제조공장 랜섬웨어 공격, 파고 블랙베리 프로텍트는 어떻게 대응하나
#2019년 3월 세계 최대 알루미늄 생산업체인 노르스크 하이드로(Norsk Hydro)가 록커고가(LockerGoga) 랜섬웨어 공격으로 생산공정 다수가 중단되는 대형 사고가 발생했다. 이로 인해 세계 알루미늄 가격은 1.3% 상승했다.
#2018년에는 대만의 반도체 위탁생산 기업 TSMC의 공장 생산라인에 랜섬웨어(워너크라이 변종)가 침투해 공장 라인 가동이 중단되는 일이 일어났다. TSMC는 이 사고로 인해 연매출의 3%에 해당하는 약 2700억원 상당의 피해를 본 것으로 분석됐다.
같은 기간 한국기업은 무사했을까. 글로벌 엔드포인트 보안 기업인 블랙베리 사일런스의 한국 마스터 총판인 파고네트웍스에 따르면, 2018년 중순과 하반기 사이에 블랙베리 프로텍트 보안 솔루션을 사용하는 한국 고객사 다수의 제조망 환경에 워너크라이 변종 공격이 발생했다. 당시 랜섬웨어 공격을 받은 환경에서 데이터 암호화가 이뤄진 곳은 없었지만, 동일한 네트워크에 있는 시스템 다수가 다운되거나, 산업현장에 있는 컴퓨터 스크린에 블루스크린이 뜨는 등의 문제가 발생했다.
그 이유로 권영목 파고네트웍스 대표는 “데이터 암호화 대신에 동일한 네트워크에 있는 시스템 다수가 다운됐고 서버메시지블록(SMB) 포트가 모두 오픈된 상태였다. 조사 결과 이 워너크라이 변종은 암호화 프로세스가 존재하고는 있지만 PE(Portable Executable) 구조 메인페스트(Mainfest) 영역이 손상돼 활성화되지 않은 것이었다. 개발자가 일부러 손상시켜 이터널블루(Eternal Blue) SMB 취약점을 통한 디도스(DDoS, 분산서비스거부) 공격을 수행하려고 의도된 변종으로 보인다”며 “한국의 다수 기업 제조망 환경 대상의 타깃 공격이 발생한 것으로 추정할 수 있다”고 말했다.
공장과 같은 산업현장 대상의 악성코드 공격은 개인이 사용하는 PC와는 달리 천문학적인 피해 규모를 일으킬 수 있다. 하지만 산업현장의 보안 인식은 IT 영역에 비해 낮다고 평가되고 있다.
산업계에서는 이제 서서히 그 중요성을 인식하고 있는 단계다. IT 보안 기업들이 운영기술(OT)과 산업제어시스템(ICS) 보안 영역에 주목하고 있는 이유다.
그 일환으로 작년 10월 OT 사이버보안 얼라이언스(OTCSA)가 출범하기도 했다. ABB, 블랙베리 사일런스, 체크포인트, 포티넷, 마이크로소프트 등이 멤버로, OT·ICS 보안 가이드라인과 안전수칙 등 보안 방법론을 제시하는데 초점을 맞추고 있다.
OTCSA에 따르면, OT 보안은 기존 IT 보안과는 다르게 ‘물리적인 프로세스’를 다룬다. 보안 목표도 가용성과 무결성에 초점이 맞춰져 있다. 가용성 요구는 매우 높다. 때문에 보안 이슈가 발생하더라도 산업 현장에 대한 프로세스가 끊이지 않고 계속 이어져야 한다. OT 영역의 구성요소들은 수명주기가 IT 대비 매우 길어 노후화된 장비가 많기도 하지만, 가용성과 무결성을 최우선으로 중요하게 여기기 때문에 상황에 따라 애플리케이션 패치를 못하는 경우도 많다. 보안 테스팅·감사도 IT 환경만큼 상시적으로 수행하지 못하고 있는 것이 현실이다.
가용성, 무결성, 보안성 요구사항 충족
파고네트웍스가 공급하는 인공지능(AI) 기반 엔드포인트 보안 제품인 ‘블랙베리 프로텍트’도 OT·ICS 환경에서 ‘가용성’과 ‘무결성’을 지원하는데 초점을 맞추고 있다. 다양한 언어를 지원할 것, 특수 환경을 제외하고는 보안 에이전트 설치시에 시스템이 재부팅하면 안된다거나 기존 운영 환경 시스템과 충돌이 전혀 발생하지 않아야 한다, 시스템 리소스 사용량을 최소화해야 한다는 등의 요구사항에 맞춰 제공하고 있다.
블랙베리 프로텍트는 OT·ICS 환경의 다양한 모니터링·제어 등 특수목적용 윈도우·리눅스 시스템에 적용돼 운영된다. 권 대표는 “OT·ICS 환경 시스템은 대부분이 윈도우, 일부가 리눅스 계열이다. 장비 수명주기가 15~20년 이상으로 길기 때문에 여전히 윈도우XP·2003 시스템이 존재한다”며 “서비스 만료(EOS, End of Service)로 업데이트와 패치가 지원되지 않는 OS가 공장 현장에서 돌아가고 있어 위험성이 있다. 블랙베리는 이들 EOS OS 등을 안정적으로 지원하고 있다”고 강조했다.
당연히 뛰어난 보안성도 필요하다. 알려진 멀웨어나 알려지지 않은 멀웨어에 대한 높은 탐지율과 방어율을 검증해야 한다.
권 대표는 “OT·ICS 환경에서는 우선 가용성에 무게를 두고 검증한 뒤 보안성을 검증한다”며 “가용성 요구사항 외에도 네트워크 대역폭 사용량과 세션 수 등과 같은 수치를 구체적으로 제시해야 하거나, 에이전트 다양한 배포 방안, 알려져 있거나 알려지지 않은 멀웨어에 대한 높은 탐지·방어율, 멀웨어 방어 후 세부 정보·침해지표(IOC) 제시 등의 요구사항이 있는데, 이를 모두 충족하고 있다”고 설명했다.
이어 “공장 환경에서는 폐쇄망을 사용하기에 모든 OT·ICS 단말기들이 외부와 통신하고 오픈하는 것이 상당한 부담으로 작용한다”며 “최대한 무결성과 가용성을 해치치 않은 측면에서 보안 관점에서 멀웨어 방어율을 높일 수 있도록 하고 있다”고 덧붙였다.
위협대응 관점의 서비스 제시…보안 기술, 방법론, 프로세스까지 지원 차별화
이 뿐만 아니라 파고네트웍스는 OT·ICS 보안관제센터를 가상으로 운영할 수 있도록 제공한다. 즉 위협 인사이트(파고 위협 인사이츠 DB, TIDB) 서비스를 기반으로 한 매니지드 위협 탐지 대응(MDR) 서비스까지 제공한다. 보안을 수행하는데 있어 하나의 제품이나 기술만으로는 한계가 있기 때문에, 파고네트웍스는 블랙베리 프로텍트 보안 제품과 기술은 물론, 프로젝트 방법론과 보안 방어 프로세스를 모두 제공한다는 것이 권 대표의 이야기다.
파고네트웍스가 제안하는 OT·ICS 보안체계는 AI·머신러닝 기반 엔드포인트 보안 플랫폼으로 알려진 위협과 알려지지 않은 위협에 대한 높은 수준의 탐지·방어를 수행한다. 방어가 이뤄진 후 추가 분석을 실시해 IOC나 해시 등 위협 정보를 추출한다. 이를 고객사가 보유하고 있는 네트워크 방화벽·침입방지시스템(IPS) 등의 보안 솔루션, 자산관리 솔루션 등과 연계해 빠르게 대응·조치할 수 있게 한다.
그 과정에서 기존에 제대로 관리되지 않는 시스템 감염 등도 찾아내 가시성을 확보하고 통제 대상으로 만들 수 있다.
권 대표는 “위협 인사이츠(TI) DB MDR 서비스는 위협 대응 관점에서 제공한다”며 “OT·ICS 환경에 신규 시스템이 진입될 경우, 소프트웨어나 OS를 재설치하는 경우 가용성과 무결성 저하를 최소화하면서 보안성을 높일 수 있는 방법론과 프로세스를 지원하며, 탐지율과 방어율을 높여 고객사가 보유한 보안 제품들과 잘 연동해 대응할 수 있도록 제공하는 것이 전략”이라고 밝혔다.
그는 “OT·ICS 보안을 위해서는 ‘제품’과 ‘프로세스’, ‘컴플라이언스’ 세 박자를 통합한 솔루션을 제공해야 된다”며 “제품이나 기술 하나만 의존하지 않고, 제품과 기술, 서비스 모든 것이 합쳐진 새로운 보안 방법론과 프로세스가 필요하다”고 강조했다.
글. 바이라인네트워크
<엄지용 기자>drake@byline.network, <이유지 기자>yjlee@byline.network
첫 댓글