Cappuccino sapiens

장마가 길어지면서 예상치 못한 집중호우로 인해 댐의 한계수용 수준마저 넘겨 버렸습니다. 급기야 8월 5일 부터 팔당댐과 의암댐을 시작으로 8월 9일 현재 청평댐, 춘천댐 등 거의 모든 댐이 댐방류를 하고 있습니다. 댐의 방류에 따라 인근 하류에 있는 마을과 농경지가 잠기고 주민들은 마을을 떠나 대피하고 있는 상황입니다.

정부의 적절한 통제와 조기 경보에 따라 신속하게 주민들이 대피함에 따라  사상자는 없었지만, 급격한 수위의 증가와 침수로 인해 재산적인 피해는 예상됩니다. 하지만, 최근 북한의 예고 없는 황강댐 방류와 같이 외부의 인위적인 요인과 홍수 관리시스템의 오류 또는 외부로 부터의 시스템 해킹 등이 발생할 경우 상당한 인명피해가 발생할 수 있습니다.

정부는 정보통신 시설 중 국가·사회적으로 중요한 시설에 대해 2001년도 부터 국가 주요정보통신 기반시설로 지정하여 관리하고 있으며, 2010년도 스턱스넷의 이란 원자력시설 공격 이후에는 제어시스템의 위험성에 대한 심각성을 인지한 후, 철도, 정수, 교통, 댐, 인공위성 등 OT (Operation Technology)시설에 대해서도 주요 정보통신 기반시설로 지정하여 관리하고 있습니다.

OT시설이 기존 수동제어 방식에서 전자제어 시스템으로 전환하고, 다시 최근에는 일반 IT기업 수준의 통신망과 IT시스템을 갖추게 됨에 따라, IT기업이 겪게 되는 동등 수준의 보안위협에 노출되어 있습니다. 특히나, 보안전문가가 부족하고 보안에 대한 대응체계 구축 및 운영경험이 상대적으로 적은 OT시설의 경우, 앞으로도 당분간은 사이버공격의 주요 타깃이 될 것으로 예상됩니다.

Ponemon 연구소에서 미국의 370개 오일 및 가스 보안전문가들을 대상으로 실시한 설문조사에 따르면, OT시설에 대한 보안전문가들의 근심이 어떤 것인지를 알 수 있습니다.

  - OT(Operation Technology)영역은 일반 IT영역보다 보안위협에 있어 더욱 심각

  - 공급망에 미치는 사이버 위험은 설명하기 어려울 정도

  - 많은 오일 및 가스회사들이 사이버공격과 보안사고에 대한 준비 부족

  - 가장 심각한 보안위협은 보안인식 부족과 내부자 위협

  - 사이버보안 대책은 변화하는 디지털화의 속도를 쫓아가지 못함
   (응답자의 35%만이 사이버보안에 대한 준비를 잘하고 있다고 응답)

2020년 상반기에 OT시설에서 발생한 주요 사이버공격과 멀웨어는 다음과 같습니다.

  - 1월, Ryuk 랜섬웨어 공격으로 30백만달러 손실, ICS 시스템 24~72시간 정지

  - 2월, ICS 프로세스 중단하는 EKANS 랜섬웨어 등장

  - 4월, 오일 및 가스 시설을 공격하는 Agent Tesla 스파이웨어 활동

오일 및 가스 시설을 포함한 OT시설에 대한 사이버 보안위협이 증가함에 따라, 보안을 강화하기 위한 투자가 무엇보다도 필요한 시기입니다. OT보안을 위해 필요한 요소는 다음과 같습니다.

  - 보안위험 분석 및 대책수립: OT보안전략 수립, 위험 및 취약점 평가, 보안대책 수립 및 이행

  - 가시성 확보: 모든 OT/ICS 장치 식별, N/W 및 보안구성 검토, 데이터 분석·분류, 데이터 접근 경로 확인

  - 데이터 보호 및 접근통제 강화: 데이터 및 단말 보호, OT 계정관리 및 접근 통제

  - 침해사고 분석 및 대응: OT SoC 구축 및 모니터링, 보안사고 대응 절차 자동화

< 참조 자료 >

 -  ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장

 - April 2020’s Most Wanted Malware: Agent Tesla Remote Access Trojan Spreading Widely In COVID-19 Related Spam Campaigns

 - OT ICS/SCADA 보안위협에 따른 대응전략

전력, 행정, 금융 등 국가 기반시설이 정보통신기술을 도입함에 따라, 정보통신망 및 서비스에 대한 해킹, DDoS 공격 등 사이버공격에 노출되었으며, 국가기밀 정보를 비롯해 개인정보 등의 정보유출은 물론, 네트워크 지연 및 마비 등 지속적으로 피해가 발생하였습니다. 이러한 사이버공격은 사회 전반에 걸쳐 광범위한 피해를 유발할 뿐만 아니라 국가안보와 사회 안전에 중대한 위협을 미칠 우려가 있습니다. 이에 따라, 정부는 국가적으로 중요한 시설을 보호하기 위해, 2001년「정보통신기반 보호법」을 제정하여 범정부적 대응체계를 구축하였습니다.

정보공유분석센터(ISAC, Information Sharing & Analysis Center)는 금융, 통신 등 분야별 정보통신 기반시설을 보호하기 위해 구축 및 운영을 장려하고 있습니다. 주요 역할로는 기반시설의 취약점 분석·평가 등 기술지원, 취약점 및 침해요인과 그 대응방안에 대한 정보제공, 침해사고 발생시 실시간 예·경보체계 운영 등이며, 세부 업무에 대해서는 기관별 특성에 따라 정하도록 하고 있습니다.

정보공유분석센터 구축시 15인 이상의 기술인력(5인 이상의 고급인력 포함)을 갖추고, 업무수행을 위한 시설과 장비, 정보보호 정책(시설보안, 인력보안, 문서보안 등)을 구비하여야 하며, 과학기술정보통신부의 승인을 받아야 합니다. 현재 구축 및 운영 중인 정보공유분석센터는 정보통신 ISAC, 금융 ISAC, 행정 ISAC, 전력계통 ISAC 등이 있으며, 지난해 11월 의료 ISAC(Healthcare-ISAC or H-ISAC)이 개소하였습니다.

의료 ISAC의 설립은 의료기관 IT환경 변화에 따른 보안위협의 증가와 환자진료 기록, 진료비 결제정보, 증명서 발급에 따른 개인정보 등 대량의 환자정보에 대한 유출위험성에 따른 대응조치 입니다. 정부는 개인정보 점검/관리, 의료정보시스템의 보안기준 수립 등 의료기관에 대한 보안 컴플라이언스를 강화하고 있습니다.

   - 의료기관 92.1%, 병원급 이상 95.4%가 전자의무기록(EMR) 사용 (2015년 기준)

   - 환자 질병정보 저장시스템(OCS), 영상정보 전송시스템 (PACS) 등 의료 정보시스템 활용도 증가

의료 ISAC은 「의료법」에 명시된 의료기관 또는 의료기관 단체를 회원사로 하며, 주요 서비스는 보안관제, 정보공유, 침해대응, 교육 및 훈련 등 입니다.

  - 보안관제: 기관의 의료정보시스템, 네트워크 등 IT자원의 손상을 방지하기 위한 실시간 사이버 위협 모니터링 및 대응

  - 정보공유: 회원 간 사이버 위협정보를 신속·정확하게 공유하고, 회원의 원활한 정보보호 활동을 수행하는데 유용한 정보 제공

  - 챔해대응: 보안관제 중 침해사고가 현장조사, 자료수집·분석, 복구지원 등 기술지원

  - 보안교육: 매년 정보보호 교육 및 훈련 계획수립 및 체계적인 교육 및 모의훈련 프로그램 제공

※ 참조: 의료기관 공동보안관제센터(https://www.hisac.or.kr/site/main/home)

OT기반의 산업시설은 이미 생산성 향상 및 고효율화 경쟁을 극복하기 위해 IT환경과 결합을 추진하고 있으며, 이에 따라 IT 환경의 사이버 보안위협에 고스란히 노출되고 있습니다.  

• OT 분야: 제약, 오일·가스, 에너지, 빌딩관리, 물류·운송, 제조사, 수자원 등

OT보안사고는 지속적으로 증가하고 있으며, 국가의 주요 제조산업과 관련이 있는 OT시설의 사이버 공격은 생산성은 물론, 이로 인한 실물경제에 직접적인 영향을 주기도 합니다.

• 2019년 OT 보안사고 2,000% 증가, 67%의 OT/IoT 디바이스가 관리되지 않고 있음
• 공격사례: 코레일 철도교통관제센터(‘16년), 미 미시간 수자원 발전소(‘16년), 일 혼다 자동차 공장(‘17년)

가동시간과 안정성 중심으로 운영되고 있는 OT시설에 있어서는 보안에 대한 투자는 우선순위에서 밀려있는게 현실이며, 보안위협에 대한 막연함, 보안정책 부재, 제한적인 보안 솔루션 및 기술, 컴플라이언스 준수 등에 대해 우려하고 있습니다.

• 370개 산업시설 설문 조사 중 위험평가 없음(74%), 보안정책 부재(78%), 보안사고 대응계획 부재(81%)로 나타남

OT보안의 근본적인 이유는 디폴트 계정, 시스템 패치, 데이터 암호화, 거버넌스, 망분리 관리, 임직원 보안인식 등의 미흡 또는 미적용으로 인한 것으로 나타나고 있습니다. OT보안을 위해 반드시 고려해야할 사항은 다음과 같습니다.

• 위험확인: 비즈니스에 맞는 OT보안전략 수립, 위험 및 취약점 평가, 보안대책 수립 및 이행
• 가시성 확보: 모든 OT/ICS 장치 인식, N/W 및 보안 구성 검토, 데이터 분석·분류, 데이터 접근 경로 및 소스 모니터링

영향 최소화: 데이터 및 단말 보호, OT 계정관리 및 접근 통제, OT SoC 구축 및 모니터링, 보안사고 대응 절차 자동화

IBM Security: OT ICS/SCADA 보안위협에 따른 대응전략 세미나 (4월 29일) 다시보기

어제 날짜로 COVID-19감염자수는 4백만명을, 사망자는 28만명을 넘어섰습니다. 이러한 가운데,  COVID-19관련 진단 및 연구결과와 치료제 등에 대한 관심이 뜨겁습니다.

최근 미국 트럼프 대통령이COVID-19의 치료제로 렘데시비르(Remdesivir)를 언급하면서 크게 주목받고 있는 Gilead Sciences제약회사에 대한 사이버공격 시도가 지난 4월에 있었습니다. 해커는 경영진을 타깃으로 한 악성메일을 발송하였으며, 메일에는 패스워드를 훔치기 위한 가짜 로그인 페이지가 포함되어 있었습니다. 이를 조사한 사이버 보안전문가들은 이 공격이 이란과 관련이 있다고 보고 있으나, 이란 당국은 이러한 내용을 부인했습니다.

사이버보안 전문가 그룹은 COVID-19 연구 및 치료제에 관한 결과를 탈취하기 위해 연구소, 대학교, 메디컬 센터, 제약회사 등을 해킹하려는 시도가 증가하고 있다고 말합니다. 공격은 주로 COVID-19이 심각한 중국, 러시아, 이란을 경유하고 있으며, 관련 시설은 사이버공격에 철저히 대비할 것을 당부하고 있습니다.

의료장비 및 기술이 준비되지 않은 국가의 경우, 빠른 기술극복을 위해 우리나라와 같은 의료선진국의 기술을 탈취하고자 국가에서 지원하는 해킹그룹을 동원한 해킹이 발생할 수도 있겠다는 생각이 듭니다.

진단장비를 통해 국격이 높아진 만큼, 정부에서는 국가의 재산이라고 할 수 있는 의료기술에 대해 보안을 강화하기 위한 보호대책을 강구할 필요가 있습니다.

- 관련기사: Iran-linked hackers recently targeted coronavirus drugmaker Gilead

※ IBM Security: 의료기관 보안 컴플라이언스인 HIPAA 등 풍부한 글로벌 보안 컨설팅에 대한 경험을 기반으로 OT ICS/SCADA 보안위협 분석 및 보안대책 수립을 통해 의료기관의 정보보호 체계를 확립합니다.

※ IBM OT ICS/SCADA 보안위협에 따른 대응전략 세미나 (4월 29일) 다시보기

대한민국은 COVID-19를 잘 이겨 냄으로써, 전세계로 부터 비호감 국가에서 방역 모범국가, 의료 선진국이라는 부러움을 사고 있습니다. 또한, 이러한 결과물로 의료장비는 물론 방역절차까지 러브콜을 받고 있습니다. 이 중 가장 두드러진 분야는 COVID-19 진단키트라고 할 수 있을 것 같습니다.

최근 이러한 의료분야에 대한 관심은 핵심진단 기술 뿐만 아니라 환자정보를 노리는 해커들에게 좋은 재료가 되기도 합니다. 도난당한 의료정보는 블랙마켓에서 수백에서 수천달러에 거래되기도 하는 황금알로 통용되고 있습니다.

2019 Data Breach Investigation Report (DBIR)에 따르면, 헬스케어 산업에서 발생하는 침해사고 유형은 외부로부터의 위협 보다, 운영 실수(human error) 및 잠재적인 내부 위협이 더 많으며, 계정 오용, 자산 유출 및 도난, 웹 응용 프로그램 공격 등이 주된 사고 형태라고 말하고 있습니다.

주된 공격은 단말의 분실로 인한 데이터 유출, 보안정책 미준수, 중요 데이터 전송 실수 등 전반적인 보안운영 미숙 및 부주의한 것으로 보고 있습니다. 이 외에도 내부자 보안통제 미흡, 보안 책임자(CISO) 부재 또는 부적절한 선임, 단말기 보안관리 및 통제 미흡, 3rd party 장비 신뢰성 미검증 등 또한 주요 원인으로 보고 있습니다.

헬스케어 산업은 많은 성장을 거듭하고 있으며, 앞으로도 급성장할 분야로 보여집니다. 하지만, 타 산업에 비해 보안에 대한 투자는 턱없이 부족하며, 아직도 보안에 대한 인식 자체도 낫게 형성되어 있어, 잠재적인 보안위험성에 대한 대책이 시급해 보입니다.

 ※ 참조 기사: Top Cyber Security Risks In Healthcare

IBM Security: OT 보안 컨설팅, 단말기 보안(MaaS360), 특권계정 통제 및 관리(IAM, Secret Server), 환자정보 암호화 및 접근통제 모니터링(Guardium)

흔히 인공위성 서비스는 날씨 예보와 네비게이션(GPS) 정도를 떠올리게 된다. 그러면 현재 하늘에 떠다니는 인공위성은 얼마나 될까? 또한 안전하게 운행되고 있을까?

최근에 PHYS.ORG의 기사 “Hackers could shut down satellites–or turn them into weapons”를 보면, 2020년 1월 현재, 242개의 인공위성이 돌고 있으며, 향후 10년내 42,000개를 더 쏘아 올릴 계획이라고 한다. SpaceX를 포함해 아마존, OneWeb등은 인공위성을 통해 전세계에 인터넷 서비스를 제공하겠다는 계획이다.

기사에 따르면, 보안표준의 부족, 상업적 위성에 대한 규제 미흡, 복잡한 조립공정으로 인한 잔존하는 취약점 등이 보안위협이라고 보고 있다. 해커는 이러한 보안취약점을 이용해 인공위성의 통제권을 획득하고, 서비스 거부공격, 타 인공위성 공격, 지상 낙하 피해 등을 유발할 수 있다고 지적한다. 인공위성은 지상의 통제센터를 통해 통제를 하고 있어, 통제센터 시스템의 취약점을 이용할 경우, 이러한 통제권 획득이 가능하다.

실사례로 , 2011년 ROSAT X-Ray 인공위성 통제권 상실 및 지상낙하, 1999년 UK’s SKYNet 위성의 통제권 상실 등이 그 예이다.

Source: https://phys.org/news/2020-02-hackers-satellitesor-weapons.html

철도, 전력, 원자력 등 기반(기간) 시설은 지멘스, 미쓰비시, Allen-Bradley, LS산전, 삼성전자 등 특정기업의 시스템을 사용하고 있으며, 제어공정의 특성상 한번 구축하면 10년에서 20년동안 사용하게 된다. 일반적으로 IT시스템이 3년에서 5년 주기를 갖는 것에 비해 상당히 긴 생명주기를 갖고 있다. 그렇다보니, 제어시스템이 IT시스템 및 인터넷과 연결될 경우, 기존 시스템 및 고유 프로토콜과의 호환성 뿐만 아니라 잠재적인 보안 취약점이 나타나고, 이로 인해 해킹피해를 당하기도 한다. 제어시스템 자체가 해킹당했을 경우에는 기반시설에 더욱 큰 피해를 주게된다. 2010년에 발생한 이란 원전시설의 스턱스넷이나, 최근에 발생한 일본 미쓰비시 전기의 해킹사건이 그러한 예이다. 한번의 해킹으로 피해규모가 큰 만큼 기반시설에 대한 보안위협분석, 운영보안, 보안모니터링 및 대응 등을 통해 보안을 강화할 필요가 있다.

※ IBM Operational Technology Security: Smart Factory with IBM Security

https://ibm.box.com/s/ug5k925r02ghlzc0o4dehn7aufzaosru

보안전문 기업인 CyberX Lab에 따르면, 최근 제조사를 대상으로 중요 파일을 유출하는 멀웨어가 발견되었으며, 피해기업중 한국기업이 60% 이상으로, 제조사, 화학공장, 건설사 등이 포함되고 있다고 한다.

보안이 상대적으로 약한 제조사에 있어, 이러한 멀웨어는 상당히 이전부터 설치되어 파일을 유출했을 가능성이 있으며, 지금도 내부에 잠복하여 활동기회를 엿보고 있을 수도 있다. 또한, 공격을 당한 사이트의 경우, 재발할 가능성도 높다.

제어 시스템에 대한 위험진단, 보안대책 수립 및 이행, 조직원의 보안인식제고 등을 통해 제어시설의 보안을 강화해야 한다.

무엇보다, 보안이 조직에 융화되고 토착되기 위해서는, 조직원들의 행동양식과 기업의 운영절차를 반영한 보안정책을 맞춤 설계하여야 한다. 즉, 지키기 쉬운 보안정책설계를 통해 자연스럽게 조직에 적용되어, 지속가능한 보안이 될 수 있도록 하여야 한다. 

The industrial sector's security health is relatively weaker than the IT business sector. So, still, this kind of malware may have been installed considerably before, and it may still be hiding somewhere. The companies need to conduct risk analysis and measures to strengthen the security ability. Above all, it is necessary to design a security policy that reflects the employees' behavior and operating procedures. In other words, the security function should be deployed to the organization naturally through comprehensive security policy design, so that it can be sustainable security to the organization.