IT 업계 종사자에게 OT 네트워크 내부에서 어떤 일이 일어나는지는 잘 알려지지 않았다. 주요 인프라부터 제조업에 이르기까지 모든 영역이 원활하게 작동하도록 하는 숨겨진 네트워크이기 때문이다. 이는 특히 잘 작동하는 동안에는 거의 주목받지 못한다.
지난 2021년 2월 플로리다주 올즈마의 한 수처리 시설에서 발생한 사건은 OT 보안을 당연시하지 말아야 한다는 경고로 자주 언급된다. 당국은 누군가 마을의 수처리 시스템에 침입해 상수도로 유입되는 부식성이 강한 수산화나트륨의 수치를 100ppm에서 11,100ppm으로 변경했다고 주장했다.
이는 미국 공공 인프라의 안전에 대한 우려를 불러일으킨 사건이었다. 비록 나중에 내부 실수일 가능성이 제기됐지만, OT 시스템 해킹이 생명을 위협할 잠재력을 가지고 있다는 점은 중요했다.
이제 호주, 미국, 영국, 캐나다, 뉴질랜드, 독일, 네덜란드, 일본, 한국 등 9개국의 국가 사이버보안 기관은 OT 네트워크를 관리하는 조직이 위협 수준에 대처할 것을 촉구하는 새로운 가이드라인을 승인했다.
호주 신호국 산하 사이버보안센터(ACSC)가 작성하고 미국 국가안보국(NSA) 등 8개국 보안 기관이 지원한 ‘운영 기술 사이버 보안 원칙‘은 주요 인프라든 소규모 생산라인이든 관계없이 조직이 따라야 할 6가지 원칙과 실질적인 단계를 설명하고 있다.
처음 3가지 원칙은 조직에서 당연히 여겨질 수 있는 일반적인 개념으로, 안전이 최우선이며, 비즈니스에 대한 지식이 중요하고, OT 데이터는 매우 중요하며 보호해야 한다는 내용이다.
나머지 3가지 원칙은 보다 현실적인 전망이 담겼다. 다른 모든 네트워크와 OT를 분리하고 격리해야 하며, 공급망 보안이 필수이고, OT 사이버 보안에 사람이 꼭 필요하다는 내용이다.
개방성 문제
이번 권고는 NIST와 같은 기관의 상세한 모범 사례 지침과 같은 비중을 차지하지는 않지만, 업계 전반에 걸쳐 주목받을 가능성이 높다.
OT 보안을 기본 원칙으로만 축소하면 모든 영역이 쉬워 보일 수 있으며, 보안 관리자는 OT 보안 강화가 우선순위가 되어야 한다는 것을 이미 알고 있다. 다만 문제는 실행하기가 쉽지 않다는 점이다.
첫 번째 문제는 OT가 수십 년에 걸쳐 발전해 온 다양한 범주의 네트워크라는 점이다. 전형적인 OT 네트워크란 존재하지 않으며, 이로 인해 관리자가 자신의 네트워크를 특수한 사례로 간주할 위험이 있다.
두 번째 문제는 OT 네트워크가 사무실 IT 시스템을 운영하는 네트워크와 어떻게 연결돼 있는가다. 여기에는 OT를 운영하는 사람도 포함된다. OT는 고도로 전문화돼 있으며, 이런 네트워크를 관리하는 팀은 메인 IT 팀과 분리돼 있거나 물리적으로 멀리 떨어져 있는 경우가 많다.
OT 네트워크 자체는 거의 항상 의도적으로 다른 IT 시스템과 분리되지만, 언제나 완전히 분리되는 것은 아니다. 가이드라인에서 주목한 차이점은 OT 운영자가 보호해야 할 데이터가 다른 네트워크와 매우 다르다는 것이다. OT에서 민감한 데이터란 공격자가 전압이나 압력 수준 또는 특수 컨트롤러의 위치와 같이 작동에 대한 특별한 운영 지식을 얻을 수 있는 모든 데이터를 의미한다.
권고는 “OT 관련 정보는 5년 내에 변경될 가능성이 낮으며 20년 이상 지속될 수 있다. 따라서 엔지니어링 구성 데이터는 지속적인 가치를 지니며 공격자에게는 매우 가치가 있다”라고 지적했다.
이를 보호하려면 조직은 데이터를 저장할 수 있는 위치를 제한해야 하며, 특히 데이터가 침해에 취약한 외부 문서 관리 시스템에 저장되는 경우라면 더 그렇다.
권고는 또한 장치가 암호화 없이 멀티캐스트 일대다 모드로 통신할 수 있는 OT 네트워크의 내부 개방성에 대해서도 우려했다. 이는 장치 공급망을 통해 OT에 침투하려는 공격자에게 표적이 될 수 있다.
도구 확장 문제
OT 전문가이자 NCC 그룹의 수석 보안 컨설턴트인 제프 홀은 이번 권고를 대부분 긍적적으로 평가했지만, 포괄적인 개요에서 간과할 수 있는 부분을 지적했다.
그는 “복원력을 향상시킬 수 있는 모니터링 및 사고 대응에서 자동화와 AI에 대한 강조가 제한적이라는 점이 잠재적인 격차를 만들 가능성이 있다”라고 주장했다. 그에 따르면 우선순위를 정하는 일은 또 다른 과제였다.
그는 “OT 의사 결정권자들은 이번 권고를 따르는 데 있어 특히 운영 가동 시간과 보안의 균형을 맞추고, 공급망을 관리하며 보안 표준을 시행하고, OT와 IT 팀 간의 문화적 격차를 해소하는 데 어려움을 겪을 가능성이 있다”라고 덧붙였다.
홀은 또한 의사 결정권자가 OT 환경에서 제로 트러스트 원칙을 적용하고, 정기적인 감사를 수행하며, 이런 환경에 특화된 위협 인텔리전스에 각별한 주의를 기울이는 데 집중해야 한다고 조언했다.
이번 권고가 다루지 않은 더 큰 문제는 실제 상황에서 OT 네트워크가 어떤 약점을 드러내는가다. 산업 시스템 보안 기업 클래로티(Claroty)는 최근 보고서에서, 한때 분리됐던 OT 네트워크가 이제 위험한 원격 액세스 포트로 가득 차 있는 경우가 많다고 언급했다.
클래로티가 120개 고객사의 50,000개 장치를 스캔한 결과, 절반 이상이 OT 시스템을 외부와 연결하기 위해 4개 이상의 원격 액세스 도구를 사용하고 있다는 점이 발견됐다. 클래로티에 따르면 이들 중 많은 도구가 IT 환경에서 사용하도록 설계돼 OT 환경에서는 충분히 안전하지 않았다. 이런 도구로 인해 발생하는 보안 취약점을 관리하는 것만으로도 OT 환경에서는 큰 부담이 될 수 있다.
이는 감사의 필요성을 지적한 홀의 의견과도 일맥상통한다. OT 관리자는 IT와 OT 시스템의 혼합으로 인해 발생하는 숨겨진 취약점에 대한 가시성을 확보하는 것으로 보안 평가를 시작해야 한다. [email protected]
Read More from This Article: “공격 표적되면 대규모 피해 가능성”··· 9개국 보안 기관, OT 보안 위한 6가지 원칙 제시
Source: News