디지털 혁신이 발전소를 공격에 취약하게 만든 방법

물리적 프로세스를 모니터링하고 제어하기 위한 운영 기술(OT)의 디지털 혁신으로 인해 새로운 사각지대가 발생하고 다른 부분이 확대되어 산업 제어 시스템(ICS)이 국가 공격에 취약해졌습니다.

우리는 이미 군사 무기로 인구 밀도가 높은 지역을 목표로 삼는 것보다 발전소를 뚫는 것을 우선시하는 테러 공격을 목격했습니다. 2015년 12월에 발생한 전력망 공격을 생각해 보십시오. 이 공격으로 230,000명 이상의 사람들이 우크라이나 서부에서 6시간 이상 어둠 속에 갇혔습니다. 국가는 공격에 대해 러시아를 비난했습니다. 12개월 후, 전력 시스템은 다시 한 번 표적이 되었고, 이번에는 수도 키예프의 상당 부분에 영향을 미쳤습니다. 푸에르토리코의 한 배전업체는 지난 6월 서비스 거부 사이버 공격을 받아 수십만 명의 주민들이 정전을 겪었고, 화재가 변전소를 휩쓸었습니다.

국가 공격이 뉴욕과 같은 대도시에서 몇 주 동안 정전을 일으킬 수 있다고 생각하는 것은 무리가 아닙니다. 사실, 전문가들은 그 영역에서 어떤 일이 일어날 가능성이 있다고 생각합니다.

Siemens가 후원하는 Ponemon Institute 보고서에 따르면 설문에 응한 OT 보안 전문가의 56%가 지난 12개월 동안 개인 정보 손실 또는 OT 환경 중단과 관련된 공격을 한 번 이상 보고한 것으로 나타났습니다.

이러한 유형의 공격이 어떻게 인기를 끌게 되었습니까? 그리고 보다 안전한 OT 환경을 조성하려면 어떻게 해야 합니까?

4차 산업혁명

유틸리티는 효율성과 생산성 향상을 위해 현대화하고 있습니다. 이러한 목표를 달성한다는 것은 이전에 사내에서 수동으로 수행되었던 많은 프로세스를 디지털화하고 자동화하는 것을 의미합니다. 이러한 전환이 너무 빠르게 진행되고 있으므로 보안은 나중에 고려해야 합니다.

4차 산업 혁명으로 널리 알려진 산업 프로세스의 빠른 디지털 정밀 검사는 더 많은 시스템과 프로세스를 온라인으로 가져오고 있습니다. 이는 본질적으로 위협 행위자에게 더 많은 잠재적 진입점을 생성하며 많은 산업이 한 번에 이 작업을 수행하기 때문에 보다 결과적인 공격의 기회가 더 커집니다.

지난 수십 년 동안 ICS 구성 요소를 실행하는 데이터 센터와 메인프레임은 "에어 갭"이었습니다. 즉, IT 시스템이 로컬 네트워크에 있었지만 인터넷에 연결되어 있지는 않았습니다. 많은 시설에서 시스템이 공격으로부터 안전하다고 잘못 생각했지만 USB 장치를 통해 바이러스로 시스템을 손상시킬 수 있는 "bash bunny" 공격과 같은 온프레미스 공격에 여전히 취약했습니다.

이란에서 부셰르 원자력 발전소가 스턱스넷 웜을 이용해 공격받았을 때의 사례다. 플래시 드라이브를 통해 네트워크에 도입된 Stuxnet은 우라늄 가스 농축에 사용되는 원심분리기와 같은 네트워크의 다른 자산을 감염시키기 위해 확산되었습니다.

더 많은 유틸리티와 OT 시설이 시스템을 온라인 상태로 만들기 위해 경쟁함에 따라 프로세스의 단계 중 하나로 보안을 위한 적절한 리소스를 할당하지 않았습니다. 더 많은 레거시 장비가 연결되고 사물 인터넷(IoT) 장치가 추가될수록 잠재적인 위협 행위자의 공격 표면이 커집니다.

위협 행위자의 진화

느슨한 보안 문제를 확대하는 것은 위협 행위자가 조직을 악용하는 점점 더 창의적이고 정교한 방법입니다. 사실, 그들이 항상 네트워크에 침투하는 것은 아닙니다.

Ponemon Institute 연구에 따르면 내부 위협은 OT 공격의 대부분을 차지합니다. 가장 주목할만한 것 중 하나는 1999년 당시 호주의 Shire of Maroochy였습니다. 하수관을 관리하던 불만을 품은 작업자가 사표를 내고 얼마 지나지 않아 제어 시스템 소프트웨어의 불법 복제를 통해 시스템을 악용했습니다.

내부자 위협이 항상 악의적인 직원은 아닙니다. 부주의한 사용자는 종종 피싱 공격의 희생자가 되고 취약한 암호를 사용하며 해커가 액세스할 수 있는 링크를 클릭합니다. 또 다른 일반적인 벡터는 네트워크에 대한 문을 열고 착취로 이어지는 제3자 또는 계약자입니다. Kaseya 공급망 공격에서 랜섬웨어 갱 REvil은 소프트웨어 업데이트를 통해 수백 개의 회사에 액세스할 수 있었습니다. 제3자는 일반적으로 안전하지 않으며 회사는 안전하다고 가정해서는 안 됩니다.

Gartner는 OT 보안에 대해 낙관적이었고 산업 조직이 적절한 제어 프레임워크를 정의하는 데 어려움을 겪고 있다고 경고했습니다. Gartner는 또한 2025년까지 공격자가 "인간을 성공적으로 해치거나 죽일 수 있는 무기화된 OT 환경을 갖게 될 것"이라고 말합니다.

너무 많은 회사가 지난 수십 년 동안 프로세스에 깊이 뿌리를 두고 있어 이러한 해킹, 침해 및 헤드라인의 공격을 자신에 대한 위협으로 보지 않습니다. 그들은 마음 속으로 망가지지 않은 것을 고치고 싶어하지 않습니다. 사실, 그들은 고장날 때까지 고장날 가능성조차 보지 못합니다.

OT 보안을 위한 새로운 접근 방식

기업은 네트워크에 대한 적절한 가시성과 개별 자산 수준까지 포괄적인 이해가 필요합니다. 여기에는 리소스와 사용자가 서로 연결되는 방식 및 전체 네트워크가 포함됩니다. 종종 네트워크의 세부 사항을 파헤치는 사람들은 그들이 알지 못했던 유령 자산을 발견하게 될 것입니다. 악용되기 전에 잡아야 하는 보안 문제입니다.

기업이 스스로를 더 잘 보호하기 위해 취할 수 있는 첫 번째 단계는 포괄적인 보안 교육을 통해 직원에게 적절한 보안 위생에 대해 교육하는 것입니다. 보안에 대해 조명하는 회사는 너무 자주, 간단한 슬라이드 자료만 가지고 직원들이 방금 배운 내용의 중요성에 대해 후속 조치를 취하지 않고 무심코 그렇게 합니다.

최우선 순위는 항상 OT 기계의 효율성과 기능이 될 것이지만, 공격을 받고 있다면 무슨 소용이 있습니까? 직원들에게 무엇을 찾아야 하고 얼마나 흔한 공격이 되었는지 교육하면 큰 도움이 될 수 있습니다.

관찰 직원은 2021년 3월 플로리다주 올즈마의 상수도 시스템이 해킹당하고 위협 행위자에 의해 수산화나트륨 수준이 위험한 수준으로 증가했을 때 재난을 피했습니다. 운 좋게도 엔지니어는 상황을 파악하고 변경 사항을 알아차렸고 단순한 오작동이 아니라 공격임을 빠르게 알아차렸습니다.

10월에는 이란 전역의 역이 강제 폐쇄되었다. 국가는 사이버 공격의 책임이 있다고 밝혔으며 이란인의 연료 가격을 보조하는 정부 발행 전자 카드를 표적으로 삼았습니다.

이러한 공격으로부터 보호하기 위해 기업은 네트워크에 대한 완전한 가시성이 필요하여 연결되어 있고 취약한 모든 자산을 볼 수 있어야 합니다. 그러나 그것은 첫 번째 단계에 불과합니다. 보안 조치뿐만 아니라 생산성 위험 신호에 대해 ICS 기계에 경고를 제공하는 포괄적인 OT 보안 도구가 있습니다. 적절한 보안 제어는 일상적인 운영에 영향을 미치거나 네트워크를 크게 변경하지 않고 OT 네트워크에 대한 가시성과 대응 기능을 제공합니다.

수동 기술은 파괴적인 "인라인" 플랫폼과 달리 민감한 OT 네트워크에 어떤 식으로든 영향을 주지 않고 활동을 모니터링할 수 있습니다. 올바른 패시브 플랫폼은 높은 처리량을 처리하고 오탐율을 최소화할 수 있습니다.

입증된 프로세스를 변경하기를 꺼리는 경력 OT 임원에게는 새로운 도구를 사용하는 것이 어려울 수 있지만 회사와 소비자 모두에게 광범위한 피해를 입히는 잠재적인 공격에 대한 두려움에 사는 것보다 준비하는 것이 좋습니다.

Elad Ben-Meir는 SCADAfence의 CEO입니다.