OT, IT와 합쳐지기 시작하면서 고질적인 문제들 드러나기 시작해
오래되었으며 프로토콜도 표준화되지 않아...전문가 찾기가 힘든 상황

[보안뉴스 문가용 기자] 필요할 때라면, 사이버 범죄자들도 혁신을 추구하고 이뤄낸다. 그러나 늘 혁신만 하는 건 아니다. 오히려 쉽게 얻을 수 있는 이득을 좇는 경우가 더 많다. 이들에게 있어 쉽게 얻을 수 있는 이득이란, 오래되고 취약한 시스템들 중 패치가 제대로 되지 않은 것들을 노림으로써 얻는 것을 말한다. 실제로 대부분의 정보 유출 사고는 이런 시스템들에서 발생한다.


보안 업체 포티넷(Fortinet)의 전문가들은 최근 “사이버 범죄자들이 10년 이상 된 취약점들을 노리는 경우가, 새로운 공격을 시도하는 경우보다 더 많다”고 발표했다. 이 발표에 따르면 2007년과 현재 사이에 발견된 취약점들을 공격하는 회수와, 2018년과 2019년 사이에 발견된 취약점을 노리는 회수가 같다고 한다.

많은 사람들이 착각을 하는데, 사이버 범죄자들은 새로운 것을 탐구하는 데 몰두하는 해커들과 동일하지 않다. 사이버 범죄자들의 목적은 공격의 성과를 최대한 높이는 것이다. 따라서 오래된 취약점을 반복해서 노리고, ‘쉬운’ 공격 표면을 넓히는 데 주력한다. 그런 맥락에서 요즘 사이버 범죄자들의 관심을 끌고 있는 건 운영 기술(OT)이다. 특히 IT와 맞물리기 시작한 OT가 이들의 관심을 크게 받고 있다.

여기서 말하는 OT란 밸브, 펌프, 온도 조절 장치 등 산업 장비와 처리 과정을 관장하는 하드웨어나 소프트웨어를 말한다. 현재 OT와 IT의 융합이 한창 진행 중에 있기 때문에 사이버 범죄자들이 활개를 치고 있는 면도 존재한다.

위협의 재활용
보안이라는 측면에 있어서 기본적인 부분에서 여전히 관심과 보완이 필요하다는 게 거의 대부분 보안 전문가들의 입장이다. 그런 의견을 가진 사람들이 제시하는 근거는 실제 해킹 사고의 대다수가 공격자들의 획기적이고 창의적인 움직임 때문이 아니라 사소한 취약점이나 실수, 부주의, 관리 소홀 때문에 발생한다는 것이다. 획기적이고 창의적인 위협이 존재하는 것도 사실이나, 실제 그런 종류의 위협이 차지하는 비율은 생각보다 높지 않다.

최근 포티넷은 OT 시스템에서 코드와 명령을 실행시키려는 시도가 높아지고 있다는 것을 발견했다. 물론 현상 자체는 새로울 것이 없다. 다만 그 수치가 기존의 상식을 훨씬 웃돈다는 것이 문제다. 확실히 사이버 범죄자들은 예전부터 알고 있던 공격 방식을, 예전부터 존재하던 취약점에 적용하는 것을 선호하고 있다. 즉, 효율의 극대화가 이들의 가장 뜨거운 관심사라는 것이다. 하나도 혁신적일 것 없는 피싱 공격이 수년 째 가장 빈번하게 활용되는 기법으로 남아있는 것도 이 때문이다.

사이버 공격의 시각에서 조직 내 가장 취약한 시스템을 꼽으라면 OT 시스템이 다섯 손가락 안에 든다. 시장 조사 기관 가트너(Gartner)에 의하면 OT 네트워크와 자산이 존재하는 줄도 모르고 사업을 다년 간 진행하는 경우가 많다고 한다. 즉 관리의 손길에서 한창 벗어나 있다는 것이다.

그렇다고 중공업과 같은 산업에서만 OT가 문제시 되는 것도 아니다. 환자 모니터링이나 MRI와 같은 장비에서도 OT를 쉽게 발견할 수 있고, 트래픽 관찰 및 제어와 같은 기능을 담당하는 조직에서도 OT가 사용된다. 문제는 꽤나 광범위하게 우리 생활 전반에 걸쳐져 있다.

OT에는 - 융합 때문에 - IT 시스템에서 나타나는 문제들도 존재한다. 고객들이 직접 다루는 시스템들에서 나타나는 IT 시스템이 기능 마비를 일으킨다거나, 위험 요소를 식별 및 추적하는 것도 실패할 수 있다. 그러면서 사업의 존속 자체를 위협하는 사태가 벌어지기도 한다. 그런데 조직 내 OT와 IT를 모두 이해하는 보안 전문가가 없는 경우가 많이 문제가 방치된다. 서드파티 보안 업체들이라고 하더라도, 일손이 모자란 건 마찬가지라, 외주를 주는 것에도 한계가 있다.

실제 OT 인프라를 보유한 조직들 중 SCADA/ICS 구조에서 보안 침해 사고를 경험했다는 조직이 90%라고 포티넷은 발표했다. 그것도 지난 1년 안에 말이다. 위협의 종류로서는 다음과 같은 것들이 꼽혔다.
1) 바이러스 77%
2) 내부 해커 73%
3) 외부 해커 70%
4) 민감한 정보의 유출 72%
5) 장비 인증 절차 부재 67%

공격자들이 자주 활용하는 것으로는 OT 프로토콜이란 것도 있다. IT 시스템들은 TCP/IP로 대부분 통일되어 있지만 OT 시스템들은 조직마다, 혹은 지역마다 독특한 프로토콜을 사용한다. 하나하나가 전부 다른 건 아니지만, TCP/IP처럼 사실상 업계 표준으로 자리 잡은 것이 없다고 봐도 무방한 수준이다. 이 때문에 보안 담당자로서는 현장에서 꽤나 큰 어려움을 겪는다. 심지어 이런 프로토콜들 대부분 오래된 것이라 제대로 강화되어 있지도 않다.

악화되는 상황, 어떻게 해결해야 하는가?
수많은 조직들에 있어서 IT와 OT의 융합을 포기한다는 건 시장에서 경쟁성을 포기하겠다는 것과 마찬가지다. 그러므로 OT를 보호하기 위해 IT와의 단절을 선언할 수는 없다. 그렇다면 IT와 OT의 융합을 조심스럽게 진행하는 것만이 답이다. 필자는 다음 세 가지를 제안한다.

1) 관리자들 간의 전략적 지지 : 모든 부서와 팀들의 관리자들은 OT와 IT를 융합하는 목적과 방향성을 이해하고, 거기에 동의해야 한다(이는 회사 차원에서 이끌어내야 할 수도 있다). 이해와 동의라는 건, OT-IT 융합이 가져다주는 온갖 희망적인 약속들에만 해당되는 게 아니다. 위험과 위협에 대한 내용도 포함된다.

2) 합동 태스크포스 : OT-IT 융합에 영향을 받는 모든 팀들로부터 최소 한 명씩 뽑아 합동 태스크포스 팀을 만드는 것이 효과적이다. 이들이 모여서 전략을 짜고 기획을 하는 등 융합에 관한 프로젝트를 진행하도록 해야 한다. 물론 이 태스크포스 팀이 결성되었을 때 가장 먼저 해야 할 일은 연구와 학습이다. OT와 IT의 융합을 제대로 이해하고 있는 사람은 극히 드물기 때문이다.

3) 점검과 재점검 : 위에서 결성된 태스크포스팀은, 처음부터 OT-IT 융합을 진행해본 경험자들이 아닐 가능성이 높으므로 지속적으로 실험하고 점검하며 실패를 반복해야 한다. 그러면서 가장 나은 방법과 결과를 찾아가야 할 필요가 있다. 이는 너무나 당연한 말이지만, 업무 환경에서는 실천하기가 어렵다. 많아봐야 한두 번의 실패까지만 봐주는 게 기업들이기 때문이다.

글 : 데렉 만키(Derek Manky), Fortinet
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>