디지털 변전소 보호를 위한 실용적인 프레임워크

디지털 변전소를 보호하는 방법을 가장 잘 이해하기 위해 공격자의 관점에서 산업 제어 시스템 킬 체인을 사용해 봅시다.이 킬 체인은 공격자의 행동을 일련의 작전으로 조직하는데, 이 작전은 서로를 기반으로 구축되어 체인이 끝날 때 의도한 효과를 내죠 (우크라이나 예시를 보면 전력 손실).우리의 목적을 위해 준비, 침입, OT로 전환, OT 실행, 공격 등의 단계를 간략하게 설명하는 킬 체인을 사용해요.

준비

공격자들은 먼저 표적에 대한 정보를 수집해요.유틸리티의 경우 여기에는 변전소 위치 식별, SCADA 아키텍처 이해, 공급업체 장비 조사, 네트워크 인프라 매핑 등이 포함될 수 있어요.2015년 우크라이나 공격자들은 목표물을 연구하는 데 몇 달을 보냈어요.비슷해요, 2021년 콜로니얼 파이프라인 공격은 취약한 VPN 자격 증명을 식별하는 정찰로 시작됐어요.

방어 통제: 유틸리티는 변전소 구성과 제어 시스템에 대해 공개적으로 이용 가능한 정보를 제한하여 디지털 발자국을 최소화해야 해요.직원 보안 인식 교육은 소셜 미디어나 전문 네트워크에서 운영 세부 정보를 과도하게 공유하는 위험과 민감한 데이터의 적절한 처리를 강조해야 해요.

침입

공격자는 목표 환경에 진입할 수 있어요.일반적인 입력 방법으로는 스피어 피싱 이메일, 손상된 소프트웨어 업데이트, 감염된 USB 드라이브, 인터넷 연결 시스템 악용 등이 있어요.우크라이나 공격자들이 악성 Microsoft Office 첨부 파일과 함께 스피어 피싱을 사용해서 블랙에너지 멀웨어를 설치하고 후속 조치에 필요한 발판을 마련했어요.

방어 통제: 지능형 위협 보호 및 샌드박싱 기능을 갖춘 강력한 이메일 보안 솔루션, 기업 워크스테이션용 안티바이러스/EDR 솔루션, 네트워크 침입 탐지 시스템, 보안 운영 센터 (사내 또는 관리 서비스 제공) 등 엔터프라이즈 IT 사이버 보안의 모범 사례를 따르세요.OT 팀이 엔터프라이즈 IT 사이버 보안 전략을 최신 상태로 유지하고 있는지 확인하세요.

OT로 피벗하세요

기업 IT 네트워크에 접속한 공격자들은 디지털 변전소 같은 OT 네트워크로 범위를 넓히려 해요.이런 일은 보통 안전하지 않은 원격 액세스 솔루션을 악용하거나, 손상된 IT 시스템의 유효한 사용자 자격 증명을 훔치거나, 전화나 노트북 같은 감염된 임시 장치를 활용하여 이루어져요.스턱스넷 공격에 감염된 USB 드라이브를 사용하는 것은 에어갭 네트워크도 어떻게 손상될 수 있는지를 보여주는 한 예예요.우크라이나 공격에서 공격자들은 IT 시스템에서 훔친 자격 증명을 이용해 VPN 연결을 통해 OT 네트워크에 액세스했어요.

방어 통제: 이동식 미디어 및 외부 장치에 대한 엄격한 정책을 설정하세요.모든 소프트웨어와 펌웨어의 자산 인벤토리를 최신 상태로 유지하고 디지털 서명된 보안 패치로 자산을 업데이트하세요 (운영이 허용하는 한).네트워크 액세스 제어 (NAC) 솔루션은 무단 장치가 변전소 네트워크에 연결되는 것을 방지할 수 있고, IT와 OT 네트워크와 변전소 구역 사이의 네트워크는 측면 이동을 방해해요.OT 프로토콜을 이해하고 변칙 통신을 식별할 수 있는 산업용 침입 탐지 시스템 (IDS) 을 배포하세요.다중 요소 인증을 사용하여 원격 액세스를 보호하고 타사 원격 액세스 (일반적으로 공급업체 유지 보수용) 도 마찬가지로 보안되도록 하세요.모든 IED, 릴레이, 네트워크 장치의 기본 자격 증명을 제거하여 역할 기반 액세스 제어를 구현하는 것이 가장 이상적이에요.마지막으로, OT 네트워크에 대한 정기적인 취약성 평가는 공격자보다 먼저 약점을 식별하는 데 도움이 돼요.

OT 공격 실행하세요

마지막 단계는 공격자가 데이터 도용, 시스템 조작, 파괴 행위 등 목표를 달성하는 단계예요.우크라이나에서는 (변전소 HMI를 통해) 차단기를 열어 정전을 일으켜야 했어요.우크라이나 공격자들은 악의적인 펌웨어 업로드를 이용해 필드 디바이스로의 통신을 끊고 콜센터에 서비스 거부 공격을 감행했어요. 그 결과 복구 작업이 지연되고 고객들이 답을 얻지 못해 좌절했어요.

방어 통제: 제어 시스템과 독립적으로 작동하는 안전 계장 시스템 (SIS) 을 배포하세요.구성 오프라인 백업을 유지하고 복원 절차를 확인하세요.사이버 보안 통제가 실패하더라도 신속하게 대응할 수 있도록 OT 환경에 맞는 정기적인 탁상 훈련과 사고 대응 훈련을 실시하세요.

디지털 변전소를 방어하려면 보안 제어를 구현하는 것이 절반밖에 안 돼요. 전기 유틸리티는 또한 기존 규제 및 산업 프레임워크에 맞게 제어를 조정하고 NERC CIP 요구 사항과 NIST Cybersecurity Framework (CSF) 모두에 방어 조치를 매핑해야 해요.

NERC CIP 얼라인먼트

북미 전기 신뢰성 공사의 중요 인프라 보호 (CIP) 표준은 대량 전력 시스템 사이버 보안에 대한 필수 요구 사항을 제공해요.디지털 변전소 관련 주요 표준은 다음과 같아요.

CIP-004 (인사 및 교육): 사이버 보안의 가장 중요한 요소인 인간에 초점을 맞췄어요.채용, 교육, 온보딩/오프보딩에 대한 요구 사항을 제시해요.

CIP-005 (전자 보안 경계): 침입 방지 및 OT로의 전환에서 논의된 네트워크 세분화 및 액세스 제어 조치를 해결합니다.

CIP-007 (시스템 보안 관리): 패치 관리, 멀웨어 방지, 보안 이벤트 모니터링, 계정 관리와 같은 사이버 보안의 일상적인 “차단 및 대처”를 다룹니다.여기에는 조기 탐지에 필수적인 엔드포인트 보호, 로깅, 취약성 관리 관행이 포함돼요.

CIP-008 (사고 대응 계획): 조직이 공격에 대응하는 능력을 개발하고 유지하고 실천하도록 보장해요.

CIP-009 (복구 계획): 공격 후 “정상”으로 돌아가는 데 집중해요.백업 절차를 배포하고 검증하고 복원의 속도와 정확성을 정기적으로 테스트하는지 확인해요.

CIP-010 (구성 변경 관리): 자산의 기준 구성을 정의하고 운영 무결성을 위한 패치 테스트를 포함하여 해당 기준에 대한 구조화된 변경 관리 프로세스를 수립해요.주기적인 취약성 평가 요구 사항도 포함해요.

CIP-015 (내부 네트워크 보안 모니터링): 2025년 여름에 승인되어 2028년 10월부터 발효되는 최신 CIP 표준이에요.CIP-015 의 핵심은 OT 네트워크를 모니터링하고, 변칙적 활동을 탐지하고, 정보에 입각한 대응 결정을 내리는 등 “유선상에서” 무슨 일이 벌어지고 있는지 파악하는 거예요.

NIST CSF 통합

NIST 사이버 보안 프레임워크는 포괄적인 사이버 보안 전략을 나타내는 여섯 가지 핵심 기능으로 구성된 유연한 위험 기반 접근 방식을 제공해요.

지배하세요: 조직의 사이버 보안 위험 관리 전략, 기대, 정책을 수립하고 모니터링하세요.

식별: 시스템, 자산, 데이터, 사람 전반의 사이버 보안 위험에 대한 공통된 이해를 구축하세요.현재 보안 태세와 관련 위험에 대한 가시성을 확보하세요.

보호하세요: 앞에서 설명한 기술 제어, 네트워크 분할, 액세스 제어, 엔드포인트 보호 등을 구현하세요. 공격자가 네트워크에서 거점을 확보하는 데 활용할 수 있는 전체 공격 표면을 줄이는 것을 목표로 하세요.

감지: 악의적인 사이버 보안 이벤트 발생을 적시에 정확하게 식별하는 기능을 배치하세요.다양한 자산에서 집계한 데이터를 활용하여 가시성에 컨텍스트를 추가하세요.

응답하세요: 사이버 공격이 탐지되면 조치를 취해 공격자의 진행 상황을 무디게 만들고 영향을 완화하여 궁극적으로 네트워크에서 공격자를 추방하세요.

복구: 위협을 무력화한 후 사건으로 인해 손상된 기능이나 서비스를 복원하세요.배운 교훈을 미래의 보안 전략에 활용하세요.

NERC CIP, NIST CSF, 그리고 디펜시브 컨트롤의 결합이에요

결론

2015년 우크라이나 공격은 디지털 변전소가 사이버 취약성이 물리적 결과로 직결될 수 있는 중요한 표적이 된다는 것을 보여줬어요.하지만 유틸리티는 공격자의 킬 체인을 이해하고 계층화된 방어를 구현하면 위험 프로필을 크게 줄일 수 있어요.IT 팀과 OT 팀 모두의 동의와 신중한 전략 적용으로 디지털 변전소를 매우 강력한 보안 기반에 배치하고 공격자가 다음에 시도하는 모든 것에 대비할 수 있어요.