보안을 위한 원격 액세스 장치 소싱 고려 사항

산업 시스템을 실행하는 운영 팀은 작업을 수행하기 위해 원격 액세스 장치에 의존하고 구매할 때 비기술적 및 비상업적 고려 사항에 대해 거의 생각하지 않습니다. 그러나 최근의 역사를 보면 우리가 인식하는 것보다 훨씬 더 많은 문제에서 기기(심지어 기기 내의 구성 요소)가 어디에서 왔는지 알 수 있습니다.

공급망 공격이 심각합니다

공급망 공격은 공급망의 업스트림 요소를 대상으로 하여 액세스 권한을 얻는 사이버 보안 공격의 범주입니다. 주말에 장비를 시운전할 예정인 기기를 구매하는 일반인은 위험이 구매 결정에 영향을 미칠 만큼 중요하지 않다고 생각할 수 있지만 실제로는 그렇습니다.

공급망 공격은 한 공급업체에 침투하여 많은 최종 사용자에게 액세스할 수 있기 때문에 공격자에게 매우 인기가 있습니다. 예를 들어 Stuxnet은 우라늄 농축 프로그램에 사용되는 PLC를 표적으로 삼은 효과적인 공급망 공격이었습니다. 머크(Merck), 생고뱅(Saint-Gobain) 등 조직에 약 100억 달러의 피해를 입힌 NotPetya는 세금 준비 소프트웨어를 통해 배포되었습니다. 가장 최근에 SUNBURST는 최대 18,000개 조직에 백도어 액세스를 제공했으며 SolarWinds 소프트웨어를 통해 배포되었습니다. 이것은 여러 번 발생했으며 공격자에 대한 대가로 인해 계속될 것입니다.

원격 액세스 장치를 통한 ICS 공급망 공격

원격 액세스 장치를 통해 ICS를 표적으로 하는 공급망 공격에 대한 아이디어는 단순히 이론적인 것이 아니라 이전에도 발생했습니다. 2014년 Dragonfly 악성코드는 많은 조직을 감염시켰고 ICS 장비에 대한 VPN 액세스를 제공하는 데 사용되는 소프트웨어인 Ewon의 Talk2M 응용 프로그램 설치 패키지를 통해 배포되었습니다. SANS Institute는 공격과 그 영향에 대한 문서를 제공했으며 여기에서 읽을 수 있습니다.

구매 전 고려사항

따라서 장치를 구입하는 일반 사람으로 돌아가서 일부 장비를 시운전할 수 있습니다. 어떻게 해야 할까요?

당신이 전문가가 아닐 수도 있고 될 수도 없는 상황에서는 전문가들이 하는 일을 살펴보는 것이 현명합니다. 보안의 경우 이러한 전문가 중 한 명이 미 국방부가 될 것입니다. 그들은 공급망의 위험 때문에 특정 외국 제조업체로부터 장치를 구매 및 사용하거나 장치를 사용하는 공급자와 계약하는 것을 명백히 금지합니다. 2020년 7월의 한 DoD 메모는 이 관행을 설명하며 여기에서 공개적으로 볼 수 있습니다. Tosibox와 같은 원격 액세스 장치를 포함하여 칩이 광범위하게 사용되기 때문에 중요하게 지명된 회사는 Huawei Technologies Company(및 그 자회사 및 계열사)입니다.

따라서 여기 평신도를 위한 한 가지 요점은 가능한 한 국내산을 구입하는 것일 수 있습니다. 국내에서 제조된 제품과 보안이 강화된 제품을 구매하는 것은 쉽지 않으며 일반적으로 프리미엄 가격이 필요하지만 의심할 여지 없이 사용자에게 비용을 지불할 가치가 있다는 점에 유의해야 합니다. 특히 산업 시스템에 대한 원격 액세스를 위한 것입니다.

공급망 위험 외에도 원격 액세스를 구현할 때 많은 기술적 및 조직적 고려 사항이 있습니다. 저는 OMAC(Organization for Machine Automation and Control)와 함께 작업 그룹 내에서 이러한 내용을 탐색한 후 제가 읽어볼 것을 권장하는 플랜트 장비에 대한 원격 액세스를 위한 Practical Guide를 출판했습니다.