2019.03.26

트리톤과 산업용 IoT 보안 위협의 새로운 파장

Jon Gold | Network World
산업용 사물인터넷(IIoT)이 확산하면서 해커의 표적이 되고 있다. 이런 공격은 물리 세계에 대한 직접 타격이 가능한 것이 특징인데, 가장 위험한 것이 트리톤(Triton)이라 불리는 것이다.

© Getty Images Bank


트리톤이 처음 등장한 것은 지난 2017년 말이다. 보안 업체 파이어아이(Fireeye)에 따르면, 트리톤은 슈나이더 일렉트릭(Schneider Electric)이 만든 산업용 안전 시스템을 노린다. 이 시스템은 밸브와 터빈 같은 것을 모니터링하고 감시하다가 장애가 발생하기 전에 가동을 중단시키는 역할을 한다. 장애가 현실화하면 폭발 등을 통해 장비를 손상하거나 사람을 다치게 할 수 있다. 트리톤이라는 이름이 붙은 것도 바로 이 '슈나이더 일렉트릭 트리토넥스(Schneider Electric Triconex)' 산업용 안전 시스템을 목표로 하기 때문이다.

451 리서치의 IoT 보안 애널리스트 패드릭 데일리는 "트리토넥스 시스템에 대한 직접 공격은 경악스러운 것이다. 해커가 이를 악용해 운영을 방해할 경우 '사람을 해칠 수도 있는' 유일한 확인된 공격 사례다"라고 말했다.

겉으로만 보면 운영 기술 네트워크는 악성코드에 감염되기에 상대적으로 어렵다. 네트워크에 대한 직접 공격을 위해 물리적인 접속이 필요한 경우가 많기 때문이다. 그러나 이제는 악의적인 해커가 지난 수십 년간 활동해 온 것과 같은 IT 네트워크를 통해 이런 서비스가 운영된다. 이미 그 효과성이 입증된 소셜 엔지니어링 기술을 똑같이 사용해 운영 네트워크에 접근할 수 있는 것이다. 일단 IT 네트워크를 뚫으면 해커가 운영 네트워크에도 침투할 수 있게 된다.

아이오티움(IoTium)의 CTO 스리 라자고팔은 "이런 해킹이 일어나는 실제 경로는 일반적인 사이버 보안 분야의 사고와 매우 비슷하다. 차이점이 있다면 IT 제어 시스템에서 사용하던 것과 다른 산업용 제어 시스템에 특화된 취약점을 만들어야 하고 그 결과의 양상에 차이가 있다는 것이다"라고 말했다.

문제는 운영 네트워크와 IT 네트워크를 안전하게 분리하는 것이 만만치 않은 작업이라는 점이다. 기업 사이버보안 업체 클레어로티(Claroty)의 위협 연구 담당 부사장 데이브 웨인스타인은 "분할하지 않은 이른바 '플랫(Flat) 네트워크'는 악의적인 해커의 표적이 되기 쉽다. 그러나 필요한 연결을 유지한 채 네트워크를 분할하려면 많은 추가 작업이 필요하다. 대부분의 경우 방화벽과 스위치, 다른 장비가 다른 네트워크 부분을 논리적으로 강제로 분할해 인식하도록 설정해야 하기 때문이다. 그래서 네트워크 분할 프로젝트는 길게는 1년 이상 가능 경우도 있다. 대기업 혹은 다국적 기업의 경우 그렇다"라고 말했다.

현실적인 대응 방법
그렇다면 트리톤 위협에 어떻게 대응해야 할까? 전문가가 공통으로 지적하는 가장 시급한 조치는, 하나씩 하나씩 단계별로 보안을 강화하는 접근법이 더이상 통하지 않는다는 것을 인식하고, 네트워크에 연결된 장비가 무엇이 있는지 목록을 만드는 것이다. 이러한 목록을 통해 가시성을 확보하는 것이야 말로 가장 중요하다. 그러나 많은 기업에 여기에 충분히 신경쓰지 않는다고 전문가들은 입을 모은다. 

웨인스타인은 "우리가 고객 사이트 방문해 장비 목록을 요청하면, 서류 몇 장을 내미는 경우가 대부분이다. 그나마 네트워크에 연결된 모든 기기가 다 포함된 것도 아니다. 운영 네트워크를 별도로 분할하면 넓은 지역에 걸쳐 여러 장비를 분산 운영하는 대기업 환경에서 악성코드의 확산을 막는 데도 도움이 된다. 그러나 이러한 분할 작업을 하려면 정확한 네트워크 자산 관리가 필수다. 기업이 자사 네트워크에 어떤 장비가 연결돼 있는지 제대로 파악하지 못하면 네트워크를 분할하기는 더 어렵다"라고 말했다.

실제 분할 작업에서도 어려움이 있을 수 있다. 웨인스타인은 "운영팀이 IT팀과 다른 용어를 사용하고 다른 인식을 갖고 있다는 것을 아는 것이 중요하다. 이 차이는 반드시 연결해야 할 부분이다. 이 문제를 푸는 가장 중요한 부분은 운영팀의 문법을 IT팀 실무자가 일상적으로 사용하는 용어로 바꾸는 것이다. 이것에 실패해서 만약 분석가가 시스템 경고를 해석하는 데 며칠 몇 시간씩 걸린다면, 아무런 도움이 되지 않는다"라고 말했다.

데일리도 이에 동의했다. 그는 "일단 네트워크 분할이 정확하게 설정되면 IoT 실무자가 보안 취약점을 찾기 위해 더 적극적으로 조처할 수 있다. 보안을 관리하는 공식 절차를 정하고 이를 따라 시스템 경고를 조사하고 업계 표준을 지키는 것 등이 모두 중요하다. 기업은 이렇게 한 이후에야 실제 위협을 차단하는 것이 가능하다. 실제 보안 위협 '사냥'에 나서기 전에 기본을 충실히 다질 필요가 있다"라고 말했다. ciokr@idg.co.kr


2019.03.26

트리톤과 산업용 IoT 보안 위협의 새로운 파장

Jon Gold | Network World
산업용 사물인터넷(IIoT)이 확산하면서 해커의 표적이 되고 있다. 이런 공격은 물리 세계에 대한 직접 타격이 가능한 것이 특징인데, 가장 위험한 것이 트리톤(Triton)이라 불리는 것이다.

© Getty Images Bank


트리톤이 처음 등장한 것은 지난 2017년 말이다. 보안 업체 파이어아이(Fireeye)에 따르면, 트리톤은 슈나이더 일렉트릭(Schneider Electric)이 만든 산업용 안전 시스템을 노린다. 이 시스템은 밸브와 터빈 같은 것을 모니터링하고 감시하다가 장애가 발생하기 전에 가동을 중단시키는 역할을 한다. 장애가 현실화하면 폭발 등을 통해 장비를 손상하거나 사람을 다치게 할 수 있다. 트리톤이라는 이름이 붙은 것도 바로 이 '슈나이더 일렉트릭 트리토넥스(Schneider Electric Triconex)' 산업용 안전 시스템을 목표로 하기 때문이다.

451 리서치의 IoT 보안 애널리스트 패드릭 데일리는 "트리토넥스 시스템에 대한 직접 공격은 경악스러운 것이다. 해커가 이를 악용해 운영을 방해할 경우 '사람을 해칠 수도 있는' 유일한 확인된 공격 사례다"라고 말했다.

겉으로만 보면 운영 기술 네트워크는 악성코드에 감염되기에 상대적으로 어렵다. 네트워크에 대한 직접 공격을 위해 물리적인 접속이 필요한 경우가 많기 때문이다. 그러나 이제는 악의적인 해커가 지난 수십 년간 활동해 온 것과 같은 IT 네트워크를 통해 이런 서비스가 운영된다. 이미 그 효과성이 입증된 소셜 엔지니어링 기술을 똑같이 사용해 운영 네트워크에 접근할 수 있는 것이다. 일단 IT 네트워크를 뚫으면 해커가 운영 네트워크에도 침투할 수 있게 된다.

아이오티움(IoTium)의 CTO 스리 라자고팔은 "이런 해킹이 일어나는 실제 경로는 일반적인 사이버 보안 분야의 사고와 매우 비슷하다. 차이점이 있다면 IT 제어 시스템에서 사용하던 것과 다른 산업용 제어 시스템에 특화된 취약점을 만들어야 하고 그 결과의 양상에 차이가 있다는 것이다"라고 말했다.

문제는 운영 네트워크와 IT 네트워크를 안전하게 분리하는 것이 만만치 않은 작업이라는 점이다. 기업 사이버보안 업체 클레어로티(Claroty)의 위협 연구 담당 부사장 데이브 웨인스타인은 "분할하지 않은 이른바 '플랫(Flat) 네트워크'는 악의적인 해커의 표적이 되기 쉽다. 그러나 필요한 연결을 유지한 채 네트워크를 분할하려면 많은 추가 작업이 필요하다. 대부분의 경우 방화벽과 스위치, 다른 장비가 다른 네트워크 부분을 논리적으로 강제로 분할해 인식하도록 설정해야 하기 때문이다. 그래서 네트워크 분할 프로젝트는 길게는 1년 이상 가능 경우도 있다. 대기업 혹은 다국적 기업의 경우 그렇다"라고 말했다.

현실적인 대응 방법
그렇다면 트리톤 위협에 어떻게 대응해야 할까? 전문가가 공통으로 지적하는 가장 시급한 조치는, 하나씩 하나씩 단계별로 보안을 강화하는 접근법이 더이상 통하지 않는다는 것을 인식하고, 네트워크에 연결된 장비가 무엇이 있는지 목록을 만드는 것이다. 이러한 목록을 통해 가시성을 확보하는 것이야 말로 가장 중요하다. 그러나 많은 기업에 여기에 충분히 신경쓰지 않는다고 전문가들은 입을 모은다. 

웨인스타인은 "우리가 고객 사이트 방문해 장비 목록을 요청하면, 서류 몇 장을 내미는 경우가 대부분이다. 그나마 네트워크에 연결된 모든 기기가 다 포함된 것도 아니다. 운영 네트워크를 별도로 분할하면 넓은 지역에 걸쳐 여러 장비를 분산 운영하는 대기업 환경에서 악성코드의 확산을 막는 데도 도움이 된다. 그러나 이러한 분할 작업을 하려면 정확한 네트워크 자산 관리가 필수다. 기업이 자사 네트워크에 어떤 장비가 연결돼 있는지 제대로 파악하지 못하면 네트워크를 분할하기는 더 어렵다"라고 말했다.

실제 분할 작업에서도 어려움이 있을 수 있다. 웨인스타인은 "운영팀이 IT팀과 다른 용어를 사용하고 다른 인식을 갖고 있다는 것을 아는 것이 중요하다. 이 차이는 반드시 연결해야 할 부분이다. 이 문제를 푸는 가장 중요한 부분은 운영팀의 문법을 IT팀 실무자가 일상적으로 사용하는 용어로 바꾸는 것이다. 이것에 실패해서 만약 분석가가 시스템 경고를 해석하는 데 며칠 몇 시간씩 걸린다면, 아무런 도움이 되지 않는다"라고 말했다.

데일리도 이에 동의했다. 그는 "일단 네트워크 분할이 정확하게 설정되면 IoT 실무자가 보안 취약점을 찾기 위해 더 적극적으로 조처할 수 있다. 보안을 관리하는 공식 절차를 정하고 이를 따라 시스템 경고를 조사하고 업계 표준을 지키는 것 등이 모두 중요하다. 기업은 이렇게 한 이후에야 실제 위협을 차단하는 것이 가능하다. 실제 보안 위협 '사냥'에 나서기 전에 기본을 충실히 다질 필요가 있다"라고 말했다. ciokr@idg.co.kr


X