[디지털경제뉴스 박시현 기자] 노조미네트웍스가 OT/IoT를 위한 엔드포인트 보안 센서 ‘노조미 아크(Nozomi Arc)’를 공개했다.
노조미네트웍스가 23일 기자간담회에서 선보인 노조미 아크는 엔드포인트 단말을 하나의 네트워크 보안 센서로 만들어 공격 표면을 모니터링하는 것이 컨셉이다. 즉 엔드포인트 공격 표면 전반에 대한 가시성을 크게 강화하고, 보안 위협을 크게 줄이며, 모든 자산과 사이트에서 배포 속도를 높여 운영 탄력성을 향상시킨다.
◆엔드포인트 단말을 하나의 네트워크 보안 센서로 만들어 공격 표면 모니터링 = 노조미 아크의 설계 사상은 △엔드포인트 공격 표면을 좀더 자세히 분석 △손상된 호스트 및 더 많은 내부자 공격 식별 △필요한 경우 지속적인 자산 모니터링 제공 △미션 크리티컬 환경에서 배포 및 가치 창출 시간 단축 △오픈라인 및 연결할 수 없는 자산을 ‘가디언’ 및 ‘밴티지’에서 보호 등이다.
노조미 아크는 노조미네트웍스의 주력 제품인 ‘밴티지’ 및 ‘가디언’ 플랫폼에서 제공하는 네트워크 기반 분석을 보완한다. 네트워크 엔드포인트에 상주하며 심층적인 자산 정보를 ‘가디언’ 또는 ‘밴티지’에 직접 보낸다. 가디언은 OT/IoT 전반의 보안 및 가시성을 제공하며, 밴티지는 SaaS 기반 관리 플랫폼이다.
노조미 아크는 분산 사업자용 경량 장비인 ‘리모트콜렉터’와 사업장 내 정밀한 정보 수집 방안을 제공하는 ‘스마트폴링’ 등 2가지 솔루션에다 △사용자 활동 상관관계(User activity correlation) △USB 모니터링 △로그파일 분석 등의 기능을 강화했다. 이를 통해 네트워크 트래픽 및 이상 징후를 특정 사용자와 연관시켜 잠재적인 내부자 위협을 식별하며, 연결된 USB 장치에서 멀웨어 및 악의적인 활동을 모니터링할 수 있다.
노조미 아크를 적용하면 △더 빠른 복원 시간 △사이버 위험 감소 및 보안 강화 △가시성 및 컨텍스트 확장 △낮은 운영 오버헤드 등의 이점을 얻을 수 있다.
호스트 시스템의 전체 공격 영역에 액세스할 수 있는 노조미 아크는 좀더 완전한 위협 분석을 제공하고, 네트워크 기반 센서만으로는 불가능한 더욱 잠재적인 공격 진입점을 모니터링한다. 여기에다 연결된 USB 드라이브 및 로그 파일까지 가시성을 제공한다.
노조미 아크는 더 많은 자산과 장치의 잠재적인 취약성을 조명하는 것 외에 프로세스 이상과 의심스러운 사용자 활동을 식별해 내부자 위협 또는 호스트 손상 위험을 줄인다. 그리고 다운로드를 통해 원격으로 배포할 수 있기 때문에 대규모 네트워크 변경이 불필요하며, 여러 사이트에서 수천 개의 엔드포인트를 관리하기 한 오버헤드가 들지 않는다.
OT용으로 맞춤 제작된 노조미 아크는 미션 크리티컬 네트워크를 중단하지 않고 수많은 산업 현장과 장치에 자동으로 배포된다. 윈도우, 리눅스, 맥OS 기반 호스트에 설치할 수 있는 노조미 아크는 현재 베타버전으로 상용 버전은 올해 3~4월에 공식 출시할 예정이다.
노조미네트웍스 코리아 박지용 지사장은 “ 또한, 잠재적인 보안 위협과 취약성을 극적으로 줄이는 동시에 모든 자산과 사이트에서 배포를 단순화 한다”고 강조했다.
◆‘OT/IoT 보안 보고서:ICS 위협 환경에 대한 심층 조사’ 발표 = 한편 노조미네트웍스는 ‘OT/IoT 보안 보고서:ICS 위협 환경에 대한 심층 조사’를 발표했다.
2022년 7월부터 12월까지 노조미네트웍스 랩에서 조사 분석한 이 보고서에 의하면 와이퍼 멀웨어, IoT 봇넷 활동, 러시아-우크라이나 전쟁이 2022년 위협 환경에 영향을 미친 것으로 나타났다.
먼저 핵티비스트들은 데이터 도난 및 DDoS 공격에서 와이퍼 멀웨어를 활용해 중요한 인프라에 파괴적인 공격을 가하는 것으로 전술을 전환하고 있다.
또 중요 인프라에 대한 사이버 공격이 크게 증가했으며, 특히 운송 및 의료 산업으로 확대되고 있다. 특히 철도시스템은 다양한 위협 행위자에게 매력적인 표적이 됐으며, 의료 시설은 민감한 데이터를 다루는 특성으로 인해 사이버 범죄저의 주요 표적이 됐다.
그리고 OT/IoT에서 침입 경보 유형은 ‘일반 텍스트 암호’와 ‘약한 암호’ 액세스가 가장 많았으며, 무차별 공격과 DDOS 시도가 그 뒤를 이었다. 엔터프라이즈 IT 네트워크를 대상으로 탐지된 가장 일반적인 멀웨어는 ‘트로이 목마’였으며, OT를 대상으로 한 멀웨어에는 ‘원격 액세스 도구(RAT)’가, IoT 장치를 대상으로 한 멀웨어에는 ‘DDoS 멀웨어’가 꼽혔다.
악의적인 IoT 봇넷 활동이 높은 수준을 유지한 가운데 노조미네트웍스 랩은 봇넷이 IoT 장치에 액세스하려는 시도에서 기본 자격 증명을 계속 사용함에 따라 보안 문제가 증가한다는 점을 발견했다.
노조미네트웍스가 이밖에 2022년 7월부터 12월까지 발견한 사실은 △7월, 10월, 11월에 공격이 급증했으며, 해당 달에 고유한 공격이 5,000회 이상 발생 △상위 공격자 IP 주소는 중국, 미국, 한국 및 대만과 연결 △‘루트’ 및 ‘관리자’ 자격 증명은 공격자가 네트워크에서 초기 액세스 권한을 얻고 권한을 상승시키는 방법으로 여전히 가장 자주 사용 △취약성 측면에서 제조업과 에너지 분야는 여전히 가장 취약한 산업이며, 그 다음으로 상하수도, 의료 및 운송 시스템으로 나타남 등이다.
