어택 프레임워크와 CWE를 고안해 보안 업계에 보편화시켰던 마이터가 이번에는 ICS와 OT 환경을 보호하려고 나섰다. 곧 정식 출시를 앞두고 있는 ‘임베드’ 위협 모델링이다. 사물인터넷 생태계에 큰 바람이 불 것으로 예상된다.

[보안뉴스=자이 비자얀 IT 칼럼니스트] 마이터(MITRE)가 다른 세 개 조직과 합작하여 새로운 위협 모델링 프레임워크를 시장에 내놓았다. 이번 프레임워크는 임베디드 장비들, 그 중에서도 사회 기반 시설에서 사용되는 장비들을 위한 것이라 관심을 끌고 있다. 이름은 ‘임베드(EMB3D)’로, 공격자들이 주로 어떤 취약점을 선호하고 어떻게 익스플로잇 하는지 기초적인 정보를 제조사들에 제공함으로써 이 생태계의 보안 위협에 대해 어느 정도 비슷한 이해력을 갖추게 하는 것을 목표로 하고 있다.


임베드
마이터의 마리 스탠리 콜린스(Marie Stanley Collins)는 이번 프레임워크에 대해 “임베디드 장비 제조사들과 OEM들이 보안을 강화할 수 있도록 돕기 위해 만들어진 것”이라고 설명한다. “장비를 설계하는 시점에서부터 해야 할 일들을 짚어주고 있습니다. 장비 구매자들이 주의해야 할 내용을 잔뜩 담은 보안 수칙과는 다릅니다. 오히려 구매자들이 이 프레임워크를 기준으로 장비의 보안 수준을 점검하는 것도 가능합니다.”

현재 사이버 공격자들은 ICS와 OT 환경들을 적극적으로 공략하는 중이다. 이런 공격의 가장 주요한, 그리고 가장 빈번한 통로가 되는 것이 바로 임베디드 장비들이다. 이런 장비들은 아직 기능성 위주로만 제작되지, 보안성까지 고려되지는 않기 때문에 공격자들 입장에서는 매우 쉬운 표적이 된다. 실제로 OT 보안 전문 업체 노조미네트웍스(Nozomi Networks)에 의하면 지난 1년 동안 임베디드 장비를 겨냥한 공격자들의 활동력은 기하급수적으로 늘어났다고 하며, 이에 맞춰 미국의 CISA 역시 이 부분에 대한 경고를 끊임없이 발표했었다.

“임베디드 장비들의 보안 수준은 아직 그리 높다고 할 수 없습니다. 그런 상태에서 사회 기반 시설이라는 막중한 곳에 설치되어 있지요. 이를 노리는 공격자들은 점점 교묘해지고 전략적으로도 크게 발전하고 있는데 그것과 발을 맞추지 못하고 있는 게 현실입니다. 게다가 이런 장비를 소유하고 사용하고 있는 주인들도 현 보안 상황에 대해 잘 이해하지 못하고 있습니다. 이런 요소가 맞물려 지금 OT 환경을 매우 취약하게 만들고 있습니다.” 콜린스의 설명이다.

임베디드 시스템을 위한 어택 프레임워크?
마이터는 다양한 위협 모델링을 고안해 발표하는 기관으로, 이곳에서 나오는 위협 모델들은 프레임워크나 벤치마크로서 널리 활용되고 있다. 어택(ATT&CK)과 CWE 카탈로그가 특히 유명하다. ATT&C의 경우 위협 행위자들이 흔히 사용하는 전략과 기술, 공격 절차에 대해 쉽게 알 수 있도록 정리해 둔 프레임워크라고 볼 수 있고, CWE는 취약점을 분류하고 항목화 하는 표준 체계 중 하나라고 봐도 무방하다. 이번에 나온 임베드 역시 사물인터넷 혹은 OT 생태계의 어택 혹은 CWE라고 할 수 있다.

“어떤 위협들이 있는지, 그리고 그런 위협들로부터 취약하게 만드는 장비들만의 특징이 무엇인지, 어떻게 위험을 완화할 수 있는지를 종합적으로 모아서 요약한 정보 창고로서는 임베드가 유일합니다. 임베드 장비들은 하드웨어와 펌웨어에 기반을 둔 위협들에 많이 노출되어 있어 일반 IT 장비나 소프트웨어와 사뭇 다른데, 그렇기 때문에 위협 정보를 파악하고 공유하는 것부터가 까다롭습니다. 그런 정보를 한 군데 모아두는 것이 꽤나 중요한 일이라는 겁니다.”

임베디드 장비 제조사들 역시 나름의 위협 모델링을 통해 리스크를 파악하고 보안 상황을 점검하긴 하지만 공격자들이 늘 똑같은 방식과 기술로 공격을 실시하는 건 아니다. 그렇기 때문에 오늘 가지고 있는 위협 관련 정보가 내일 되어서는 최신화 되어야 한다는 게 콜린스의 설명이다. “하지만 위협 정보를 매일처럼 최신화 하는 게 쉽지 않죠. 인력도 부족하고요. 그렇기 때문에 위협을 추적하고 필요한 내용을 때마다 갱신하는 임베드가 큰 역할을 할 수 있다고 봅니다.”

임베드를 제작하는 데 참여한 건 원개스(ONE Gas), 레드벌룬시큐리티(Red Balloon Security), 나프인더스트리즈(Narf Industries)다. 여러 곳에서 발생한 공격들과 각종 보안 사항들을 검토하여 임베드를 완성했다고 한다. 어택과 CWE가 그런 것처럼 이런 활동들은 앞으로도 이어질 것이며, 이를 통해 새롭게 얻어낸 정보들은 그 때 그 때 임베드에 반영될 것이다. “임베드가 공식 출시되는 건 2024년이 될 겁니다.”

임베디드 장비 보안
노조미네트웍스의 보안 전략 국장인 크리스 그로브(Chris Grove)는 “어택이 그러했듯 임베드 역시 꽤나 큰 변화를 가져올 것으로 기대된다”는 의견이다. “이번 임베드 발표는 최근 보안 업계 내에서 중대한 의미를 갖습니다. 일단 임베드는 기존 보안 프레임워크에서 가장 좋았던 부분을 다 채용한 것으로 알고 있습니다. 그리고 그것을 임베디드 환경에 맞게 변환했죠. 현재 OT나 임베디드 환경이 처한 어려움과 위험을 생각했을 때 이런 시도는 대단히 중요하고 충분히 더 있어야 한다고 생각합니다.”

그로브는 “특히 중소기업들에 유용할 것”이라고 예측한다. “혼자서는 위협을 탐지할 수도 제거할 수도 없는 소규모 조직들이 우리 주위에 존재하죠. 어디서부터 어떻게 안전을 꾀해야 OT 환경이나 임베디드 장비를 보호할 수 있는지 갈피도 못 잡아요. 그럴 때 임베드가 어느 정도 가이드라인이 되어줄 수 있습니다. 일종의 로드맵이 되는 것이죠. 어택 역시 사이버전을 수행하는 고급 해커들이 어떻게 움직이는지 가이드라인을 제시해서 방어를 강화할 수 있도록 했거든요. 그것과 비슷한 개념입니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>