main_1.jpg

노조미네트웍스 관련 다양한 정보를 제공합니다.

[기사] 산업 인프라 노리는 사이버 공격…노조미 창립자 "가시성 강화해야"

기업·조직 35%는 침해사고 발생 여부조차 인지하지 못해

[아이뉴스24 김혜경 기자] "노조미네트웍스 설립은 인도네시아 출장이 계기가 됐다. 과거 한 에너지 기업 근무 당시 현지 파이프라인 설비에 문제가 발생했고 현지 담당자가 제공한 네트워크 스키마(Schema)와 실제 장비를 비교했더니 최신 업데이트 버전이 아니었다. 무려 5년이라는 시간차가 있었다. 사이버보안의 핵심은 신뢰할 수 있는 최신 정보와 가시성이다. 눈에 보이지 않는 것은 보호가 불가능하다."



15일 그랜드 인터컨티넨탈 서울 파르나스에서 열린 노조미네트웍스 기자간담회에서 안드레아 카르카노(Andrea Carcano) 공동창업자 겸 최고제품책임자(CPO)는 회사 설립 배경에 대해 이 같이 말했다.


노조미네트웍스는 미국 샌프란시스코에 본사를 둔 운영기술(OT)‧사물인터넷(IoT) 보안기업이다. 한국지사는 지난해 10월 설립됐다. 석유화학과 제약, 발전소 등 공공 인프라와 제조 분야를 중심으로 고객사를 확대하고 있다.

과거에는 별개로 여겨졌던 정보기술(IT)과 OT 영역이 디지털 전환 가속화로 밀접하게 연결되면서 공격 표면도 확대되고 있다. 그동안 산업제어시스템(ICS)은 폐쇄망 운영으로 안전하다는 인식이 지배적이었다.


그러나 콜로니얼 파이프라인 해킹 사건 등 대형 침해사고가 잇따르면서 보안 위협 범위는 OT 영역까지 확대되고 있다. 이 같은 유형의 사고는 한 번 발생할 경우 피해 규모가 크고 원자재 가격 상승 등 연쇄적인 피해로 이어질 수 있다.

이란 핵시설을 공격한 '스턱스넷(Stuxnet)'과 사우디아라비아 석유화학 공장을 타격한 '트리톤(Triton)', 우크라이나 전력망을 마비시킨 '인더스트로이어(Industroyer)'는 모두 특정 ICS를 겨냥해 제작된 멀웨어(악성 소프트웨어)다.

지난 4월 러시아의 우크라이나 침공 과정에서 인더스트로이어의 변종이 발견되기도 했다. 당시 우크라이나 침해사고대응팀(CERT)은 '샌드웜(Sandworm)'이 전력망을 겨냥해 유포한 멀웨어인 '인더스트로이어2'를 조기에 포착해 저지했다고 공개한 바 있다.

해당 멀웨어는 ICS에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다. 앞서 2016년 12월 공격 당시에는 우크라이나 수도 키이우 일대에서 정전 사태가 발생했지만 이번에는 아무런 영향을 받지 않은 것으로 알려졌다.

인더스트로이어1과 2의 차이점에 대해 노조미네트웍스 관계자는 "기본적으로 코드베이스를 지속적으로 정교화하는 방식으로 업데이트하고 있다"며 "특정 프로토콜만을 대상으로 하는 점과 위협 행위를 은폐하기 위해 와이퍼를 사용한 점 등이 눈에 띄는 차이"라고 전했다. 또 다른 변종이 나타날 가능성도 배제할 수 없는 상황이다.


이날 카르카노 CPO는 '산스 인스티튜트(SANS Institute)'에 의뢰해 진행한 'SANS 2022 OT‧ICS 사이버보안 보고서' 결과도 발표했다. 그는 "인컨트롤러(Incontroller)와 비슷한 유형의 공격이 기업 네트워크를 넘어 OT를 직접 겨냥하고 있다는 점을 발견했다"며 "공격자들이 제어시스템 구성 요소를 목표물로 여기고 있다는 점에서 ICS 보안 위협은 높은 상황"이라고 말했다.


보고서에 따르면 전체 응답자의 62%는 OT 환경에 대한 위험을 높거나 심각하다고 평가했다. 조사 결과 랜섬웨어가 사이버 위협 벡터 리스트 1위를 차지했으며 ▲특정 국가 지원을 받는 공격(38.8%) ▲랜섬웨어를 제외한 사이버 위협(32.1%) ▲공급망 공격(30.4%) 순으로 나타났다.

지난 1년간 침해사고를 경험한 응답자 수는 15%에서 10.5%로 감소했지만 응답자의 35%는 엔지니어링 워크스테이션이 초기 공격 경로로 활용됐다고 답했다. 이는 전년 대비(18.4%) 약 2배 가까이 늘어난 수치다. 특히 응답자의 35%는 침해사고 발생 여부조차 인지하지 못한 것으로 나타났다. 24%는 사고가 발생하지 않았다고 확신했다.


글로벌 기업의 OT‧ICS 보안 투자는 지난 2년간 꾸준히 늘어나는 추세다. 응답자의 66%는 제어시스템 보안 예산이 전년 대비 늘었다고 답했으며, 56%는 사고 발생 첫 24시간 내 침해사고를 감지한다고 응답했다.

또 응답자의 87.5%는 지난해 OT‧ICS 시스템 등을 대상으로 보안 감사를 수행했으며, 이중 29%는 지속적으로 평가를 수행하고 있는 것으로 나타났다. 83%는 OT 시스템 보안을 모니터링하고 있으며, 이중 41%는 OT 전용 보안관제센터(SOC)를 사용하고 있는 것으로 조사됐다.

카르카노 CPO는 "현재 한국의 수많은 기업과 기관들은 디지털 혁신을 추진하고 있다"며 "이 과정에서 핵심 요소인 보안, 특히 OT 보안에 대한 준비가 제대로 이뤄지고 있는지 반드시 점검해야 한다"고 말했다.


원문보기