지금 등록 하여 Microsoft 디지털 방어 보고서 2024의 인사이트를 제공하는 주문형 웹 세미나를 시청하세요.
지난해 동안 Microsoft는 조직에서 모니터링되거나 가시적인 거의 모든 부분에서 디바이스를 악용하는 위협을 식별했습니다. 이러한 위협은 기존 IT 장비, OT 컨트롤러, 라우터나 카메라 등 IoT 디바이스 전반에서 발견됐습니다. 이러한 환경과 네트워크에서 공격자의 급증은 많은 조직이 지난 수년간 채택한 융합 및 상호 연결에 따른 결과입니다.
IDC(International Data Corporation)는 2025년까지 416억 개의 연결된 IoT 디바이스가 있을 것이라고 추산합니다. 기존 IT 장비보다 높은 성장률입니다. IT 장비의 보안이 최근 강화됐지만 IoT 및 OT 디바이스 보안은 그 수준을 따라가지 못하고 있으며, 위협 행위자들은 이러한 디바이스들을 악용하고 있습니다.
공격자가 일반 노트북이나 스마트폰이 아닌 디바이스에 침투하려는 데는 다양한 동기가 있다는 점에 유의해야 합니다. 우크라이나에 대한 러시아의 사이버 공격은 여타의 국가 지원 사이버 범죄 활동과 마찬가지로 일부 국가가 중요 인프라에 대한 사이버 공격을 군사적, 경제적 목표를 달성하기에 적합한 수단으로 여긴다는 사실을 보여줍니다.
CISA(사이버 보안 인프라 보안국)에서 새로운 국가 지원 산업 제어 시스템(ICS) 기반 사이버 공격 도구라고 설명하는 “Incontroller”에 의해 활용되는 소프트웨어 악용의 72%는 현재 온라인으로 이용 가능합니다. 이 같은 확산은 진입 장벽과 요구되는 전문성이 줄어들면서 다른 행위자들에 의한 폭넓은 공격 활동을 촉진합니다.
사이버 범죄 경제가 확장되고, OT 시스템을 노리는 악성 소프트웨어가 널리 퍼지고 사용이 쉬워지자 위협 행위자들은 보다 다양한 방식으로 대규모 공격을 수행할 수 있게 됐습니다. 과거 IT 중심 공격 벡터로 여겨졌던 랜섬웨어 공격은 오늘날 Colonial Pipeline 공격에서 나타난 것처럼 OT 환경에 영향을 미치고 있습니다. 이 공격으로 인시던트 대응 담당자가 회사 IT 네트워크의 랜섬웨어 확산을 식별하고 억제하려고 작업하는 사이 OT 시스템 및 파이프라인 운영이 일시 종료됐습니다. 악의적 사용자는 에너지 및 기타 중요 인프라에서 종료로 인한 재정적 영향과 갈취가 다른 업계에 비해 훨씬 크다는 사실을 깨달았습니다.
OT 시스템에는 수십 개의 수직 계열 업종을 아우르는 물리적 운영을 지원하는 거의 모든 것이 포함됩니다. OT 시스템은 단지 업계 프로세스에 국한되지 않습니다. HVAC 컨트롤러, 엘리베이터, 신호등과 같이 특수 목적이 있거나 컴퓨터화된 장비는 모두 해당될 수 있습니다. 다양한 안전 시스템이 OT 시스템의 범주에 들어갑니다.
Microsoft는 중국과 연관된 위협 행위자가 취약한 재택 및 소규모 사무실 라우터를 노려 이러한 디바이스를 거점으로 삼고, 여기에 자신들의 이전 캠페인과 덜 연결된 새 주소 공간을 부여하여 새 공격을 수행하는 것을 관찰했습니다.
IoT 및 OT의 만연한 취약성은 모든 조직에 과제를 제시하지만, 중요 인프라의 위험이 더욱 심각합니다. 중요 서비스를 파괴하지 않고 비활성화하는 것만으로도 강력한 영향을 미칠 수 있습니다.
IT 및 OT가 융합되어 확장되는 비즈니스 요구 사항을 지원하는 가운데, 위험을 평가하고 IT 및 OT 간의 보다 안전한 관계를 확립하려면 여러 통제 조치를 고려해야 합니다. 에어 갭 처리된 디바이스와 경계 보안은 이제 정교한 맬웨어, 타기팅 공격, 악성 내부자 등 최신 위협을 해소하고 차단하기에 충분하지 않습니다. 예를 들어 IoT 맬웨어 위협의 증가는 이 지형의 확장과 취약한 시스템을 장악할 수 있다는 잠재성을 반영합니다. 각국의 2022년 위협 데이터를 분석한 결과, Microsoft 연구자는 전체의 38%에 해당하는 IoT 맬웨어의 최대 비율이 중국의 대규모 네트워크에서 나온다는 것을 발견했습니다. 미국은 국내의 감염된 서버로 인해 관찰된 맬웨어 분포가 18%를 기록하며 2위를 차지했습니다.
고급 공격자는 OT 환경에서 다수의 전술과 접근법을 활용합니다. 이러한 접근법 상당수는 IT 환경에서 일반적이지만 OT 환경에서 보다 효과적입니다. 예를 들어 노출된 인터넷 측 시스템 발견, 직원 로그인 크리덴셜 남용, 타사 공급자 및 계약사에게 허가된 네트워크 액세스 악용 등이 있습니다.
IT 쪽의 노트북, 웹 애플리케이션, 하이브리드 작업 영역과 OT 쪽의 공장 및 시설 기반 제어 시스템 간의 융합은 이전에 물리적으로 격리되어 있었던 에어 갭을 “뛰어 넘을” 기회를 공격자에게 제공함으로써 심각한 위험을 불러일으킵니다. 이를 통해 카메라, 스마트 회의실 등 IoT 디바이스를 위험 촉매로 만들어 작업 영역 및 기타 IT 시스템에 대한 새로운 진입로로 삼습니다.
2022년 Microsoft는 오래된 운영 체제를 사용하여 공장 운영을 관리하다가 맬웨어 인시던트를 겪은 주요 글로벌 식음료 기업을 도왔습니다. 장비에 대한 정기 유지 관리를 하면서 인터넷에 연결하는 과정에서 맬웨어가 손상된 계약사 노트북을 통해 공장 시스템으로 확산됐습니다.
안타깝지만 이는 상당히 흔한 시나리오가 되어 가고 있습니다. ICS 환경은 에어 갭 처리되어 인터넷으로부터 격리될 수 있지만, 손상된 노트북이 이전까지 안전했던 OT 디바이스 또는 네트워크에 연결되는 순간 취약해집니다. Microsoft가 모니터링하는 고객 네트워크 전반에서 Windows 운영 체제의 29%는 지원되지 않는 버전이었습니다. Windows XP 및 Windows 2000 등의 버전이 취약한 환경에서 운영되는 사례도 있었습니다.
오래된 운영 체제는 네트워크를 안전하게 유지하는 데 필요한 업데이트를 받지 못하고 대규모 엔터프라이즈 또는 제조 시설에서 패치 작업이 어렵기 때문에 IT, OT, IoT 디바이스 가시성을 우선시하는 것이 이러한 환경을 보호하고 취약성을 관리하기 위한 중요한 첫 단계입니다.
제로 트러스트, 효과적인 정책 적용, 지속적인 모니터링을 기반으로 하는 방어는 클라우드 연결된 환경에서 잠재적인 영향 반경을 줄이고 이러한 인시던트를 차단 또는 억제할 수 있습니다.
OT 장비 조사에는 특정한 고유 지식과 산업용 컨트롤러의 보안 상태에 대한 이해가 필수적입니다. Microsoft는 오픈 소스 포렌식 도구를 Defender 커뮤니티에 출시하여 인시던트 대응 담당자와 보안 전문가가 환경을 더 잘 이해하고 잠재적 인시던트를 조사하도록 지원합니다.
대부분은 중요 인프라를 도로, 다리, 대중 교통, 공항, 물 및 전기 공급망 등으로 이해하지만, CISA는 최근 우주 및 생명 경제가 새로운 중요 인프라 부문으로 제안했습니다. 미국 경제의 다양한 부문에서 붕괴를 일으켜 사회를 약화시키는 영향을 미칠 수 있다는 가능성을 언급했습니다. 위성 기반 기능에 대한 전 세계의 의존도를 고려하면 이러한 부문의 사이버 위협은 우리가 그동안 본 적이 없었던 글로벌한 영향을 일으킬 수도 있습니다.
Microsoft 위협 인텔리전스의 IoT/OT 보안 연구 부문장인 David Atch의 인사이트에서 조직을 보호하는 방법에 대해 자세히 알아보세요.
방법론: 스냅샷 데이터의 경우 Microsoft Defender for IoT, Microsoft 위협 인텔리전스 센터, Microsoft Defender 위협 인텔리전스를 포함한 Microsoft 플랫폼은 구성 상태 및 버전, 구성 요소 및 디바이스상의 위협 활동에 대한 데이터 등 디바이스 취약성에 대한 익명화된 데이터를 제공했습니다. 또한 연구원들은 NVD(국가 취약성 데이터베이스) 및 CISA(사이버 보안 & 인프라 보안국)와 같은 공개 소스의 데이터를 사용했습니다. “고객 OT 네트워크에 있는 가장 일반적인 산업용 컨트롤러의 75%에서 패치되지 않은 심각도 높은 취약성”에 대한 통계는 Microsoft의 2022년 참여를 기반으로 합니다. 중요 환경의 제어 시스템은 향상된 생산, 효율, 안전을 위해 제어 루프를 활용하는 전자 또는 기계 디바이스를 포함합니다.
Microsoft Security 팔로우