OTAC PLC OT

OT 환경에서의 인증 취약점 증가, 그 원인과 대응 전략은?

Admin
Admin

운영 기술(OT) 시스템에서 인증 취약점이 눈에 띄게 증가하고 있습니다. 최근 발표된 보고서들에 따르면 OT 장치에 대한 공격이 지속적으로 증가하는 것으로 나타났습니다. 특히 주목할 만한 점은 제조 시 설정된 기본 비밀번호를 여전히 사용하거나, 기초적인 수준의 인증 과정이나 접근 제어가 미흡해 발생하는 사건 사고가 적지 않다는 것입니다.

OT 시스템을 공격하는 경로는 처음에 기업 네트워크에 접근한 후 OT 네트워크로 이동하여 ICS 네트워크 내부 깊숙한 시스템을 손상시키는 방식이 자주 목격됩니다. 팔로알토 네트웍스의 “Unit 42 Attack Surface Threat Report”에 따르면, 지난 2023년 이러한 취약점 중 20%가 기업망으로 연결되는 원격 접근 취약점이었으며, 나머지 80% ICS 네트워크 내부에 위치해 있었습니다. 그 중 62%는 퍼듀(Purdue) 모델의 0-3 레벨에서 발견된 취약점에 해당합니다.

Deep within ICS networks

인증 취약점 예시

  • CVE-2022-30242CVE-2022-30245: 지난 2022년 5월4일까지 Honeywell Alerton Ascent Control Module(ACM)에서 발견된 취약점입니다. 이 취약점은 인증되지 않은 원격 사용자가 컨트롤러의 설정을 변경할 수 있게 합니다.
  • CVE-2022-46650CVE-2022-46649: ALEOS 소프트웨어 4.16 버전 이전의 Acemanager에서 발견된 취약점으로, 유효한 자격 증명을 가진 사용자가 장치를 재구성할 수 있으며, 로그인 전 상태 페이지에 ACEManager 자격 증명이 노출됩니다. 이를 통해 ACEManager 인터페이스에 접근한 공격자는 이러한 자격 증명을 볼 수 있거나 조작할 수 있으며, 이는 무단 접근으로 이어질 수 있습니다.
  • CVE-2023-27394: Osprey Pump Controller 1.01 버전에서 발견된 취약점으로, 인증되지 않은 운영 체제 명령어 주입 취약점입니다. 공격자는 HTTP GET 매개변수를 통해 임의의 셸 명령어를 주입하고 실행할 수 있으며, 이를 통해 장치에 무단으로 접근하거나 제어할 수 있습니다.
  • CVE-2021-30116: Kaseya VSA 9.5.7 버전 이전에서 발견된 취약점으로, 자격 증명이 누출될 수 있습니다. 실제, 이 취약점은 2021년 7월에 악용된 바 있습니다. 이 자격 증명은 로그인 및 인증에 사용될 수 있으며, 이후 공격에서 인증을 우회하는 데 사용될 수 있는 세션 쿠키를 반환합니다.

 

인증 취약점 악용 사례

OT 취약점 관리 팁

지난 2021년 7월 2일, REvil 랜섬웨어 그룹에 의해 Kaseya VSA 랜섬웨어 공격이 발생했습니다. 이 공격을 간략하게 살펴보면 다음과 같습니다.

  • 취약점 악용: 해커는 Kaseya의 VSA (Virtual System Administrator) 소프트웨어에서 발견된 취약점(CVE-2021-30116)을 악용했으며, 이를 통해 Kaseya VSA 서버에 접근할 수 있었습니다.
  • 랜섬웨어 배포: 시스템에 침투한 후, 해커는 Kaseya VSA가 관리하는 엔드포인트에 REvil 랜섬웨어를 배포했습니다. 이는 MSP(Managed Service Provider)와 그들의 고객을 포함하여 1,000개 이상의 기업에 광범위한 다운타임을 초래했습니다.
  • 대응 및 영향: Kaseya는 VSA SaaS 인프라를 중단하고 온프레미스 고객들에게 VSA 서버를 종료하라는 통보를 했습니다. 이 공격은 소프트웨어 공급망과 정교한 랜섬웨어 그룹이 제기하는 심각한 위협을 부각시켰습니다.
  • 후속 조치: 이 사건은 신속한 패치 적용과 강력한 보안 조치의 중요성을 강조했으며, 소프트웨어 공급망 보안에 대한 관심을 높이고 보다 나은 사고 대응 전략의 필요성을 일깨웠습니다.

 

OT 취약점 관리 팁

OT 취약점 관리는 산업 환경에서의 보안을 강화하는 데 필수적입니다. 다음은 효과적인 취약점 관리에 도움이 되는 몇 가지 팁입니다.

  • 패치 및 업데이트 적용: 모든 소프트웨어와 펌웨어를 최신 패치로 업데이트하십시오. 이는 알려진 취약점을 수정하는 데 매우 중요합니다.
  • 강력한 인증 사용: 고유하고 강력한 비밀번호를 사용하고, 다중 요소 인증(MFA)을 고려하여 보안 수준을 한층 높이십시오.
  • 네트워크 분할: 네트워크를 분할하여 중요한 시스템을 격리하고, 권한이 있는 인원만 접근할 수 있도록 하십시오.
  • 정기적인 보안 감사: 정기적인 보안 감사 및 취약점 평가를 실시하여 잠재적인 약점을 식별하고 해결하십시오.
  • 불필요한 서비스 비활성화: 공격 표면을 줄이기 위해 필요하지 않은 서비스나 기능을 비활성화 하십시오.
  • 활동 모니터링 및 로그 기록: 비정상적인 활동을 감지하고 잠재적인 위협에 신속히 대응할 수 있도록 모니터링과 로그 기록을 구현하십시오.
  • 직원 교육: 직원들에게 보안 모범 사례와 보안 프로토콜을 준수하는 것의 중요성을 교육하십시오.

 

 

 

 

 

Leave a Comment