지난 3월26일에 잇츠맨 라이브에서는 Claroty Korea 정완채 수석과 함께 CPS(Cyber-Physical Systems) 사이버 보안 트렌드와 위협 노출 관리에 대한 내용을 다뤄봤습니다.
#CPS 사이버 공격 피해 사례
병원, 철강, 헬스케어, 스마트팜 등 지난해 2024년 한 해 동안 발생한 사이버 공격 사례와 증가 추세만 살펴봐도, 전통적인 IT 영역을 넘어 제조·의료·공공 인프라를 향한 공격이 얼마나 거세지고 있는지를 확인할 수 있었습니다. 정완채 수석이 특별히 더 눈여겨 본 통계가 있었는데요. “외부 협력사나 공급망을 통한 사이버 공격을 한번이라도 경험한 경우가 82%나 되었다”는 사실이었습니다. 헬스케어 쪽에서는 의료 장비에서 중국 IP 주소와 통신할 수 있는 백도어가 발견되었다고 보고되기도 했습니다. CPS의 사이버 공격의 피해는 역대 최고를 계속 경신하고 있는 상황입니다.
#CPS는 왜 사이버 공격에 더 취약할까?
정완채 수석은 “해커 입장에서는 IT는 워낙 잘 지켜지고 있으니까요. 그보다 허점이 많은 CPS를 노리는 게 훨씬 효율적이다”라고 강조했습니다. 단순한 바이러스가 아니라 악성코드가 정상적인 장비의 전용 프로토콜에 숨어 들어가는 방식, 즉 ‘정상처럼 보이는’ 이상행위를 다른 보안 솔루션으로는 잡아낼 수 없습니다. 게다가 실제 현장에서는 보안 설정이 제대로 되지 않은 무선장치나 임시 연결된 엔지니어링 노트북 등 통해 내부 망이 무방비로 노출되는 경우가 허다합니다. 무엇보다 의료기기, 제어시스템, 발전소 설비 등과 같은 CPS 인프라를 공격하는 것은 실질적인 피해 효과를 낼 수 있기 때문에 해커들의 공격 목적에 매우 부합한다고도 볼 수 있죠.
#기존 CPS 취약 관리 뭐가 문제인가?
기존에도 나름대로의 CVSS에 기초해서 CPS 취약 관리를 진행해 오고 있었죠. 하지만 문제는 취약점 분석의 사각지대가 존재하고 이러한 틈새를 고묘히 노려 공격하는 사례들이 급증하고 있다는 사실입니다. 1.3% 밖에 안되는 작은 부분이지만, 실제 악용될 수 있는 취약점에 노출되어 있는 자산의 허점을 통해 CPS는 무력화될 수 있습니다. 그래서 보다 실제 상황에 맞는 취약점 관리의 프로세스의 도입이 꼭 필요하다고 정완채 수석은 강조합니다.
#자산을 모르면 취약점도 모른다
그렇다면 CPS 보안의 출발점은 무엇일까요? 바로 ‘자산의 가시성’입니다. 내가 무엇을 가지고 있는지부터 제대로 알아야 하지 않을까요? Claroty는 이 자산 식별 문제를 해결하기 위해 4가지 데이터 수집 방식을 제공하는데요. 특히 ‘EDGE’ 방식은 설치가 불가능한 폐쇄망 환경에서도 USB 기반으로 자산을 스캔하고, 자산 내에 숨어 있는 모든 정보를 취합하여 각각의 자산들을 분류할 수 있는 기능까지 제공하고 있다고 강조합니다. “단 한 번 실행만으로도, 숨겨진 자산을 발견하고 펌웨어, 시리얼 번호까지 파악할 수 있다”는 EDGE 기능은 Claroty만의 핵심적인 장점이라고 강조합니다. 바로 이러한 자산 정보를 기준으로 정확한 취약점 진단이 가능해질 수 있는 거죠. 시리얼 번호를 통해 자산의 가품 판별 여부도 확인할 수 있다는 건 덤으로 얻을 수 있는 장점입니다.
#취약점 & 위험 지료를 통한 노출 관리
기존의 보안 방식은 심각도가 높은 취약점을 먼저 처리하도록 되어 있습니다. 하지만 정 수석은 “심각도는 낮지만, 우리 핵심 시스템에 치명적인 취약점은 오히려 조치에서 빠지는 경우가 많고 해커들은 그걸 노린다”는 점을 강조합니다. 그래서 Claroty는 기존의 CVSS 대신에 EPSS(Exploit Prediction Scoring System)를 활용해 ‘30일 내 악용될 가능성’을 기준으로 취약점을 우선순위화 합니다. 즉, 현실적인 관점에서 가장 위험한 것을 먼저 조치하는 전략이 가능해 진다는 거죠.
#위협 노출 축소를 위한 조치
취약점 정보를 다 파악했으면 이제 조치의 단계로 넘어가야죠. Claroty 가 CPS 위협 노출 축소를 위한 조치는 크게 3가지로 정리할 수 있습니다.
자산 중심 강화 - OS, 설치 프로그램, 하드웨어 등 취약점 완화 권장 사항 등을 제공하여 조치
자산 패치 - 자산의 제조사들의 패치 제공 여부를 확인하고 빠를 대응이 가능하도록 가이드
네트워크 중심 강화 - 자산의 정보를 이용하여 방화벽, NAC용 권장 ACL 정책 등을 제공
또한 실제적인 위협 탐지를 위해 기존의 시그니처 분석 기반의 프로세스 뿐 아니라 CPS 만의 환경과 운영 상황을 분석하여 의심 행위를 탐지하여 대응하는 행위 기반 방어 프로세스도 적용하고 있다고 합니다. 지속적인 CPS 보안 운영을 위해서는 모든 이해 당담자들이 관련 정보를 공유하고 함께 조치해 나가면서 전체 운영 사이클과 프로세스를 마련하는 것이 반드시 필요하다고 강조합니다.
#왜 Claroty인가?
Gartner Magic Quadrant 보고서에서 Claroty는 전 세계 17개 CPS 보안 기업 중 ‘리더 중의 리더’로 선정되었다고 하네요. 자산 탐지, 취약점 대응, 정책 적용까지 ‘실행력과 비전’을 동시에 인정받았다는 의미입니다. 특히, 설치가 필요 없는 무설치 방식인 EDGE는 CPS 환경에 최적화된 방식으로, 자산 장비와 통신이 안되어도 단독으로 스캔이 가능한 유일한 솔루션이며 “실제로 자산관리를 하지 못했던 수많은 공장에서, EDGE로 자산 식별을 하고 나서야 대응이 가능해졌다”고 강조합니다.
#정리 & 문의
“6개월 걸려 자산 조사해놨더니, 업그레이드 한 번에 다 무효가 되는 게 현실입니다.”
정완채 수석의 이 말처럼, CPS 보안은 하나의 이벤트가 아니라 프로세스입니다. 그래서 물리적으로 조사하기엔 너무 방대하고 변화가 잦은 CPS 환경에서는 자동화된 플랫폼이 절실할 수 밖에 없는 거죠. 그리고 그 시작은 ‘내가 무엇을 가지고 있는지’ 파악하는 것, 바로 자산 가시성에서 시작된다는 점이 이번 잇츠맨 x Claroty 웨비나를 통해서 챙긴 중요한 교훈이었습니다.
