제조업에서 랜섬웨어로부터 IIoT 리소스를 보호해야 하는 이유

랜섬웨어는 새로운 보안 위협이 아닙니다. 1989년에 처음 등장했으며 플로피 디스크를 통해 배포되었습니다.

그러나 몸값을 받고 산업 환경의 중요 자원을 탈취하는 이상적인 현대 범죄 비즈니스 모델로 극적인 제2의 삶을 살게 되었습니다.

산업 인프라를 인질로 잡는 데는 총보다 키보드가 더 효과적입니다. 제조 및 중요 인프라 부문에서 디지털 자산 보안을 사이버 보안의 우선 순위로 구체적으로 다루기 전까지는 문제는 더욱 악화될 것입니다.

최근 랜섬웨어 공격의 상당수가 제조 및 중요 인프라 부문을 겨냥하고 있으며, 이러한 부문은 전통적으로 물리적 자산을 생성하는 데 중점을 두고 있습니다.

그러나 대부분의 제조 업계는 많은 컴퓨팅 플랫폼과 원격 액세스 솔루션을 클라우드로 빠르게 마이그레이션하고 있어 산업 제어 시스템과 공장 센서가 클라우드에서 유입되는 공격 벡터에 노출되어 있습니다.

랜섬웨어 공격으로 인해 매년 수백만 달러의 제조 비용이 발생합니다.

제조업은 전통적으로 디지털 범죄에 크게 영향을 받지 않는다고 생각할 수 있습니다. 하지만 이는 잘못된 생각입니다.

랜섬웨어 공격의 21%는 제조업을 대상으로 발생하며, 2021년 평균 203만 6천 달러로 모든 산업 중 가장 많은 몸값을 지불한 것으로 나타났습니다.

동기 부여가 있는 해커가 제조업체의 클라우드 보안 도구에 침입하여 산업 또는 공장 환경 깊숙한 곳에 배포된 중요한 컨트롤러 또는 센서(IIoT 디바이스)에 원격으로 액세스하여 이를 비활성화하기만 하면 됩니다. 이로 인해 디지털 침입으로 인한 실제적인 물리적 위험이 발생하고 피해자는 몸값을 지불하거나 운영 중단의 후유증을 감당해야 하는 선택을 강요받게 됩니다.

대부분의 피해자는 몸값을 지불하는 것이 더 저렴한 선택이라고 판단하여 제조 조직에 수백만 달러의 비용을 지불합니다.

랜섬웨어는 금전적 이득을 거의 확실하게 보장한다는 점에서 현대 사이버 범죄자들에게 너무나도 매력적인 공격 대상입니다. 서비스형 랜섬웨어는 다크웹에도 존재하며, 사이버 범죄자들이 다음 피해자를 선택하는 데 도움을 주는 지원 계약과 헬프 데스크까지 갖추고 있습니다.

그리고 랜섬웨어 배포는 사이버 범죄자가 산업 환경에 침입하는 마지막 단계인 경우가 많습니다. 이들은 먼저 비활성화할 중요 자산을 찾고, 지적 재산을 노출하고, 피해자가 어떤 사이버 보안 보험에 가입되어 있는지 파악하여 몸값을 책정합니다. 이 정보가 추출되면 마지막 단계는 인프라를 인질로 잡고 금전을 요구하는 것인데, 대부분의 피해자가 금전을 지불하는 것을 선택합니다. 사이버 범죄자의 꿈이 실현된 것입니다.

제조업에 대한 랜섬웨어 공격은 실제적인 위험을 초래합니다.

제조업은 오랫동안 사이버 범죄의 범위 밖에 있는 것으로 인식되어 왔습니다. 예를 들어 에너지, 철강, 식량을 생산하거나 채굴 작업을 수행하는 산업 체인의 경우 사이버 범죄의 위험은 어느 정도일까요?

실제로 사이버 범죄의 위험은 높습니다.

2015년 독일의 한 제철소에서 사이버 공격으로 인한 물리적 피해를 입은 최초의 사례로 알려진 사건이 발생했습니다. 사이버 범죄자들은 IT 네트워크에 연결된 공장의 일부 중요 제어 시스템에 원격으로 액세스할 수 있었으며, 이러한 시스템은 비활성화되었습니다. 이로 인해 중요한 센서가 공장의 열 수준을 모니터링할 수 없게 되었고, 이러한 센서에 의해 용광로가 자동으로 차단되지 않아 심각한 손상을 입었습니다.

물리적 세계가 순전히 디지털 위험에 갑자기 노출되었고, 그 이후로 사이버 범죄자들은 이 사실을 눈치채지 못했습니다.

몸값 지불하기: 어떤 위험이 있나요?

공격 중에 몸값을 지불하는 것은 피해자에게 자체적인 위험을 초래합니다.

사이버 보험 보험료 인상

랜섬웨어가 재발견되기 전에는 거의 영향을 받지 않았던 사이버 보험 사업자들은 이제 랜섬웨어 공격에 대한 보상금 지급으로 인해 심각한 매출 손실에 직면하고 있습니다.

이제 통신사들은 멀웨어가 네트워크를 통해 이동하는 것을 더 어렵게 만드는 방법으로 네트워크에 어떤 형태의 세분화를 구현하도록 고객에게 강요하고 있습니다. 고객이 이에 동의하면 월 보험료가 낮아질 수 있지만, 지난 몇 년간 사이버보험 보험료는 여전히 크게 인상되었습니다.

이제는 단순히 보험에 의존하는 대신 사전 예방적 사이버 보안을 진지하게 고려하는 것이 잠재적 피해자에게 가장 큰 재정적 이익이 됩니다.

불리한 법적 결과

두 번째 위험은 많은 랜섬웨어 조직이 미국 정부의 블랙리스트, 이른바 OFAC (해외자산통제실) 제재 목록에 있는 국가에 기반을 두고 있다는 사실입니다.

미국이 국가 안보를 위해 경제 및 무역 제재를 가한 외국 독재자 정권, 마약 밀매업자, 테러 조직, 무기 거래상들의 명단입니다. 미국 내 모든 사람이 이 목록에 있는 사람들과 거래하는 것은 범죄입니다.

제재 대상 국가의 랜섬웨어 조직이 미국에 기반을 둔 제조 자산을 인질로 잡고 조직이 몸값을 지불하기로 결정한 경우, 조직은 해당 조직과 거래한 것에 대해 형사 책임을 질 위험이 있습니다.

몸값을 지불하는 재정적으로 저렴한 옵션을 선택하면 피해자는 의도하지 않은 범죄 및 불리한 법적 결과에 쉽게 노출될 수 있습니다.

사이버 범죄로부터 산업 자산을 보호합니다: 동서 횡방향 이동 차단

랜섬웨어는 어디선가 발생하며, 일반적으로 전체 사이버 아키텍처의 IT 측면에서 발생합니다. 모든 종류의 랜섬웨어는 이동을 좋아한다는 한 가지 공통점이 있습니다.

워크로드가 탈취되면 랜섬웨어는 해당 워크로드에서 열린 포트를 찾아 다음 워크로드로 측면 이동하는 벡터로 사용하고, 이후에는 패브릭의 산업 측면을 향해 의도한 표적을 향해 이동합니다.

대부분의 보안 도구는 데이터 센터나 클라우드에 멀웨어가 침입하는 것을 방지하는 남북 경계에 배포되지만, 랜섬웨어는 대규모의 동서 측면 전파를 제어하는 것이 여전히 해결되지 않은 문제라는 점을 이용합니다.

남북 경계에 배포된 대부분의 동급 최강의 보안 도구는 신뢰할 수 있는 네트워크 내에서 불가피하게 발생하는 침해와 그에 따른 동서 횡방향 전파에 대한 보호 기능을 거의 제공하지 않습니다.

제로 트러스트 세분화로 랜섬웨어 확산 차단

제로 트러스트를 사용하려면 규모에 관계없이 컴퓨팅 환경의 모든 워크로드에 대해 마이크로세그멘테이션( 제로 트러스트 세분화라고도 함)을 활성화하고 모든 워크로드 간에 최소 권한 액세스 모델을 구현해야 합니다.

이러한 마이크로세그멘테이션 솔루션은 모든 워크로드를 고유한 신뢰 경계로 정의해야 하며, 이를 위해 기본 네트워크나 클라우드 패브릭의 어플라이언스에 의존하지 않고도 그렇게 할 수 있어야 합니다. 워크로드 세분화는 다른 모든 형태의 세분화에 대해 가능한 한 독립적이어야 합니다.

모든 워크로드 간의 최소 권한 액세스 모델은 모든 워크로드 간의 모든 포트가 기본적으로 거부됨을 의미합니다. 서로 간에 SSH 또는 RDP로 워크로드를 횡방향으로 전송해야 하는 경우는 거의 없습니다. 관리자가 이러한 워크로드를 원격으로 관리하는 데 사용하기 때문에 모든 최신 운영 체제에는 이러한 포트가 활성화되어 있지만 액세스는 거의 항상 특정 중앙 집중식 관리자 호스트로 제한됩니다. 이러한 포트는 기본적으로 모든 곳에서 차단해야 하며, 예외를 정의하여 권한이 부여된 관리 호스트만 액세스할 수 있도록 허용할 수 있습니다.

모든 워크로드를 다른 워크로드와 분리하고 그 사이의 모든 포트를 측면으로 차단하면 랜섬웨어가 IT 네트워크를 통해 산업 운영 측으로 측면 전파할 방법이 없습니다.

랜섬웨어는 아무리 강력한 경계 보안 솔루션도 뚫을 수 있으며, 일단 뚫리면 랜섬웨어는 가장 먼저 발견할 수 있는 워크로드를 탈취합니다. 제로 트러스트 세분화는 워크로드 간에 모든 포트를 비활성화하고 랜섬웨어가 네트워크의 더 깊은 곳으로 이동할 수 있는 벡터를 차단하여 처음 하이재킹된 워크로드를 격리할 수 있습니다.

제로 트러스트 세분화는 침해가 IT 인프라 전체로 확산되는 것을 차단합니다. 또한 핵심 아키텍처의 더 깊은 곳에 위치한 산업 시스템을 보호합니다.

제로 트러스트 세분화로 산업 인프라 시스템에 대한 가시성 제공

제로 트러스트 세분화의 두 번째 측면은 네트워크의 산업 및 IT 측면에 배포된 모든 시스템 간의 트래픽에 대한 가시성입니다. 예를 들어 센서와 제어 시스템 간의 트래픽 종속성 및 동작은 온프레미스와 클라우드 모두에서 IT 네트워크의 시스템 간 트래픽만큼이나 명확하게 파악할 수 있어야 합니다.

Illumio를 사용하면 두 가지 모두에 대한 완전한 가시성을 확보할 수 있습니다:

관리형 워크로드 - 가상 시행 노드(VEN)를 배포하여 애플리케이션 원격 분석을 직접 수집할 수 있는 워크로드입니다.

관리되지 않는 워크로드 - 산업용 코어 네트워크 내에 배포된 컨트롤러, 센서, IoT 카메라와 같은 IoT 디바이스와 같이 VEN을 배포할 수 없는 디바이스입니다.

Illumio는 네트워크 스위치 및 로드 밸런서에서 Netflow, sFlow, IPFIX, Flowlink와 같은 프로토콜을 통해 원격 분석을 수집하여 IoT 디바이스에서 가시성을 확보하고, 이러한 모든 시스템 간의 모든 트래픽을 Illumio의 PCE(정책 제어 엔진)에 모든 관리 워크로드와 함께 표시합니다.

정책은 네트워크 주소가 아닌 레이블을 사용하여 워크로드를 식별하는 방식으로 관리형 및 비관리형 워크로드 모두에 대해 PCE에서 동일한 방식으로 정의됩니다. 관리되지 않는 워크로드에 대한 정책은 스위치로 푸시 다운되어 스위치 포트 간 정책을 적용하는 데 사용할 수 있는 ACL(액세스 제어 목록)로 변환되고 스위치는 이를 iRules에 적용합니다. 그러면 로드 밸런서는 이 정보를 사용하여 정책을 적용할 수 있습니다.

Illumio는 디지털 기기 간의 사각지대를 엔드투엔드로 제거합니다. 이를 통해 전체 산업 제어 시스템과 IT 패브릭에 걸쳐 완전한 제로 트러스트 시각화 및 레이블 기반 정책 모델을 구현할 수 있습니다.

제로 트러스트 세분화로 IIoT 시스템에 대한 랜섬웨어 보호 받기

일루미오 제로 트러스트 세분화는 모든 산업 환경을 보호하고 워크로드 간의 모든 측면 전파를 제어하며 랜섬웨어가 전파되는 데 필요한 공격 경로를 제거합니다.

규모가 크든 작든 랜섬웨어로부터 안전한 산업 환경은 없습니다. 산업 아키텍처 내에 배포된 OT 시스템과 IIoT 시스템은 다음 공격 대상을 찾는 기회주의적인 랜섬웨어 조직에 노출될 필요가 없습니다.

Illumio는 랜섬웨어 공격의 영향으로부터 중요한 산업용 IIoT 환경 전체를 보호하여 귀사가 랜섬웨어의 최신 피해자가 되는 것을 방지할 수 있습니다.

제로 트러스트 세분화로 랜섬웨어를 차단하는 방법에 대해 자세히 알아보고 싶으신가요? 랜섬웨어 차단 페이지를 방문하세요.