OT 환경에서의 인증 취약점 증가, 그 원인과 대응 전략은?

운영 기술(OT) 시스템에서 인증 취약점이 눈에 띄게 증가하고 있습니다. 최근 발표된 보고서들에 따르면 OT 장치에 대한 공격이 지속적으로 증가하는 것으로 나타났습니다. 특히 주목할 만한 점은 제조 시 설정된 기본 비밀번호를 여전히 사용하거나, 기초적인 수준의 인증 과정이나 접근 제어가 미흡해 발생하는 사건 사고가 적지 않다는 것입니다.

OT 시스템을 공격하는 경로는 처음에 기업 네트워크에 접근한 후 OT 네트워크로 이동하여 ICS 네트워크 내부 깊숙한 시스템을 손상시키는 방식이 자주 목격됩니다. 팔로알토 네트웍스의 “Unit 42 Attack Surface Threat Report”에 따르면, 지난 2023년 이러한 취약점 중 20%가 기업망으로 연결되는 원격 접근 취약점이었으며, 나머지 80% ICS 네트워크 내부에 위치해 있었습니다. 그 중 62%는 퍼듀(Purdue) 모델의 0-3 레벨에서 발견된 취약점에 해당합니다.

Deep within ICS networks

인증 취약점 예시

  • CVE-2022-30242CVE-2022-30245: 지난 2022년 5월4일까지 Honeywell Alerton Ascent Control Module(ACM)에서 발견된 취약점입니다. 이 취약점은 인증되지 않은 원격 사용자가 컨트롤러의 설정을 변경할 수 있게 합니다.
  • CVE-2022-46650CVE-2022-46649: ALEOS 소프트웨어 4.16 버전 이전의 Acemanager에서 발견된 취약점으로, 유효한 자격 증명을 가진 사용자가 장치를 재구성할 수 있으며, 로그인 전 상태 페이지에 ACEManager 자격 증명이 노출됩니다. 이를 통해 ACEManager 인터페이스에 접근한 공격자는 이러한 자격 증명을 볼 수 있거나 조작할 수 있으며, 이는 무단 접근으로 이어질 수 있습니다.
  • CVE-2023-27394: Osprey Pump Controller 1.01 버전에서 발견된 취약점으로, 인증되지 않은 운영 체제 명령어 주입 취약점입니다. 공격자는 HTTP GET 매개변수를 통해 임의의 셸 명령어를 주입하고 실행할 수 있으며, 이를 통해 장치에 무단으로 접근하거나 제어할 수 있습니다.
  • CVE-2021-30116: Kaseya VSA 9.5.7 버전 이전에서 발견된 취약점으로, 자격 증명이 누출될 수 있습니다. 실제, 이 취약점은 2021년 7월에 악용된 바 있습니다. 이 자격 증명은 로그인 및 인증에 사용될 수 있으며, 이후 공격에서 인증을 우회하는 데 사용될 수 있는 세션 쿠키를 반환합니다.

 

인증 취약점 악용 사례

OT 취약점 관리 팁

지난 2021년 7월 2일, REvil 랜섬웨어 그룹에 의해 Kaseya VSA 랜섬웨어 공격이 발생했습니다. 이 공격을 간략하게 살펴보면 다음과 같습니다.

  • 취약점 악용: 해커는 Kaseya의 VSA (Virtual System Administrator) 소프트웨어에서 발견된 취약점(CVE-2021-30116)을 악용했으며, 이를 통해 Kaseya VSA 서버에 접근할 수 있었습니다.
  • 랜섬웨어 배포: 시스템에 침투한 후, 해커는 Kaseya VSA가 관리하는 엔드포인트에 REvil 랜섬웨어를 배포했습니다. 이는 MSP(Managed Service Provider)와 그들의 고객을 포함하여 1,000개 이상의 기업에 광범위한 다운타임을 초래했습니다.
  • 대응 및 영향: Kaseya는 VSA SaaS 인프라를 중단하고 온프레미스 고객들에게 VSA 서버를 종료하라는 통보를 했습니다. 이 공격은 소프트웨어 공급망과 정교한 랜섬웨어 그룹이 제기하는 심각한 위협을 부각시켰습니다.
  • 후속 조치: 이 사건은 신속한 패치 적용과 강력한 보안 조치의 중요성을 강조했으며, 소프트웨어 공급망 보안에 대한 관심을 높이고 보다 나은 사고 대응 전략의 필요성을 일깨웠습니다.

 

OT 취약점 관리 팁

OT 취약점 관리는 산업 환경에서의 보안을 강화하는 데 필수적입니다. 다음은 효과적인 취약점 관리에 도움이 되는 몇 가지 팁입니다.

  • 패치 및 업데이트 적용: 모든 소프트웨어와 펌웨어를 최신 패치로 업데이트하십시오. 이는 알려진 취약점을 수정하는 데 매우 중요합니다.
  • 강력한 인증 사용: 고유하고 강력한 비밀번호를 사용하고, 다중 요소 인증(MFA)을 고려하여 보안 수준을 한층 높이십시오.
  • 네트워크 분할: 네트워크를 분할하여 중요한 시스템을 격리하고, 권한이 있는 인원만 접근할 수 있도록 하십시오.
  • 정기적인 보안 감사: 정기적인 보안 감사 및 취약점 평가를 실시하여 잠재적인 약점을 식별하고 해결하십시오.
  • 불필요한 서비스 비활성화: 공격 표면을 줄이기 위해 필요하지 않은 서비스나 기능을 비활성화 하십시오.
  • 활동 모니터링 및 로그 기록: 비정상적인 활동을 감지하고 잠재적인 위협에 신속히 대응할 수 있도록 모니터링과 로그 기록을 구현하십시오.
  • 직원 교육: 직원들에게 보안 모범 사례와 보안 프로토콜을 준수하는 것의 중요성을 교육하십시오.

 

 

 

 

 

Leave a Comment