국가적 피해로 이어지는 'OT 해킹', 눈 뜨고 당하지 않으려면?

기업의 디지털 트랜스포메이션 추진과 함께, 일선 현장의 생산 공장이 스마트팩토리로 변화하면서 동시에 OT(Operational Technology, 운영 기술) 보안 공백 역시 커지고 있다.

랜섬웨어 하나로 마비된 미국 최대 송유관 시스템

지난 5월 7일, 미국 송유관 업체 '콜로니얼 파이프라인'이 해킹됐다. 회사 측은 해킹 당일 전산망이 랜섬웨어 공격을 받은 사실을 알리고 가동을 멈춰야 했다.

콜로니얼 파이프라인은 미국 동부로 향하는 연료 절반을 책임질 만큼 거대한 국가 핵심 기반 시설이다. 송유관의 길이만 해도 약 8850km에 달하며, 이는 서울에서 런던까지의 거리와 같다. 매일 250만 배럴이 송유관을 통해 전달되며, 미국 동부 지역에서 소비하는 석유 공급량의 약 45%를 담당한다. 송유관 가동 중단으로 인해 휘발유 가격은 2014년 10월 이후 최고 가격까지 오르기도 했다.

원인은 랜섬웨어였다. 송유관을 통과하는 휘발유 등 각 연료는 생산, 배달은 물론 압력, 온도를 비롯해 펌프나 밸브, 오류 탐지까지 모두 중앙 관제 시스템에 연결돼 있다. 주문과 청구 또한 시스템 내에서 이뤄진다. 그렇기 때문에 랜섬웨어가 시스템을 해킹하자, 송유관 전체의 OT가 마비된 것이다.

결국 콜로니얼 파이프라인 측은 해킹 조직인 '다크사이드'에 몸값 500만달러를 지불했다. 그렇게 '콜로니얼 파이프라인 해킹 사태'는 5일 만에 가동을 재개했지만, 역사상 최악의 국가 핵심 시설에 대한 공격을 기록됐다.

우리나라 역시 유사한 사례가 지난해 발생한 바 있다. 2020년 11월 22일, 이랜드 계열의 NC백화점·뉴코아아울렛 등 유통매장 50개 중 23개가 마비됐다. 새벽에 이미 침투해 있던 랜섬웨어가 매장 오픈과 함께 결제 등 전산 시스템을 마비시켜 버린 것.

범행을 주장한 해커 그룹은 200만 건의 고객 카드 정보를 빼내고, 이를 담보로 약 450억원 상당의 비트코인을 요구했다. 당시 이랜드 그룹은 협상에 응하지 않았지만, 약 100만 건의 카드 정보가 다크웹에 올라왔고 이를 수습하기 위해 이랜드는 카드 교체 작업을 급히 진행했다.

OT 해킹 사고, "전 세계 경제 활동과 국가 시스템을 뒤흔드는 혼란이 일어날 수 있어"

그러나 점점 스마트팩토리 등 콜로니얼 파이프라인과 같은 OT 산업 시설이 늘어나고, 국가 핵심 시설 시스템의 디지털로 전환하면서 랜섬웨어 공격에 대한 위험도 커지고 있다.

이규환 이글루시큐리티 부장은 "코로나19 확산 이후 생산성 향상과 질병에 대한 안전망 확보 차원에서, IT와 OT 영역이 밀접히 연결된 스마트 팩토리·스마트 시티·스마트 빌딩 구축이 확대되고 있다"며, "예전에는 각각 다른 네트워크에서 운영되었던 IT와 OT, IoT 시스템의 접점이 날로 확대됨에 따라, 사이버 공격자가 노릴 만한 공격 면도 더욱더 넓어졌다"고 말했다.

하지만 그 파급력은 이랜드 해킹과는 다른 수준으로 예상된다.

이규환 부장은 "실제로 공격자들은 ICS/SCADA 네트워크와 동일한 테스트 환경을 제공해주는 서비스를 통해 탐지되지 않는 특정 랜섬웨어를 제작하는데 몰두하고 있는 것으로 나타났다"며, "자칫 사고 발생 시에는 전 세계 경제 활동과 국가 시스템을 뒤흔드는 혼란이 일어날 수 있는 만큼, 기존 랜섬웨어 공격에 비해 더 높은 몸값을 요구할 수 있다"고 분석했다. 해킹 조직에 의해 국가 시스템까지 위험할 수 있다는 것.

ICS/SCADA란?

ICS/SCADA는 '산업제어 시스템(ICS, Industrial Control System)'과 '감시 제어 및 데이터 취득(SCADA, Supervisory Control And Data Acquisition)'의 줄임말로, 국가 기반 시설의 OT 보안 용어다.

KISA에 따르면, SCADA는 지리적으로 떨어져 있는 여러 플랜트의 생산 공정을 중앙에서 제어하는 소프트웨어로서, 무인 장소의 PLC(Programmable Logic Controllers)와 센서로부터 수집된 정보를 중앙에서 처리·분석해 연결된 설비를 제어하는 시스템이다.

물론 인터넷과의 연결을 끊고 오프라인화 해버리면 어느 정도는 막을 수 있다. 하지만 완벽하지는 않다. 해킹 공격 조직은 인터넷에 연결된 외부 시스템과 폐쇄된 내부 망의 접점에서 발생할 수 있는 보안상 허점을 이용해 OT 영역을 공격하고 있다.

산업 제어 시스템의 경우 보통 외부와 연결되지 않은 폐쇄망에서 운영되지만, 시스템 업그레이드나 원격제어를 위해 인터넷 환경에서 파일 전송 시 사용되는 TCP/IP 프로토콜을 사용하는 경우가 적지 않다. 게다가 최근에는 운영 편리성과 민첩성을 높이려는 목적으로 시스템에서 생성되는 데이터를 실시간으로 확인하고 인터넷에 연결하는 상황도 늘어나고 있다. 단순한 시스템 패치 과정에서도 해킹 위협은 크다.

이상우 비트디펜더 연구소장은 "네트워크 기반 악성코드, 내부자의 악의적인 행위 또는 협력업체의 실수, OT 장비의 시스템 취약점 등이 주요 취약점이 될 수 있다"고 설명했다.

어떻게 막을 수 있을까?

OT 해킹을 막을 수 있는 방법은 크게 두 가지로, 1) IT와 OT 결합한 융합 보안 체계 및 네트워크 모니터링 시스템 구축, 2) 관련 인력의 보안 인식 강화가 있다.

우선 IT와 OT 시스템을 중앙에서 관리할 수 있는 융합보안관제 체계를 구축해야 한다. 많은 기업이 IT자산과 OT자산을 구분하지 못하고 시스템 가시성이 떨어져 위협조차 인식하지 못하는 경우가 많다.

이규환 이글루시큐리티 부장은 "OT 센서·보안 솔루션에서 수집한 보안 이벤트를 통합 분석하는 OT 보안관리솔루션과 여러 보안 영역을 포괄적으로 관리하는 보안관제서비스 도입을 통해, IT와 OT 영역을 포괄하는 식별-탐지-분석-대응 기능을 확보해야 한다"고 조언했다.

랜섬웨어는 네트워크 기반으로 시스템에 침투하기 때문에 이를 막기 위해 네트워크 모니터링 시스템을 구축하여 이상 트래픽을 탐지, 관제, 대응할 수 있어야 한다. 특히, USB등 이동형 저장매체를 액서스할 수 없도록 물리적인 포트를 차단하거나, 원격 연결 서비스를 원천적으로 차단하는 보안 정책도 요구된다.

이상우 비트디펜더 연구소장은 "네트워크를 통해 전해지는 모든 파일에 대해 악성코드 실시간 검사와, 의심되는 파일에 대해 샌드박스 분석을 수행하여 모든 전송 파일에 대한 무결성을 검증해야 한다"며, "은닉해 활동할 수도 있는 악성 코드와 파일리스 공격을 탐지하기 위해 트래픽이나 프로세스 행위에 대한 지속적인 감시, 즉시 대응할 수 있는 EDR 솔루션의 도입도 필요하다"고 전했다.

사이버 보안 사고의 상당수가 사람으로 비롯되는 만큼 보안 인식 수준을 높이는 작업도 수반되어야 한다. 미국 국토안보부가 발간한 ICS-CERT 보고서에 따르면, 산업 제어 시스템 환경에서 일어난 사고의 40%는 사람에 의해 발생했다.

이상우 비트디펜더 연구소장은 "내부자의 악성행위 또는 협력업체의 실수를 예방하기 위해서는 정기적인 보안 교육 및 평가를 통해 일정한 수준을 통과하지 못하면 시스템 접근을 금지"하거나, "외주 유지보수 용역 기술자의 엔드포인트와 OT 기기와의 연결을 포함해 반입 자체를 금지하는 정책 또한 필요하다"고 강조했다.

더불어 라이프타임이 긴 OT 시스템의 특성을 감안해, 오래된 OS를 유지하기 보다 비용을 들여서라도, 가장 위험한 랜섬웨어에 방어 수준을 가진 최신 시스템으로 교체해 대비하는 것도 좋은 방법이라도 조언했다.

<저작권자 Copyright ⓒ Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지>