[중앙뉴스=김상미 기자] 작년 러시아-우크라이나 전쟁 등으로 철도․병원․제조․에너지 등 중요 인프라에 사이버 공격이 지속됐다는 보고서가 발표됐다.

OT/IOT 및 ICS보안 솔루션 분야 글로벌 기업 노조미네트웍스는 노조미네트웍스 랩의 ‘OT/IoT 보안 보고서:ICS 위협 환경에 대한 심층 조사(OT/IoT Security Report: A Deep Look Into the ICS Threat Landscape)’를 발표했다. 이와 함께 노조미 아크를 소개했다. 

노조미네트웍스가 발표한 보고서에 따르면, 와이퍼 멀웨어, IoT 봇넷 활동, 러시아/우크라이나 전쟁이 2022년 위협 환경에 상당한 영향을 미친 것으로 나타났다. 노조미네트웍스 랩의 연구원들은 2022년 상반기에 관찰된 추세를 이어가면서 핵티비스트들이 러시아와 우크라이나 전쟁에서 정치적 입장을 강화하고자 중요 인프라를 불안정하게 만들기 위해 데이터 도난 및 분산 서비스 거부(DDoS) 공격에서 더 파괴적인 악성 프로그램을 활용하는 것으로 전술을 전환했다고 밝혔다. 

로야 고든(Roya Gordon) 노조미네트웍스 OT/IoT 보안 연구 에반젤리스트는 “지난 6개월간 사이버 공격이 크게 증가하여 운송에서 의료에 이르는 여러 산업에 큰 혼란을 초래했다”라며 “특히, 철도는 공격을 받아 철도 운영자와 자산을 보호하기 위해 고안된 조치를 시행하게 되었다. 사이버 위협이 고도화됨에 따라 기업들은 위협 행위자가 OT/IoT를 표적으로 삼는 방법을 파악하고, 위협 행위자로부터 중요 자산을 방어하는데 필요한 조치를 취해야 한다”고 말했다. 

노조미네트웍스 랩(Nozomi Networks Labs)은 지난 6개월 동안 고객의 침입 경고를 분석한 결과, 취약한 일반 텍스트 암호와 취약한 암호화가 중요 인프라 환경에 대한 가장 큰 액세스 위협이었으며, 무차별 공격과 DDOS 시도가 그 뒤를 이었다고 밝혔다. 엔터프라이즈 IT 네트워크를 대상으로 탐지된 가장 일반적인 멀웨어는 ‘트로이 목마’였으며, OT를 대상으로 한 멀웨어에는 ‘원격 액세스 도구(RAT)’가, IoT 장치를 대상으로 한 멀웨어에는 ‘DDoS 멀웨어’가 꼽혔다. 

또한, 악의적인 IoT 봇넷 활동은 높은 수준을 유지했으며, 2022년 하반기에도 계속 증가한 것으로 나타났다. 노조미네트웍스 랩은 봇넷이 IoT 장치에 액세스하려는 시도에서 기본 자격 증명을 계속 사용함에 따라 보안 문제가 증가한다는 점을 발견했다.

작년 7월부터 12월까지 노조미네트웍스가 분석한 보고서에 따르면, ▲7월, 10월, 11월에 공격이 급증했으며, 해당 달에 고유한 공격이 5,000회 이상 발생했다. ▲상위 공격자 IP 주소는 중국, 미국, 한국 및 대만과 연결되어 있다. ▲‘루트’ 및 ‘관리자’ 자격 증명은 공격자가 네트워크에서 초기 액세스 권한을 얻고 권한을 상승시키는 방법으로 여전히 가장 자주 사용되고 있다. ▲취약성 측면에서 제조업과 에너지 분야는 여전히 가장 취약한 산업이며, 상하수도, 의료 및 운송 시스템이 그 뒤를 이었다. 

또한 작년 하반기 보안 상황 분석에 의하면, ▲CISA는 218개의 CVE(Common Vulnerabilities and Exposures)를 발표했으며, 이는 상반기 대비 61% 감소한 수치이다. ▲70개 공급업체가 영향을 받았으며, 이전 보고 기간보다 16% 증가했다. ▲영향을 받는 제품도 2021년 하반기보다 6% 증가했다. 

노조미네트웍스 관계자는 “이번 보고서는 보안 전문가들에게 중요 인프라 보안을 위한 실행 가능한 권장사항과 함께 위험 모델 및 보안 이니셔티브를 재평가하는 데 필요한 인사이트를 제공한다”고 밝혔다.

한편, 노조미네트웍스는 이날 완전한 운영 복원력에 도달하는 시간을 기하급수적으로 단축시키는 업계 최초의 OT/IoT 엔드포인트 보안 센서 ‘노조미 아크(Nozomi Arc™)’를 발표했다. 

노조미네트웍스에 따르면, 기업들이 가시성을 필요로 하는 곳이라면 어디서나 수많은 사이트와 장치에 자동 배포하도록 구축된 ‘노조미 아크(Nozomi Arc™)’는 주요 자산 및 네트워크 엔드포인트에 대한 중요한 데이터와 통찰력을 추가로 제공한다. 이 데이터는 현재 리소스에 부담을 주거나 미션 크리티컬 네트워크를 방해하지 않고 사용자 활동을 상호 연관시킬 뿐만 아니라, 위협을 보다 효과적으로 분석 및 방지하는 데 사용된다.

‘노조미 아크(Nozomi Arc™)’는 완전한 자산 가시성, 배포 속도 및 복잡한 원격 OT/IT 네트워크 전반을 지원한다는 점에서 매우 획기적인 솔루션이다. ▲엔드포인트 취약점 분석 ▲손상된 호스트 식별 ▲원격 배포 ▲미션 크리티컬 시스템에서 모니터링 배포 가속화 등 기능을 제공한다.

노조미네트웍스 코리아 박지용 지사장은 “운영 탄력성은 사이버 위험을 낮추고 보안을 강화해야만 달성할 수 있는 것으로, 중요 인프라 조직이 꼽는 최우선 비즈니스 과제이다”라며 “‘노조미 아크(Nozomi Arc™)’는 네트워크의 모든 컴퓨터를 OT 보안 센서로 변환하여 복원 시간을 단축시키며, 엔드포인트 호스트와 로컬 네트워크 내부의 공격면과 위협에 대한 가시성을 빠르게 확장할 수 있다. 또한, 잠재적인 보안 위협과 취약성을 극적으로 줄이는 동시에 모든 자산과 사이트에서 배포를 단순화시킨다”고 말했다. 

노조미네트웍스 코리아 박양수 이사는 “‘노조미 아크(Nozomi Arc™)’는 미션 크리티컬 네트워크 및 산업에 대한 향상된 엔드포인트 데이터 수집 및 자산 가시성을 고객에게 제공한다. 이 향상된 가시성은 추가 취약성 평가, 엔드포인트 보호, 트래픽 분석 기능 및 진행 중인 위협 및 이상 현상에 대한 보다 정확한 진단을 제공한다. 이를 통해 고객들은 멀웨어, 악성 애플리케이션, 무단 USB 드라이브 및 의심스러운 사용자 활동으로 손상된 호스트를 쉽게 식별할 수 있다”고 설명했다. 

한편, ‘노조미 아크(Nozomi Arc™)’는 현재 노조미네트웍스 및 광범위한 글로벌 채널 파트너 네트워크의 구독을 통해 사용할 수 있으며, 가격은 모니터링되는 자산의 수를 기반으로 한다고 회사 측은 덧붙였다.