공격을 가능하게 해, 공유 호스팅 클라우드 환경에서 상당한 위험을 초래한다.

또한, 클라우드에서 새로운 가상 서버를 손쉽게 생성할 수 있기 때문에 자산 목록이 지속적으로 변화한다. 이로 인해 많은 낡은 시스템이 알 수 없는 상태로 남게 돼, 수십 개 또는 수천 개의 클라우드 계정에서 자산을 추적하는 것이 어려워진다. 자산에 대한 명확한 소유권과 책임을 할당하는 것도 큰 도전 과제다.

런제로의 분석에 따르면, 클라우드와 외부 공격 표면 모두에서 지원되지 않는 운영체제를 실행하는 시스템의 비율은 대체로 동일하다. 이는 클라우드 시스템의 업그레이드가 홍보된 것만큼 간단하지 않을 수 있음을 시사한다.

하이브리드 모델의 영원함

클라우드 인프라가 계속해서 인기를 끌겠지만 온프레미스 컴퓨팅 역시 당분간 사라지지 않을 것이다. 물리적 존재가 있는 조직(소매, 의료, 제조업 또는 다른 산업에 관계없이)은 항상 온프레미스 장비와 지원 인프라를 필요로 한다. 클라우드 서비스는 고가용성의 중앙 관리 기능을 제공하는 데 뛰어나지만, 인터넷 연결이 실패해도 계속 기능해야 하는 현장 시스템의 필요를 대체할 수는 없다.

하이브리드 모델은 온프레미스와 클라우드 환경을 안전하게 연결하기 위해 더 빠른 연결성과 더 강력한 장비를 필요로 할 것이다.

더 단순한 환경에서도 클라우드 마이그레이션은 여전히 네트워크 장비, 물리적 보안 시스템, 프린터, 파일 서버 등을 남기며, 이러한 장비는 VPN을 통해 또는 직접적으로 퍼블릭 인터넷을 통해 클라우드 환경에 연결될 필요가 있다.

마무리

조직들이 OT 및 클라우드 서비스에 점점 더 의존하게 됨에 따라, 공격 표면 관리는 그 어느 때보다 중요해지고 있다. 이러한 환경과 관련된 고유한 취약점은 강력한 공격 표면 관리, 정확하고 신속한 노출 관리, 포괄적인 자산 인벤토리와 같은 사전 대응 전략을 필요로 한다. 새로운 위협으로부터 자산을 보호하기 위해서는 지속적인 보안 개선 문화를 조성해 진화하는 위협 환경에 대응해 나가는 것이 필수적이다. OT와 클라우드 환경의 복잡성을 이해하고 관리하는 것이 새로운 사이버 보안 시대에서 필수적이다.