중요 인프라 조직 보호
IT 사이버 보안을 사용하여 운영 중단을 방지하기
중요 인프라 운영업체들은 현대 사회의 중추를 지원하며, 이로 인해 사이버 보안 공격의 주요 표적이 됩니다. 다른 산업과 달리, 이러한 조직을 공격하는 사이버 범죄자와 국가들은 데이터를 훔치려는 경우가 드뭅니다. 대신, 그들은 수백만 명에게 경제적 피해를 주고 심각한 결과를 초래하는 운영 중단 사태를 일으키고자 합니다.
핵심 인프라 운영업체에 대한 공격이 증가하고 있습니다. 2023년, 미국 교통안전청(TSA)의 CIO는 미국 인프라에 �대한 사이버 공격의 증가와 외국 적대 세력의 사이버 역량 강화가 우리가 사이버 전쟁에 돌입했음을 의미한다고 말했습니다. 그리고 실제로 미국의 운송, 수도, 에너지 사업업체에 대한 공격은 국가의 후원을 받는 사이버 범죄자와 관련이 있는 것으로 나타났습니다.
2024년 미국 환경보호국(EPA)은 TSA의 의견에 동의하며, “최근 수도 시스템에서 발생한 고위험 사고들이 사이버 보안 약점과 물리적 공격에 대한 취약점을 시급히 해결해야 한다는 것을 보여주었습니다”라고 언급했습니다. 같은 해, 비영리 국제 규제 기관인 북미 전력 신뢰성 공사(NERC)는 미국 전력망이 공격에 점점 더 취약해지고 있으며, 전기 네트워크의 취약 지점 수가 하루에 약 60개씩 증가하고 있다고 경고했습니다.
지난 몇 년 동안의 공격은 상대적으로 작은 초기 침해가도 외견상 별개의 IT 시스템이라 할지라도 운영에 엄청난 결과를 초래할 수 있음을 보여줍니다.
Colonial Pipeline: 2021년의 Colonial Pipeline에 대한 공격은 비교적 간단했습니다. 공격자는 손상된 VPN 자격 증명을 사용하여 데이터를 훔치고 청구 및 회계 시스템을 포함한 IT 시스템에 랜섬웨어를 배포했습니다. Colonial Pipeline은 공격의 확산을 방지하거나 연료 분배 청구 문제를 피하기 위해 운영 중단을 단행했습니다. 그리고 헤드라인에 놀란 사람들이 기름을 사기 위해 몰려들면서 패닉 사태가 벌어졌습니다.
플로리다주 올즈마, 정수처리장: 같은 해 초 누군가가 플로리다주 올즈마에 있는 정수처리장의 중요 시스템에 원격으로 접속해 식수 속 규소 수치를 잠시 변화시켰습니다. 책임자가 신속하게 변경 사항을 되돌려 아무도 다치지는 않았지만, 이 사건은 사이버 보안 공격이 지역 시민들의 건강과 복지에 미칠 수 있는 영향을 보여줍니다.
이러한 유형의 공격은 IT 사이버 보안팀이 운영을 지원하는 방식에 변화를 요구합니다. 과거에는 많은 IT 보안 팀과 운영 기술(OT) 팀이 별개였습니다. IT 보안은 사이버 보안 위협을 방어하는 데 중점을 두었고, OT는 시스템을 가동하고 유지하는 데 집중했습니다.
현대의 사이버 보안 위협은 IT 보안팀이 그들의 역할을 확장하도록 요구합니다. 조직에서는 광범위한 사이버 보안 기능을 OT에 적용하여 치명적인 중단을 방지해야 합니다.
왜 IT 보안에 운영 기술을 적용해야 할까요?
IT와 OT 시스템이 융합되기 시작한 것은 10여 년 전의 일입니다. 산업용 IoT 센서, 원격 모니터링 시스템, 클라우드 기반 분석의 도입으로 IT 및 OT 환경이 서로 연결되었습니다.
이 연결은 운영 효율성을 높여 주지만 동시에 적에게 새로운 경로를 제공합니다. Colonial Pipeline 공격이 보여주었듯, 공격자는 더 이상 산업 제어 시스템을 침해하지 않고도 심각한 운영 중단을 초래할 수 있습니다. 이제 손상된 노트북이 그 산업 제어 시스템으로의 경로를 제공합니다. 잘못 구성된 클라우드 서비스는 감독 제어 및 데이터 수집(SCADA) 네트워크를 노출시킬 수 있습니다.
공격자가 이러한 경로를 이용할 수 없도록 차단하려면 IT 보안 기능을 OT에 적용하는 것이 필수입니다. 그러나 IT와 OT를 모두 보호하기 위해 사이버 보안 기능을 사용하는 통합 접근 방식을 구현한 핵심 인프라는 여전히 그 수가 너무 적습니다.
며칠간의 혼란만으로 수천만 달러를 잃을 가능성이 있기 때문에, 통합된 접근 방식을 즉시 도입하는 것이 강력한 경제적 논거가 됩니다. 단 하루의 예기치 않은 운영 중단만 막아도, 보안 플랫폼은 첫 번�째 사고에서 그 비용을 충분히 상쇄할 수 있습니다.
"중요 인프라 운영자는 IT 보안을 단순한 데이터 보호가 아닌 운영 보험으로 간주해야 합니다."
운영 기술에 IT 보안을 적용하기 위한 세 단계 전략
가장 중요한 인프라 조직에는 IT 보안으로 운영을 보호하기 위한 3단계 전략이 필요합니다. 긴급한 필요에서 시작한 다음, 모범 사례와 위험 기반 프레임워크를 따르는 것이 현재와 미래의 위협을 처리하는 데 도움이 될 수 있습니다.
우선순위가 높은 위험 해결
피싱 계획을 차단하는 것이 최우선 과제 중 하나가 되어야 합니다. 핵심 인프라 운영자 및 기타 조직에 대한 많은 사이버 공격은 피싱으로 시작됩니다. 공격자는 사용자를 속여 엔터프라이즈 시스템의 로그인 자격 증명을 제공하도록 하거나 회사 네트워크를 통해 맬웨어를 다운로드하고 퍼뜨리는 링크를 클릭하게 합니다.
피싱에 대응하려면 다수의 통합 솔루션이 필요한 경우가 많습니다. 예를 들어, 이메일 보안 솔루션을 배포하면 피싱 이메일이 사용자의 받은 편지함에 도착하지 않도록 막을 수 있습니다. 보안 웹 게이트웨이(SWG) 솔루션을 사용하면 사용자가 속아서 이메일이나 메시지에서 악성 링크를 클릭하더라도 악성 사이트에 연결되는 것은 방지할 수 있습니다.기본적인 사이버 보안 모범 사례 구현
가장 시급한 요구 사항을 해결한 후에는 취약점을 식별 및 완화하고, 시스템과 데이터를 보호하고, 위협을 감지하고, 공격에 신속하게 대응할 수 있는 보다 포괄적인 접근 방식을 구현해야 합니다.
식별: IT 보안팀에서는 공격자가 운영을 방해할 수 있는 모든 취약점을 찾아 해결해야 합니다.
예를 들어, 엔지니어링 워크스테이션은 엔터프라이즈 애플리케이션과 산업 제어 스테이션 모두에 접근할 수 있기 때문에 공격자에게 자주 표적이 됩니다. 이러한 워크스테이션은 일반적으로 높은 권한과 완화된 보안 통제로 특수 엔지니어링 소프트웨어를 실행합니다. IT 보안은 마이크로세분화를 통해 엔지니어링 워크스테이션을 보호하여 공격 체인을 끊을 수 있습니다. 워크스테이션을 네트워크 간의 신뢰할 수 있는 다리로 취급하는 대신, 모든 연결을 모니터링하고, 모든 통신을 검증하며, 의심스러운 활동을 즉시 격리할 수 있는 보안 플랫폼을 사용해야 합니다.
보안팀은 또한 공격의 초기 진입 지점이 되는 공개 애플리케이션의 잠재적 취약점을 해결해야 합니다. 웹 애플리케이션 방화벽(WAF)을 구현하면 운영 연속성을 유지하면서 위협을 실시간으로 차단하는 데 도움이 될 수 있습니다.
보호: 액세스 제어를 강화하고 데이터 보호를 개선하는 것은 심각한 운영 중단을 방지하는 데 필수적입니다.
Zero Trust 보안 모델로 전환하면 IT 시스템에 대한 무단 액세스를 방지하여 운영 중단을 예방할 수 있습니다. Zero Trust 네트워크 액세스 솔루션을 사용하면 올바른 권한을 가진 사용자만 특정 애플리케이션에 접근할 수 있도록 보장할 수 있습니다. 이렇게 하면 공격자가 환경 내에서 네트워크를 스캔하여 내부망 이동을 하는 것을 방지할 수 있습니다.
감지: IT 보안 팀은 올바른 예방 조치를 마련할 수 있도록 새로운 위협을 예측해야 합니다.
고급 사이버 보안 플랫폼을 채택하면 글로벌 네트워크 전반의 공격 패턴을 분석하고 특정 산업 부문이나 제어 시스템 공급업체를 겨냥한 캠페인을 식별할 수 있습니다. 이 위협 인텔리전스는 실제 공격이 발생하기 몇 시간 또는 며칠 전에 보안 팀에 도달할 수 있습니다. 귀사의 IT 보안 플랫폼은 운영 시스템이 위험에 처하기 전에 공격 인프라를 선제적으로 차단하고, 취약한 시스템을 패치하며, 보완 통제를 구현할 수 있습니다.
이 접근 방식은 사후 대응 보안에서 예측 운영 보호로의 근본적인 전환입니다. IT 보안이 운영 안정성 위협에 대한 조기 경보 시스템이 됩니다.
대응: 실시간으로 위협에 대응하려면 자동화가 필요합니다.
머신 러닝을 사용하는 WAF 서비스는 실시간으로 위협을 식별하고 자동으로 차단할 수 있습니다. 일부 핵심 인프라 조직의 경우, 서비스형 보안 운영 센터(SOC) 솔루션을 채택하는 것이 WAF, DDoS 및 기타 보안 솔루션을 보완하는 중요한 요소가 될 것입니다. SOC 서비스는 공격에 신속하게 대응할 수 있으며, 근본 원인 분석을 수행하고 철저한 사고 보고서를 제공하며, 향후 대응 계획 수립을 지원합니다.위험 정보 프레임워크 채택
많은 중요 인프라 운영업체들이 미국 국립표준기술원(NIST) 사이버보안 프레임워크(CSF)를 따르면 사이버 위험을 관리할 수 있습니다. CSF는 모든 규모의 조직이 사이버 보안 위험을 더 잘 이해하고, 평가하고, 우선순위를 정하고, 논의할 수 있도록 설계되었습니다. 이는 IT와 OT가 융합되는 환경을 포함하여 복잡한 환경을 관리하는 데 특히 유용합니다.
이 프레임워크는 특정 솔루션을 권장하지 않지만, 필요한 보안 기능과 프로세스 개선을 식별하는 데 도움을 줄 수 있습니다. 프레임워크를 활용하여 IT 보안을 통해 중단 없는 운영을 유지하는 효율적인 전략을 수립할 수 있습�니다.
IT와 OT의 융합을 가능하게 하기
사실, 문제는 IT 보안이 OT 시스템을 보호해야 하는지의 여부가 아닙니다. 현재 보안 아키텍처가 확장된 역할을 수행할 준비가 되었는지 여부입니다.
Cloudflare는 중요한 인프라 운영업체의 운영 중단을 초래할 수 있는 주요 위협에 대응하기 위해 포괄적인 클라우드 네이티브 사이버 보안 기능을 제공합니다. Cloudflare 서비스를 통해 조직에서는 실행 가능한 위협 인텔리전스를 얻고, 자동으로 위협을 차단하며, 피싱 계획을 차단하고, Zero Trust 모델을 구축하여 무단 네트워크 액세스를 방지할 수 있습니다. 서비스형 SOC 솔루션을 통해 조직은 모니터링, 위협 감지 및 사고 대응 작업을 전문가 팀에 위임할 수 있습니다.
이러한 서비스들은 NIST CSF에서 권장하는 사이버 보호를 초과 충족하도록 도와줍니다. Cloudflare를 사용하면 운영 중단을 초래하는 위험을 효율적이고 효과적으로 IT 보안을 통해 해결할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주�는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
연방 기관을 위한 IT 효율화의 간단한 방법 전자책에서 보안을 강화하고 운영 중단을 방지하는 데 도움이 되는 IT 현대화 프로젝트의 모범 사례에 대해 자세히 알아보세요.
작성자
Dan Kent — @danielkent1
Cloudflare 공공 부문 필드 CTO
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
중요 인프라에 대한 운영 중단의 영향
운영 기술에 IT 보안을 적용하기 위한 3단계 전략
운영 기술 보호를 위한 핵심 보안 기능