K-SMARTFACTORY

Trend

산업용시스템 해커 공격의 전형적인 수법과 대책 공개

2022-10-11

 


 

 

미국 국가 안보국(NSA)과 사이버보안 인프라보안국(CISA)이 운영기술(OT)과 산업용제어시스템(ICS) 자산에 대한 사이버 공격을 막기 위한 대책을 소개하는 Advisory를 공동으로 발표했다.

 

 

러시아의 우크라이나 침공과 관련하여 우크라이나에 대한 사이버 공격이 서방의 주요 인프라에도 파급될 우려가 높아지고 있다.

 

NSA와 CISA가 이번에 발표한 문서 「Control System Defense: Know the Opponent」에는 정치 경제적 이익, 파괴행위 등을 목적으로 OT/ICS 시스템을 표적으로 삼고 있는 APT 공격그룹에 대해 설명하고 있다. 여기에는 사이버 범죄 집단과 국가의 지원을 받아 활동하고 있는 집단이 모두 포함되어 있다.

 

이들의 공격을 받으면 최악의 경우 인명을 잃거나 물질적 손해를 입거나 국가의 중요한 기능이 정지될 가능성이 있다. 거기까지 가지 않는 경우라도 각종 혼란과 소동이 일어날 위험을 내재하고 있다.

 

NSA의 제어시스템 방어 전문가인 Michael Dransfield는 미국 시간 9월 22일에 「이러한 시스템의 소유자나 운영자가 공격으로부터 시스템을 지키기 위해서는 국가의 지원을 받는 공격자와 사이버 범죄자가 끼치려고 하는 위협을 충분히 이해하여야 한다」 며, 「이번에 우리가 시스템을 강화하여 다음 공격을 막을 수 있도록 악의적 해커의 수법을 명확히 밝히기로 했다」고 이번 Advisory를 공개한 이유를 설명했다.

 

Advisory에서 지적하고 있듯이 OT/ICS 디바이스의 설계는 일반적으로 입수 가능하므로, 그 중에는 공격에 취약한 IT 컴포넌트가 포함되어 있는 것도 있다.

 

NSA와 CISA는 「이와 함께 IT나 OT 시스템을 악용하기 위한 툴이 다수 나돌고 있다. 그 결과, 악의를 가진 사이버 공격자가 ICS 네트워크에 미치는 위험이 증가하고 있다」고 설명하고 있다.

 

두 기관은 최근 ICS 디바이스가 원격으로 제어·조작할 수 있도록 인터넷과 네트워크에 연결되면서 공격 대상이 될 수 있는 요소가 증가하고 있는 점 또한 우려하고 있다.

 

Advisory에는 공격자가 OT/ICS에 침입할 때의 「수순」을 소개하고 있다. 이 섹션에서는 목표물의 선택, 정보 수집, 시스템을 조작하기 위한 툴이나 테크닉 개발, 최초 접근 획득, 중요 인프라의 목표에 대한 툴이나 테크닉의 실행이 어떻게 이루어지고 있는지 상세히 설명하고 있다.

 

NSA와 CISA는 운영자가 리스크 완화 방안을 검토함에 있어 고려해야 할 점을 설명한다. 예를 들면, 자사 시스템에 대해 공개할 정보를 결정할 때에는 리스크를 보다 더 의식하는 것도 그 중 하나다. 또 운영자는 자사 시스템도 목표가 될 수 있다고 생각하기 보다 이미 공격목표로 노리고 있다고 가정해야 한다고 설명한다.

Advisory에는 보안 솔루션이 너무 많아 운영자가 「선택 마비」 상태에 빠졌을 때 취해야 할 위험 완화 전략에 대해서도 설명하고 있다.

거론되고 있는 전략에는 시스템의 하드웨어, 팜웨어, 소프트웨어에 관한 정보나 시스템으로부터 출력된 정보 공개를 제한하는 내용이 포함되어 있다. 또한 원격으로 억세스하는 포인트의 목록을 작성해 안전을 확보할 것, 스크립트나 툴 실행을 정규 사용자나 태스크로 한정할 것, 정기적으로 보안 감사를 실행할 것, 네트워크 환경을 고정해 둘 것이 아니라 정기적으로 변화시킬 것 등을 권장하고 있다.

 

 

 

출처 : zdnet​