운영환경 개선을 위한 패치 관리 프로세스 분석 ➀
2020-08-10 최태우
식음료 산업군을 예로 들어보자. 과거에는 주로 네트워크 인프라에 많은 관심이 집중되었던 분야에서 이제는 사이버보안 기술과 전략이 핵심 관심사로 떠오른 상태다.
문제는 식음료 업계가 공장에서 고급 독점 기술을 빠른 속도로 채택했던 20~30년 전으로 거슬러 올라간다. 이러한 시스템은 폐쇄적이자 고립된 특성으로 사이버보안은 큰 관심을 받지 못해왔다.
지난 10년간 급속한 발전과 ICS/이더넷 연결 장비가 확산되면서 생산성, 품질, 규정 준수 및 시장 출시 속도가 대폭 향상됐다. 또한 이러한 레거시 시스템을 상호 연결하거나 신규 시스템에 연결하는 방법도 간소화됐다.
이렇게 아무런 조치를 취하지 않은 개방적인 이더넷 통신으로 인해 사이버 위험이 증가하고 레거시 시스템 패치 관리라는 새로운 도전과제에 직면해 있는 상태다.
‘Food Protection and Defense Institute report’에 따르면, 이렇게 오래된 레거시 장비 때문에 사업 운영이 악의적인 공격에 노출된다고 경고하고 있다. 이것은 사업을 방해하고 장비를 파괴하며 작업자와 제품 안전을 위협할 수 있다. 포괄적인 사이버보안 프로그램은 사업의 필수 요소가 되었으며 패치 관리 프로세스는 중요한 역할을 담당하고 있음을 부정하는 이는 없을 것이다.
자산 재고에 대한 아이디어는 새로운 것이 아니며 이미 내부적으로 시도했거나 외부에서 지원을 받을 수도 있다. 그러나 모든 사항을 고려하는 것은 쉬운 일이 아니다. 재고 조사를 하고, ICS 사이버보안 프로그램을 위한 적절한 기반을 설정하는 방법에는 아래의 2개 항목을 참고하라.
- 전자식 문답 도구를 사용하면 네트워크를 스캔하여 자산을 자동으로 식별할 수 있기 때문에 가장 많은 정보를 얻을 수 있다.
- 수동 식별은 나머지 부분을 찾아내지만, 말 그대로 직접 돌아다니면서 패널을 열고 거기에 무엇이 있는지 물리적으로 조사해야 한다.
여기에서 주의해야 할 사실은 모든 위치에서 2개 접근 방식을 모두 취해야 하는 것이다. 10개 사이트 중 9개 사이트만 완료하는 경우 완료되지 않은 하나의 사이트를 통해 위험이 발생할 수도 있다.
포괄적 패치 전략 설정
재고 조사를 한 후에는 수천 개의 자산 목록을 정리해야 한다. 다음 단계는 위험 분석을 수행하여 중요도, 노출, 연령, 예상 위험 등을 기반으로 패치할 높은 우선순위의 자산을 식별하는 것이다. 심지어 일부 자산은 네트워크에 있지도 않다. 어떻게 해결할 것인가?
- 운영체제(OS) 패치는 가장 일반적인 방법이다. 생산 중단을 최소화할 수 있도록 예정된 가동 중단 시간으로 현장의 OS 패치 시간을 정해야 한다. 대부분의 경우에 예방적 IT/OT 협업을 통해 이것을 처리할 수 있다.
- 애플리케이션 수준 패치는 전혀 다른 경우다. 말 그대로 여러 벤더가 제공하는 서로 다른 패치를 가진 수백 개의 애플리케이션이 존재할 수 있다. 따라서 벤더 웹 사이트에서 패치를 찾고, 패치를 통해 보호되는 취약성을 이해하고, 이러한 패치가 필요한지 여부를 이해해야 한다.
각 애플리케이션은 다르게 구성되어 있기 때문에, 애플리케이션 계층을 패치하는 경우에는 매우 신중하고 일관된 테스트 표준이 필요하다. 실수로 생산을 중단시킬 위험이 있는 생산 현장에서 구현하기 전에, 실험 가능한 환경에서 구현하는 것이 중요하다.
글 : 마크 크리스티아노(Mark Cristiano) / 네트워크·보안 비즈니스 매니저 / 로크웰오토메이션