마이크로소프트, IT-IoT-OT 융합이 주요 인프라에 미치는 위협 발표

- 사이버 시그널 3번째 에디션 ‘IT-OT 융합 편’ 발간…OT 확산에 새 공격 진입점 된 디바이스 - 올해 20개국 중 중국, 미국, 인도 이어 한국이 4번째로 큰 IoT 멀웨어 감염 진원지로 확인 - 가장 일반적인 산업용 컨트롤러 75%에서 패치 적용되지 않은 높은 수준의 취약점 확인

2023-12-16     임병선 기자

[smartPC사랑=임병선 기자] 마이크로소프트가 사이버 시그널(Cyber Signals) 3번째 에디션을 공개, 매일 발생하는 43조개의 마이크로소프트 보안 신호와 8,500명의 보안 전문가로부터 수집된 보안 동향 및 인사이트를 공유했다. 이번 보고서는 정보기술(IT)과 사물인터넷(IoT), 운영기술(OT, Operational Technology) 시스템의 융합이 주요 인프라에 미치는 광범위한 위협에 대해 소개한다.

OT는 물리적인 환경과 상호작용하는 시스템이나 디바이스에 사용되는 하드웨어 및 소프트웨어, 또는 이를 제어하는 기술을 의미한다. 건물 관리 시스템, 소방 관리 시스템, 출입문이나 엘리베이터와 같은 물리적 접근 제어 메커니즘 등이 여기에 포함된다.

OT의 활용이 늘어남에 따라 조직과 개인은 사이버 위험의 영향과 그 결과에 대해 다시 생각해야 한다. 자택의 와이파이 정보가 저장된 노트북이나 차량이 도난되면 절도범에게 무단 네트워크 접근을 허용하게 되는 것과 유사하게, 제조시설의 원격 연결 장비나 스마트 빌딩의 보안 카메라 등은 멀웨어 또는 산업 스파이에 공격 요소를 제공하게 된다.

시장조사기관 IDC2025년까지 전 세계 기업 및 소비자 환경 전반에 걸쳐 410억개 이상의 IoT 디바이스 수요를 예상했는데, 이를 통해 카메라, 스마트 스피커, 잠금장치, 상업용 가전제품과 같은 디바이스는 공격자들의 새로운 공격 진입 지점이 될 수 있음을 알 수 있다.

실제로 마이크로소프트가 2022년 여러 국가의 위협 데이터를 분석한 결과, 올해 한국을 포함한 20개국이 외부로 중요 정보가 유출될 수 있는 IoT 멀웨어 감염 진원지로 나타났다. 중국이 38%1위를 차지하고, 미국(19%)과 인도(10%)가 그 뒤를 이었다. 한국은 7%로 전체 20개국 중 4번째로 큰 비중을 보였다.

 

이번 사이버 시그널의 주요 내용은 다음과 같다.

- 마이크로소프트는 자사 고객 OT 네트워크의 가장 일반적인 산업용 컨트롤러 75%에서 패치 적용이 되지 않은 높은 수준의 취약점을 확인했다. 이는 시스템이나 장비를 이용할 수 없는 시간인 다운타임에 민감한 환경에서도 리소스가 풍부한 조직조차 제어 시스템에 패치를 적용하는 것이 얼마나 어려운 일인지 보여준다.

- 올해 유명 벤더사가 생산한 산업용 제어 장비에서 높은 수준의 취약점이 2020년 대비 78% 증가했다.

- 더 이상 지원이나 패치가 이뤄지지 않는 오래된 소프트웨어를 실행하는 인터넷에서 100만개가 넘는 디바이스의 연결이 확인된다. 이는 IoT 디바이스와 소프트웨어 개발 키트에서 여전히 널리 사용되고 있다.

 

마이크로소프트는 기업과 개인이 제로 트러스트 보안 모델로 IoT 솔루션을 안전하게 하기 위해서는 비() IoT에 대한 구체적인 요구사항을 확인하는 것부터 시작해야 한다고 설명했다. 이는 아이덴티티와 디바이스를 보호하고 접근을 제한하기 위한 필수 사항을 구현했는지 구체적으로 확인함으로써 달성할 수 있다. 이러한 요구사항에는 명확한 사용자 신분 확인, 네트워크 내 디바이스에 대한 가시성 확보, 실시간 위험 탐지 등이 포함된다.

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 부문 기업 부사장은 에너지, 운송 등 산업 전반의 주요 인프라를 뒷받침하는 OT 시스템이 IT 시스템에 점점 더 많이 연결되고 이전에는 분리되어 있던 시스템의 경계가 모호해지면서, 운영 중단 및 피해 위험도 커진다라며, “산업 전반에 걸친 비즈니스 및 인프라 운영자의 경우 방어의 원칙은 상호 연결된 시스템에 대한 전체적인 가시성을 확보하는 것과 진화하는 위험과 종속성에 대해 집중하는 것이라고 말했다.

마이크로소프트 사이버 시그널에 대한 보다 자세한 정보는 마이크로소프트 공식 블로그를 통해 확인 가능하다.