이란과의 긴장으로 인해 주목받는 ICS 보안

미국과 이란 간의 긴장이 고조됨에 따라 조직, 조직 연결된 산업 인프라를 경계해야 합니다.

네트워크 보안 회사 Cynamics의 공동 설립자이자 CEO인 Eyal Elyashiv는 "[이란의 Qasem] Soleimani 암살이 사이버에 미칠 잠재적인 영향은 심오합니다."라고 경고했습니다.

업계 관측통들은 최근 양국 간의 문제가 사이버 위험을 전반적으로 고조시키고 있다고 말합니다. Trend Micro의 인프라 전략 담당 부사장인 Bill Malik은 "트렌드 마이크로는 특정 공격 계획에 대한 내부 정보가 없지만 정치적 긴장이 고조되면 사이버 공격이 발생할 수 있습니다."라고 말했습니다.

암살 이후 여러 사이버 보안 전문가와 미국 정부 관리들이 이란과 연계된 적들이 제기하는 ICS 보안 위험에 대해 경고했습니다.

다른 이들은 즉각적인 보복보다는 주의를 분산시키기 위해 설계된 소규모 사이버 공격의 가능성을 지적합니다. Virtru의 수석 사회 과학자인 Andrea Little Limbago 박사는 미국과 이란 간의 전면적인 사이버 전쟁 가능성이 "기본 가정이 되어서는 안 된다"고 말했습니다. 파괴적인 공격에서 허위 정보에 이르기까지 이란의 “사이버 활동”은 꽤 오랫동안 널리 퍼졌습니다. 이것은 새로운 것이 아니며 이번 주 이벤트와 관련이 없습니다.”라고 그녀는 말했습니다.

지난 10년 동안 이란의 사이버 능력은 상당히 확장되었습니다. 사이버 보안 전문가들은 미국 은행에 대한 서비스 거부 공격부터 Saudi Aramco 시스템을 표적으로 하는 맞춤형 악성코드에 이르기까지 미국 및 기타 대상에 대한 일련의 공격을 이란 공격자들의 탓으로 돌렸습니다. 또한 ICS 보안과 관련하여 2015년 보고서에서는 이란 해커가 미국 전력망에 침투했다고 주장했습니다.

Elyashiv는 "미국 관리들은 이란의 사이버 능력과 범위에 대해 매우 우려해야 합니다."라고 말했습니다.

일부 계정에서는 국가 간의 긴장이 완화되었음을 나타내지만, 국토안보부(DHS)의 1월 4일자 경보는 이란이 최소한 "미국의 주요 기반 시설에 대한 일시적인 교란 효과를 가진 공격"을 시작할 수 있다고 경고했습니다. 피>

마찬가지로, 미국 사이버 보안 및 기반 시설 보안국(US Cybersecurity and Infrastructure Security Agency)은 "금융, 에너지 및 통신 조직의 전략적 목표물에 대한 공격 및 사이버 스파이 활동의 ​​위험이 잠재적으로 증가하고 산업 제어 시스템 및 운영 기술에 대한 관심 증가에 대해 경고했습니다."

이란 행위자들은 미국 사이트를 표적으로 삼은 이력이 있습니다. 2016년 미국 법무부는 여러 은행과 뉴욕 댐에 사이버 공격을 가한 이란 이슬람혁명수비대의 이란 계약자 7명을 기소한 기소장을 공개했습니다. DHS 경고에 따르면, 미국은 또한 이란과 관련된 행위자들이 "미국 기반의 다양한 목표물에 대한 사이버 기반 공격 및 기반 시설 목표물에 대한 정찰 및 계획"이라고 비난했습니다.

이러한 타겟팅은 산업 영역으로 확장됩니다. Cyberscoop에 따르면 이란과 연결된 Advanced Persistent Threat 33으로 알려진 해커 집단은 국방, 운송 및 에너지 부문을 표적으로 삼은 이력이 있습니다.

Limbago는 이란이 단기적으로 ICS 보안 취약점을 우선적으로 이용할 것이라고 가정하기에는 너무 이르다고 생각합니다. 그녀는 "긴장이 더 고조되면 상황이 바뀔 수 있지만 현재 수준을 고려할 때 이란의 지속적인 사이버 활동은 [전쟁으로 확대되지 않는] 회색지대(gray zone)로 간주되는 곳에서 계속될 것"이라고 말했다. "ICS는 확실히 우려 사항이지만 이란은 중요 기반 시설에 대한 파괴적인 공격이 확대와 보복으로 이어질 가능성이 있다는 것을 이해합니다."

마찬가지로, CIA 대테러 센터의 전 전무이사였던 Carol Rollie Flynn은 이란이 소규모 사이버 공격을 수행할 것으로 예상합니다. “그들은 우리가 그들에게 보복하는 것을 원하지 않습니다. 그들은 그것을 전에도 느꼈습니다.”라고 그녀는 말했습니다.

Limbago는 또 다른 가능성은 이란 행위자들이 명확한 ICS 연결이 없는 민간 부문 조직을 표적으로 삼을 수 있다고 말했습니다. 그러한 전술에 대한 선례가 있습니다. 2015년 당시 국가정보국장이었던 제임스 클래퍼(James Clapper)는 Sheldon Adelson CEO의 반(反)이란 발언에 대한 보복으로 샌즈 카지노에 대한 공격의 배후가 이란일 가능성이 있다고 밝혔습니다. Limbago는 "이전 패턴과 더 일치하는 것은 재정적 고통을 줄 수 있지만 미국 대중과 분열된 정부를 결집시키지 못하는 행정부와 관련된 민간 부문 조직을 표적으로 삼을 것"이라고 말했습니다.

이란 사이버 전략의 또 다른 핵심 요소는 허위 정보 작전으로, 림바고는 이를 "매우 다작하고 글로벌한" 것으로 분류했습니다. 림바고는 “이러한 활동은 국내적으로 친정부 지지를 구축하고 전 세계적으로 반미 정서를 구축하기 위해 계속될 것”이라고 덧붙였다.

사이버 위험 관리

최근의 긴장 상황이 어떠하든, 이러한 상황은 산업 인프라를 갖춘 조직이 연결된 장치를 검토할 수 있는 기회를 제공합니다. Malik은 "산업 제어 시스템 소유자와 운영자가 기술 인벤토리를 검토하고 취약성을 평가하고 공격 프로필을 줄이기 위해 가능한 한 이러한 제어를 적용할 것을 다시 권장합니다."라고 말했습니다.

가동 시간에 대한 산업 조직의 초점을 고려할 때 중요한 인프라 설정을 포함한 산업 환경에서는 패치되지 않은 구식 하드웨어 및 소프트웨어를 사용하는 것이 일반적입니다. Elyashiv는 "최근 역사를 보면 쉽게 손상될 수 있다는 사실을 분명히 알 수 있으므로 조직은 현재 중요한 인프라를 보호하는 데 사용되는 구식 시스템을 넘어서야 합니다."라고 말했습니다.

사이버 위생이 매우 중요하지만 AssetLink Global LLC의 사장 겸 CEO인 David Goldstein은 조직이 물리적 보안에도 집중해야 한다고 강조했습니다. Goldstein은 "[IIoT] 보안에 대한 해답은 하드웨어와 소프트웨어에만 있는 것은 아닙니다."라고 말했습니다.

아이러니하게도 물리적 접근이라는 주제는 10년 전 이란의 핵 원심분리기에 대한 Stuxnet 공격의 핵심 요소였습니다. Stuxnet 캠페인에서 미국과 이스라엘 정부를 대표하는 것으로 알려진 이중 요원이 Natanz 핵 농축 시설의 에어갭 중앙 네트워크에 멀웨어를 설치했습니다. 그 결과 시설 내 약 1,000개의 핵 원심 분리기가 결국 파괴되었습니다.

Stuxnet 사가는 액세스 제어뿐만 아니라 일반적으로 신뢰의 중요성을 보여주고 있다고 Goldstein은 말했습니다. "누구와 함께 일하고, 누구를 신뢰하며, 누가 시스템에 액세스할 수 있는 자격 증명을 가지고 있고, 물리적 액세스 권한이 있습니까?" 그는 "시간이 지남에 따라 IoT 시스템이 모든 것을 통합함에 따라 행위자와 파트너 간의 신뢰가 점점 더 중요해질 것"이라고 물었습니다.

IoT 기술이 산업적 맥락에서 기반을 갖추면서 산업 제어 시스템의 세계에 익숙한 사이버 전문가가 부족합니다. Goldstein은 "대부분의 보안 분석가와 컨설턴트는 일반 사무실 IT 네트워크에 적용하는 것과 동일한 기술을 [산업] IoT 시스템에 적용합니다. Goldstein에 따르면 독점 프로토콜의 양을 감안할 때 이러한 환경에서 소프트웨어 업데이트를 수행하는 데 어려움은 "매우 큰 취약점"이 됩니다.

미국 국방부 및 MITRE Corp.와 같은 조직은 ICS용 MITRE ATT&CK 프레임워크와 같은 ICS 프레임워크와의 격차를 해소하는 데 도움을 주고 있습니다. Malik은 "이 문서는 ICS의 제조업체, 소유자 및 운영자가 가능한 공격 시나리오를 논의하고 산업 부문 전반에 걸쳐 취약점을 일관되게 보고할 수 있는 방법을 제공합니다."라고 말했습니다. "모든 조직은 ICS 보안 태세를 명확히 하기 위해 이 프레임워크를 사용하는 것을 강력히 고려해야 합니다."

Malik은 또한 사이버 보안이 목적지보다 더 많은 여정이라는 단순한 사실을 이해해야 한다고 강조했습니다. 그는 "긴장이 고조되는 기간이 단기적이라고 가정할 때 ICS 제조업체가 현재 생산[보안 태세]를 빠르게 강화하기 위해 할 수 있는 일은 거의 없습니다."라고 말했습니다.

Malik은 ICS 공급업체가 해결해야 할 한 가지 취약점을 지적했습니다. 그들은 유지 관리 작업 및 오류 진단을 위해 현장에서 때때로 기술에 액세스합니다. "이러한 유지 관리 링크는 공격 벡터 역할을 할 수 있습니다."라고 그는 말했습니다.

Malik은 공급업체가 고객 데이터를 보호하기 위해 다양한 조치를 취할 것을 권장했습니다. 다른 중요한 고려 사항에는 가능한 경우 트래픽을 암호화하고 소프트웨어 업데이트가 안전한지 확인하는 것이 포함됩니다. Malik은 "한 고객의 작은 문제로 인해 제조업체가 자체적으로 맬웨어를 운반하는 것으로 판명된 모든 기술에 대한 수정 사항을 푸시하게 된다면 비극적일 것입니다."라고 말했습니다.