IT & OT 보안의 위협 및 공격

IT & OT 보안의 위협 및 공격

• IT 보안
  컴퓨터 네트워크와 그 안에 있는 데이터를 보호하기 위해 광범위하고 다양한 수단을 사용하는 보호 방식
  
  
• 위협
  취약점이 악용될 때 발생하며 자산에 부정적인 영햘을 미칠 수 있는 이벤트
  
  
• IT 보안 위협
  컴퓨터 네트워크와 그 안의 데이터와 그 데이터를 보호하는 수단에 취약점을 악용하는 등의 방법으로, 부정적인 영향을 미치는 이벤트

---

CVE

공개적으로 알려진 보안취약점에 대한 공통 식별자 목록 표준화 된 CVE 항목은 서비스 적용 범위를 평가할 수 있는 기준을 제공

---

OWASP

오픈소스 웹 애플리케이션 보안 프로젝트

웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등 연구

10대 웹 애플리케이션의 취약점(OWASP TOP10)을 발표 (기준 : 빈도 수 , 영향)

---

IT 보안 공격 사례

• 워너크라이 랜섬웨어
  2017.05.12
  
  윈도우 OS의 취약점을 공략피해 규모 40~80억 달러더블펄사를 악용하여 이를 확산 시킴워너 크라이가 피해자의 컴퓨터에 주입되면 ,이 워너 크라이가 악성 응용 프로그램 구성요소를 (앱 암호화 및 데이터, 암호화 키가 있는 파일의 암호화 해제) 추출하는 방식
  
  더블펄사가 워너크라이 페이로드로 시스템을 감염시키도록함
  
  확산 방법 : 윈도우 OS 취약점을 악용하여 만들어진 랜섬웨어 미국 NSA에서 개발한 이터널 블루 해킹 툴에서 착취 악의적으로 생성됨
  
  미영러 등 150여 개국 내 30만대의 PC를 감염 전세계 병원, 은행, 기업 등의 컴퓨터 네트워크를 마비시킴파일 암호화 후 파일 복구 조건으로 비트코인을 요구하는 수법
  
  파일 암호화 후 파일 복구 조건으로 비트코인을 요구하는 수법

---

OT 보안 위협 개요

• OT 시스템에 대한 공격이나 피해를 일으킬 수 있는 요소를 의미
  
  
• OT영역은 외부에서의 접근이 엄격히 통제되는 폐쇄망으로 운영됐으며, 그러다 보니 상대적으로 보안의 중요성이 부각되지 않았다. 하지만 디지털화가 빠르게 진행되고 IT영역과의 접점이 늘면서 공격 패턴이 증가 하고 있다.

---

OT 보안의 OT보안 위협 분류

• 물리적 위협 : 기기 파괴, 기계적 손상, 화재 , 물리적 보안 취약점으로 인한 공격
  
  
• 네트워크 보안 위협 : OT 네트워크 내 에서의 해킹, 랜섬웨어, 악성코드 등 에 의한 공격
  
  
• 사회공학 기법 : 사회 공학 기법을 사용하여 내부자와 외부자에 의한 사기, 피싱 등
  
  
• 내부 사용자의 부주의 실수로 인한 보안 위협

---

해킹

• 보통 OT망 내 시스템은 외부에서 접속할수 없게 분리되어 있지만, IT망의 일부 시스템과는 연결되어 있습니다.
  원격 제어 프로그램으로 시스템을 관리하기도 하므로 원격 제어 프로그램의 계정정보가 유출되지 않도록 주의해야합니다.

---

악성코드

• OT망 내에서는 정해진 보안 절차를 지키지 않아 악성코드 감염이 종종 발생한다.
  
  일반적인 악성코드는 OT환경 공격 기능을 가지고 있지 않지만, 시스템 운영에 큰 영향을 주지 않는다. 특정 OT/ICS 환경을 노린 악성코드의 경우 공격자가 원하는 내용의 데이터 조작, 손상 등이 발생 할수있다.
  
  또, OT시스템은 USB메모리 등 저장매체를 직접 연결할수 있다. 원칙적으로 유지보수 담당자가 생산 담당자 라인 시스템에 연결되는 저장 매체를 백신프로그램으로 검사하고 반입해야합니다. 하지만 이를 제대로 확인 하지 않고 저장매체를 사용할때 웜이나 바이러스와 같은 악성코드에 감염됨.

---

OT 보안 공격 동기

• 일반적인 악성코드의 제작 동기는 '금점적 이득이 가장 많으며 첩보, 실력 과시 순이다' 하지만 OT 망에 대한 공격 동기는 대체로 정치나 종교 갈등 요안이 크다.
  
  
• OT 환경은 사이버 범죄 조직이 공격으로 얻는 금전적 이득보다 위험성이 크다. 2020년 ~ 2021년 사이 랜섬웨어 조직들은 에너지 공급 업체를 공격해 금전적 이득을 얻었지만, 국가 차원의 문제가 발생하면서 미국 법집행 기관의 수사가 거세졌다. 일부 랜섬웨어 조직이 검거되면서 부담을 느낀 랜섬웨어 그룹은 해체를 선언하기도 했다. 일부 사이버 범죄 조직은 기반 시설과 병원에 대해서는 공격하지 않는다는 원칙을 선언
  
  
• 정리하면, 기반시설과 같은 OT망 공격은 금전적 이득보다는 정치적 갈등으로 국가수준의 지원을 받는 조직에서 진행

---

OT 보안 공격 사례

• 2018년 대만의 반도체 TSMC 랜섬웨어
  
  
• 2010년 이란 핵시설 스턱스넷 공격
  
  
• 콜로니얼 파이프라인 랜섬웨어 공격

---

OT 사이버보안 공격 증가 이유

• OT 환경은 IT 환경에 비해 상대적으로 관리가 취약하다
  
  
• 주요 생산 설비에 대한 보안관리 및 펌웨어 패치등이 적절히 이루어지지 않아 다수의 취약점이 존재
  
  
• 최근 OT 보안 사고를 보면, 제조업에 공격이 집중 되어있다.
  
  
• 석유 화학, 발전소, 에너지 등 사회 기반 시설을 노리고 있으며, 현재 해커의 공격은 랜섬웨어가 대다수 일반 제조 공장과 같이 망부리가 명확한 영역은 유지 보수 담당자에 의한 비인가 장치(사설 USB)에서의 바이러스 감염 등이 주요 보안 위협
  
  
• 제조업의 경우 다른 산업에 비해 조업 중단 시 시간당 손실액이 매우 크다 이 때문에 랜섬웨어 감염시 몸값을 지불할 활률이 높다. 실제로 최근 몇년 사이 중공업이나 반도체, 자동차등 대형 엔터프라이즈급의 제조, 생산 업종을 타깃으로 금전을 목적으로 한 랜섬웨어 공격이 발생
  
  
• 이러한 공격은 앞으로도 증가할것