• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

OT와 IT의 융합이 한창 진행되는 때, 간과하기 쉬운 히스토리안 서버들 2023.01.19

OT와 IT의 융합이 한창 진행되는 때, 간과하기 쉬운 히스토리안 서버들

히스토리안 서버들이라는 중간 장치가 있다. IT와 OT의 중간에 위치해서 여러 가지 데이터를 분석하고 관리하게 해 준다. 하지만 중간에 있기 때문에 공격자들이 이리 저리 움직이게 해 주는 발판이 되기도 한다. 이 때문에 히스토리안 서버와 관련된 사건이 없지만 경고가 나오고 있다.

[보안뉴스 문가용 기자] 데이터베이스는 공격자들이 자주 노리는 공격 표적이다. 다만 이 ‘데이터베이스’라는 것에도 여러 종류가 있고, 공격자들이 자주 노리는 것과 그렇지 않은 것이 어느 정도는 구분이 되어 있다. 그런데 최근 널리 알려지지 않은 유형의 데이터베이스가 공격자들의 관심을 받기 시작했다고 한다. 데이터 히스토리언 서버(data historian server)들이다.

[이미지 = utoimage]


1월 17일 미국의 사이버 보안 전담 기관인 CISA는 GE 프로퍼시 히스토리언(GE Proficy Historian) 서버에서 5개의 취약점을 발견했으며, 취약점 패치를 하지 않으면 위험한 파일을 업로드 하는 등의 공격을 할 수 있게 된다고 경고했다. CISA는 이전에도 슈나이더(Schneider)와 지멘스(Siemens)의 히스토리안 서버들에 대한 경고를 발표하기도 했었다.

“히스토리안 서버는 IT 네트워크와 OT 네트워크 사이에서 가교 역할을 하는 게 가능합니다.” 보안 업체 클래로티(Claroty)의 보안 연구원 유리 캐츠(Uri Katz)의 설명이다. “IT와 OT망 사이에 위치해 있다는 독특한 면 때문에 히스토리안 서버는 공격자들에게 가치가 있습니다. 심지어 각종 생산 및 업무 프로세스에 대한 민감한 정보를 저장하고 있기도 하죠.”

히스토리안 서버들이란, 산업 제어 시스템(ICS)과 물리 장치로 구성된 네트워크에서 생성된 데이터를 분석하고 모니터링 할 수 있게 해 주는 요소들이다. 본질적으로는 데이터 레이크와 비슷하다고 볼 수 있는데, 특별히 산업 환경에 알맞게 만들어진 버전이기도 하다. 기반 시설, 생산 기기, 운영 요소들로부터 실시간으로 정보를 모은다. 정보를 OT 망에서 모으고 IT 망에서 분석 및 모니터링이 실행되기 때문에 이 히스토리안 서버들은 OT와 IT 사이에 위치하는 게 보통이다.

히스토리안 서버들이 ICS 환경에서 꽤나 인기 높은 표적물이 된다는 사실은 예전부터 알려져 있던 사실이다. 중간공격자 공격(adversary-in-the-middle)과 데이터베이스 주입 공격 등이 가능한 것으로 알려져 있다.

DMZ
IT와 OT 망을 융합시키는 움직임은 지금도 활발하게 벌어지고 있고, 이미 되돌릴 수 없는 흐름으로 자리를 잡았다는 평가를 받고 있다. 둘을 합하면 OT 망만 사용했을 때보다 훨씬 유연하고 효율적으로 운영할 수 있게 되고, 각종 데이터를 분석해 얻어낸 통찰을 활용해 사업적으로 이득을 얻을 수도 있다. “하지만 IT 환경에서 위협 요소로서 작용했던 것들이 OT에도 대물림 된다는 치명적인 약점이 있습니다. 사회 주요 기반 시설이나 생산 시설 등을 겨냥한 해킹 공격이 가능해진 것이죠.”

현재까지는 히스토리안 서버를 겨냥하거나, 히스토리언 서버를 통한 실제 해킹 사고가 발생하지는 않았다. 하지만 캐츠는 “OT에 대한 공격자들의 관심도가 가파르게 올라가고 있는 상황에서 IT와 OT를 잇는다는 것만으로도 히스토리안 서버는 미래에 공격을 당할 것이 분명한 요소”라고 주장한다.

“히스토리안 서버들은 인터넷에 곧바로 연결되어 있지 않은 것이 보통입니다. 기업용 네트워크와 OT 네트워크 사이의 DMZ 영역에 주로 위치하죠. DMZ의 네트워크 요소들의 경우 일부 취약점들을 연쇄적으로 익스플로잇 하면 인증 단계를 우회하여 원격 코드 실행으로까지 이어질 수 있습니다. 충분히 공격 가능한 요소입니다.”

그간의 히스토리안 서버들
보안 전문가들은 그 동안 “산업 시설이나 사회 기반 시설을 운영하는 조직들은 보안 계획을 짤 때 반드시 히스토리안 서버들을 포함시켜야 한다”고 강조해 왔다. SANS 인스티튜트(SANS Institute)의 딘 파슨스(Dean Parsons)는 “IT 액티브 디렉토리 크리덴셜을 활용하면 히스토리안 서버로 침투할 수 있고, 거기서부터 ICS 네트워크로 들어갈 수 있다”고 설명한다. “ICS 네트워크는 항상 인터넷과 따로 분리하는 게 맞습니다. 히스토리안 서버와 연결돼 있다면 이 명제가 성립된다고 볼 수 없습니다.”

캐츠 역시 망분리의 중요성을 가능한다. “망을 분리시키는 것만으로도 여러 가지 위험을 완화시킬 수 있습니다. 히스토리안 서버를 구성하고 운영할 때도 망을 분리시키는 부분을 염두에 두고 있어야 합니다. 즉 히스토리안 서버에 대한 접근도 엄격하게 관리해야 한다는 것이죠. IT와 OT의 융합이 주류로 자리잡은 지금 히스토리안 서버라는 요소를 간과하면 안 됩니다.”

3줄 요약
1. IT와 OT 망 사이에 존재하는 히스토리안 서버들.
2. 히스토리안 서버들에 침투하면 IT와 OT 망을 마음대로 왔다 갔다 할 수 있음.
3. 망 분리가 기본적으로 중요한 보안 실천 사항인데 히스토리안 서버를 간과하면 망 분리가 소용 없게 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>