SIGA 아미르 길 CRO
아미르 길(Amir Gil)은 시가(SIGA)의 CRO(Chief Revenue Officer)로 서비스형 소프트웨어(SaaS), 온프레미스(On-Prem), 하이브리드 B2B 소프트웨어 분야에서 25년 이상 활동해 왔으며 IPO(기업 공개), M&A(인수합병) 등의 역할을 수행해 왔다.
[아이티데일리] 운영 기술(OT)과 산업 제어 시스템(ICS)은 에너지 유틸리티에서 수처리 시설에 이르기까지 중요한 인프라의 근간을 이루고 있다. 과거 이러한 시스템은 외부 네트워크와 단절된 상태로 운영됐으나, IT와 OT의 융합으로 효율성을 극대화하는 동시에 여러 위험도 초래하고 있다.
네트워크가 상호 연결됨에 따라 OT 시스템을 겨냥한 사이버 공격의 빈도와 심각성이 증가하고 있는 것이다.
이번 글에서는 주요 인프라를 운영하는 물리적 프로세스에 초점을 둔 새로운 OT 사이버 보안 범주인 ‘프로세스 지향적 OT 사이버 보안’에 대해 알아본다. 실시간 모니터링을 활용해 기존 사고 대응(Incident Response) 프레임워크를 강화함으로써 탐지 능력을 향상시키고, 더 빠른 격리 및 효과적인 사후 분석을 가능하게 한다.
OT/ICS 사이버 보안의 역사적 관점
과거 OT 환경은 보안보다는 신뢰성과 안전성에 초점을 맞춰 설계됐다. 시스템은 고립된 상태로 운영됐으며, OT 분야의 전용 네트워크상에서 동작해 사이버 위협에 대한 노출이 적었다. 그러나 조직이 운영을 최적화하고 실시간 데이터 통합을 추구하면서 OT 환경 내 IT 기술의 도입이 불가피해졌다. 이러한 변화는 공격자들이 빠르게 악용할 수 있는 취약점을 생산하게 되는 결과를 가져왔다.
모드버스(modbus) 및 OPC UA와 같은 표준화된 프로토콜 도입은 상호 운용성을 개선하는 동시에 공격 표면을 확장시켰다. IT 시스템은 정기적인 업데이트와 패치를 통해 보호받지만, OT 장치는 레거시 소프트웨어를 실행해 공격에 취약할 수밖에 없다. 공격자가 점점 더 정교해지고 있는 상황에서 선제적인 OT 사이버 보안 전략의 필요성이 점점 더 시급해지고 있다.
확장되는 OT 공격 표면
IT 네트워크와 OT 환경이 통합되면서 OT 시스템의 공격 표면이 크게 확장됐다. 이러한 통합은 실시간 데이터 교환과 간소화된 운영을 가능하게 하지만, 동시에 OT 시스템을 취약점에 노출시키는 결과를 초래한다.
최근 연구에 따르면, 산업 조직의 약 70%가 지난 한 해 동안 사이버 공격을 경험한 것으로 나타났다. 놀랍게도, 4건 중 1건은 운영 중단으로 이어져 비즈니스 연속성뿐 아니라 필수 공공 서비스까지 방해를 받았다. 이러한 공격의 여파는 재정적 손실을 넘어 에너지, 물, 의료와 같은 분야에서 인명까지 위협할 수 있다.
OT 사이버 공격 심층 분석
다음은 조직이 OT 환경을 보호하고 진화하는 위협 속에서 회복력을 유지하기 위해 해결해야 할 주요 취약점을 나타낸다.
① 랜섬웨어 : SCADA가 비활성화된 상태에서도 프로세스에 대한 지속적 가시성 제공
랜섬웨어는 중요 시스템을 암호화하거나 잠금으로써 SCADA(Supervisory Control and Data Acquisition)와 같은 기존 모니터링 도구를 무용지물로 만든다. 이로 인해 공격 인지가 늦어지고, 시스템 복구가 어려워지는 상황이 발생할 수 있다.
② 허위 데이터 삽입(Stuxnet): 다중 레벨 비교를 통한 허위 데이터의 즉각적인 식별
스턱스넷(Stuxnet)과 같은 악명높은 허위 데이터 삽입 공격은 프로세스 데이터를 조작해 운영자와 제어 시스템을 속인다. 이러한 공격은 터빈이나 원심분리기와 같은 물리적 자산에 점진적이고 누적적인 손상을 초래할 수 있으며, SCADA 시스템에는 정상적으로 보일 수 있다.
③ 임계값 내 프로세스값 변경(Aurora): 고해상도 모니터링을 통한 미세 공격 탐지
오로라(Aurora) 취약성은 산업 제어 시스템을 표적으로 하는 사이버 공격의 일종으로, 특히 발전기와 전력망 간 동기화를 겨냥한 공격이다. 신중히 조율된 명령을 전송하여 기기 간 위상 불일치를 유발하고, 이로 인해 심각한 기계적 스트레스와 궁극적으로는 치명적인 손상을 초래한다.
이러한 유형의 공격은 SCADA와 같은 모니터링 시스템의 약점을 악용하며, 허용 가능한 작동 임계값 내의 빠르지만 미세한 프로세스 변화를 간과할 수 있다. 또 이러한 공격들은 OT 환경의 안전과 신뢰성을 위협하는 요소로 작용하며, 조직은 효과적인 보안 대책과 모니터링 시스템의 강화가 필수적임을 인식해야 한다.
사고 대응: NIST 프레임워크에 주목하기
미국 국립표준기술원(NIST)의 사고 대응(IR) 프레임워크는 사이버 사고를 관리하기 위한 구조화된 방법론을 제공한다. 이 프레임워크의 4단계(준비, 탐지 및 분석, 격리 및 제거, 사고 후 활동)는 조직이 체계적으로 위협에 대응할 수 있는 로드맵을 제공한다.
아래는 각 단계를 OT 환경에 맞춰 적용하는 방법을 설명한 것으로, 운영 및 사이버 보안 우선순위가 정렬되도록 보장한다.
① 준비 단계(Preparation)
이 단계는 잠재적 사고에 효과적으로 대응하기 위해 필요한 기본 역량을 구축하는 데 초점을 맞춘다. 조직은 대응 전략의 기초를 마련하고 잠재적 위협에 대비할 준비를 갖춘다. 주요 활동은 다음과 같다.
* 중요한 자산을 식별하고 우선순위를 설정하기 위한 위험 평가 수행
* 다양한 공격 시나리오를 다룰 수 있는 사고 대응 계획을 개발하고 정기적으로 테스트* 사고 탐지, 대응 프로토콜, 의사소통 전략에 중점을 둔 포괄적인 직원 교육 프로그램 실행
② 탐지 및 분석 단계(Detection & Analysis)
이 단계의 목표는 잠재적 사고를 식별하고 사고 발생을 확인하며 영향을 평가하는 것이다. 이를 위해 시스템 활동을 모니터링하고 분석해 의심스러운 행동을 밝혀낸다. 주요 활동은 다음과 같다.
* 모니터링 도구를 사용해 보안 사건을 나타낼 수 있는 이상 현상 및 비정상적인 활동 탐지
* 로그, 경고 및 기타 진단 데이터를 분석하여 사고의 성격 확인
* 근본 원인 분석을 통해 사고의 기원과 영향을 파악하고, 오경보와 실제 위협을 구분
③ 격리 및 제거 단계(Containment & Eradication)
사고가 확인되면 위협 확산을 방지하고 근본 원인을 제거해 재발을 방지하는 데 중점을 둔다. 주요 활동은 다음과 같다.
* 영향을 받은 시스템이나 네트워크 세그먼트를 격리하는 등의 격리 조치 시행
* 악성 코드, 손상된 계정 또는 사고의 원인 제거
* 유사한 공격을 방지하기 위해 시스템을 정리하고 패치 적용
④ 사고 후 활동 단계(Post-Incident Activity)
마지막 단계는 사고를 검토해 교훈을 도출하고 대응 계획을 개선하며 향후 위협에 대한 조직의 준비 태세를 향상시키는 것이다. 주요 활동은 다음과 같다.
* 사고 타임라인, 수행한 조치 및 결과를 문서화하는 철저한 사후 분석 수행
* 발견 사항을 기반으로 사고 대응 정책 및 절차 업데이트
* 관련 이해관계자와 통찰력 공유를 통해 협력을 촉진하고 전반적인 사이버 보안 회복력 강화
OT 시스템의 고유 요구를 충족하기 위한 사고 대응 프레임워크 재구축
이러한 문제를 해결하기 위해 사고 대응(IR) 프레임워크를 OT 시스템의 고유 요구에 맞게 재설계할 필요가 있다. 프로세스 지향적 접근법은 탐지, 격리 및 복구를 향상시키는 맞춤형 솔루션을 제공함으로써 이러한 간극을 메운다.
프로세스 지향적 OT 사이버 보안: 패러다임 전환
전통적인 OT 사이버 보안 솔루션은 종종 퍼듀 모델(Purdue Model)의 프로그래밍 가능한 계층(Levels 1-4)에 초점을 맞추는데, 이는 컨트롤러, 네트워크 시스템 및 IT 자산과 같은 부분을 포함한다. 그러나 이러한 계층은 랜섬웨어 및 데이터 조작과 같은 일반적인 사이버 위협에 취약하며, 물리적 프로세스가 발생하는 프로그래밍 불가능한 계층(Level 0)을 간과하는 경우가 많다.
레벨0(Level 0)은 물리적 계층으로, 온도, 압력, 유량과 같은 환경 변수를 측정하는 센서와 밸브를 여닫거나 기계를 조정하는 액추에이터로 구성된다. 이 계층은 운영에 필수적이지만, 암호화나 인증과 같은 표준 사이버 보안 조치가 부족해 허위 데이터 삽입 또는 임계값 조작(Aurora)과 같은 위협에 특히 취약하다.
프로세스 지향적 OT 사이버 보안은 레벨 0 데이터를 실시간으로 모니터링함으로써 상위 계층에서 감지하지 못하는 위협을 탐지할 수 있다. 운영 매개변수를 지속적으로 분석하고 기준 조건과 비교함으로써 악의적인 활동을 나타내는 이상 현상을 탐지한다.
프로세스 지향적 OT 사이버 보안은 상위 계층에서 탐지되지 않을 수 있는 위협을 식별하기 위해 레벨 0 데이터의 실시간 모니터링을 통합한다. 운영 매개변수를 지속적으로 분석하고 기준 조건과 비교함으로써, 이 접근법은 악의적 활동을 나타내는 이상 징후를 탐지할 수 있도록 한다.
① 랜섬웨어: SCADA와 같은 프로그래밍 계층이 손상되더라도 운영 가시성을 유지
② 허위 데이터 삽입: 레벨 0 피드백을 상위 계층 명령과 교차 검증해 불일치와 악의적 조작을 식별
③ 오로라(Aurora) 공격: 고해상도 데이터를 모니터링해 기계적 손상이 발생하기 전에 프로세스 임계값 내의 미세한 편차를 탐지
물리적 프로세스 계층(Level 0)과 프로그래밍 가능한 계층(Levels 1-4) 간의 간극을 해소함으로써, 프로세스 지향적 OT 사이버 보안은 운영 무결성과 중요한 인프라를 포괄적으로 보호할 수 있다.
NIST 사고 대응의 4단계 강화
① 준비 단계 (Preparation)
프로세스 지향적 OT 사이버 보안은 실시간 물리적 프로세스 모니터링을 사고 대응(IR) 계획에 통합함으로써 조직의 준비 태세를 향상시킨다. 모의 랜섬웨어나 데이터 조작 시나리오와 같은 맞춤형 시뮬레이션을 통해 팀은 대응 전략을 테스트하고 개선할 수 있다. 이러한 접근법은 SCADA 시스템이 손상된 상황에서도 조직이 중요한 운영을 지속적으로 모니터링하고 관리할 수 있도록 보장한다.
② 탐지 및 분석 단계(Detection & Analysis)
실시간 레벨 0 데이터를 포함하면 이상 탐지의 정확도가 크게 향상된다. 레벨 0 데이터를 상위 계층 정보(Levels 1/2/3)와 비교함으로써 사이버팀은 허위 데이터 삽입 공격에서 나타나는 악의적 활동을 나타내는 불일치를 신속히 발견할 수 있다. 예를 들어, 운영자는 물리적 프로세스 데이터와 예상 결과 간의 차이를 식별함으로써 조작된 데이터를 감지하고 위협을 더 빠르게 파악하고 분석할 수 있다.
③ 격리 및 제거 단계(Containment & Eradication)
프로세스 지향적 OT 사이버 보안은 정밀한 격리가 가능해 넓은 범위의 운영을 방해하지 않고 영향을 받은 시스템을 고립시킨다. 이러한 접근은 부수적 영향을 최소화하면서 위협의 근본 원인을 제거하는 데 집중할 수 있게 한다. 예를 들어, 고해상도 모니터링을 통해 팀은 손상된 시스템을 효율적으로 지역화하고 격리할 수 있다.
④ 사고 후 활동 단계(Post-Incident Activity)
프로세스 수준의 통찰력은 사고 후 검토를 크게 향상시켜 근본 원인 분석을 위한 상세 데이터를 제공한다. 오로라(Aurora) 공격의 경우, 고해상도 모니터링 데이터는 미세한 프로세스 편차가 어떻게 기계적 스트레스나 손상을 초래했는지 정확히 재구성할 수 있다. 이러한 통찰력은 조직이 대응 전략을 개선하고, 운영 임계값을 조정하며, 미래의 탐지 역량을 강화하도록 도와준다.
프로세스 지향적 OT 사이버 보안의 중요성 인식
NIST는 2023년에 발행된 NIST SP 800-82r3에서 프로세스 지향적 사이버 보안의 중요성을 인정했다. 이 기본 가이드는 OT 시스템, ICS(산업 제어 시스템), SCADA(감시 제어 및 데이터 수집 시스템)의 보호를 위해 맞춤형 보안 조치를 제공하며, 물리적 프로세스를 내부 및 외부 위협으로부터 보호하는 데 중점을 둔다.
주요 권장 사항에는 OT 특화 위험 관리 프레임워크의 구현, 실시간 모니터링, 이상 탐지 및 계층화된 방어 전략이 포함된다.
섹션 5.3.6에서는 필드 I/O 레벨(Purdue Level 0)의 취약점을 강조하며, 여기에는 센서와 액추에이터 같은 장치가 인증이 부족한 경우가 많다고 언급한다. 이러한 보안 결여는 중요한 프로세스를 재생 공격, 수정, 또는 스푸핑 공격과 같은 위험에 노출시킨다. NIST는 이러한 위협을 효과적으로 탐지하고 대응하기 위해 강력한 제어 및 지속적인 모니터링의 필요성을 강조하고 있다.
NIST의 이러한 인식은 에너지, 물, 교통, 의료와 같은 중요한 인프라 부문을 보호하기 위한 필수 전략으로서 프로세스 지향적 OT 사이버 보안의 중요성을 보여준다.
결론
OT 사이버 공격이 점점 더 정교해짐에 따라, 프로세스 지향적 접근법은 이러한 고유한 문제를 해결하기 위해 NIST 사고 대응(IR) 프레임워크를 개선하는 데 필요한 요소를 제공한다. 실시간 운영 데이터를 중심으로 이 패러다임은 탐지, 격리, 복구에서의 중요한 간극을 메우고, 점점 더 불안정해지는 위협 환경 속에서도 회복력을 제공한다.
OT 시스템에 의존하는 산업의 경우, 이러한 전략을 채택하는 것은 컴플라이언스 준수와 장기적인 운영 보안을 위해 필수적이다.