핵심 인프라의 Security Through Obscurity는 치명적인 착각이다

Source: Dev.to

위 링크에 있는 전체 텍스트를 제공해 주시면, 해당 내용을 한국어로 번역해 드리겠습니다. (코드 블록이나 URL은 번역하지 않고 원본 그대로 유지합니다.)

루마니아 워터스 랜섬웨어 공격 – 모든 핵심 인프라 운영자를 위한 경고

주말에 발생한 루마니아 워터스에 대한 랜섬웨어 공격은 전 세계 모든 인프라 운영자를 두렵게 해야 합니다. 그 이유는 무슨 일이 일어났기 때문이 아니라, 얼마나 예측 가능하게 일어났는가 때문입니다.

• 1,000대의 침해된 시스템
• 지역 사무소가 오프라인 상태가 됨
• BitLocker가 보호해야 할 조직을 대상으로 무기화됨
• 루마니아 국가 사이버 보안 시스템이 공격 이전에 물 관리 기관을 보호조차 하지 못함

이는 실시간으로 실패하는 보안‑은‑숨김(security‑through‑obscurity)이며, 우리는 물이 계속 흐른다는 이유로 이를 “수용 가능”하다고 부릅니다.

전통적인 “격리와 은폐” 모델이 실패하는 이유

핵심 인프라 보호에 대한 기존의 상식은 다음과 같습니다:

1. 시스템을 에어갭으로 유지한다
2. OT를 기업 네트워크와 연결하지 않는다
3. 은폐가 보안을 제공한다는 것을 믿는다

루마니아 물 공급 공격—그리고 전력망, 병원, 유틸리티 전반에 걸친 수십 건의 유사 사건—은 이 접근 방식이 가끔씩 실패하는 것이 아니다는 것을 증명합니다. 이는 체계적이고, 예측 가능하며, 재앙적으로 실패합니다.

공격자들이 한 일

• 1,000대의 시스템을 11개 지역 사무소에 걸쳐 침해했으며, 몸값 요구 메모가 나타날 때까지 아무도 눈치채지 못했습니다.
• 횡방향 이동은 다음을 포함했습니다:
  • 지리 정보 시스템(GIS) 서버
  • 데이터베이스
  • 이메일 및 웹 서비스
  • Windows 워크스테이션
  • 도메인 네임 서버(DNS)

공격자가 기업 네트워크의 대부분을 탐지되지 않은 채로 횡방향 이동할 수 있다면, OT 시스템이 진정으로 격리되어 있다는 생각은 환상에 불과합니다.

에어 갭의 신화

Critical‑infrastructure operators cannot truly operate in isolation. They need:

• 홍수 예측을 위한 기상 데이터
• 안전 규정 준수를 위한 환경 모니터링
• 유지보수 일정 시스템
• 공급망 조정 도구
• 청구 및 조달을 위한 재무 시스템

Each connection point becomes a potential bridge between the “isolated” OT environment and the compromised corporate network.

Typical attack pattern

1. Initial compromise – phishing, unpatched software, credential theft
2. Lateral movement – exploiting inadequate network segmentation
3. Reach operational systems – which were never designed to resist a determined adversary

In the Romanian case, the attackers stopped at corporate systems not because OT security was superior, but because they had already achieved maximum disruption for maximum ransom without needing to go further.

실제 문제: Security‑Through‑Obscurity

• 수자원 관리 기관은 공격 이전에 국가 사이버 보안 시스템에 통합되지 않았습니다.
• 이는 실수가 아니라, 위협이 당신을 찾지 못한다는 가정에 기반한 모델의 논리적 최종점입니다.

만약 당신의 보안 모델이 위협이 당신을 찾지 못한다는 가정이라면, 왜 모니터링, 탐지, 혹은 대응 역량에 투자해야 할까요?

위험한 피드백 루프

1. 공격 없음 → 안전하다고 가정
2. 모니터링 없음 → 공격이 발생하고 있는지 알 수 없음

공격자는 랜섬웨어를 배포하기 전 몇 주 또는 몇 달 동안 지속성을 유지했을 수 있습니다. 포괄적인 모니터링이 없으면 아무도 알 수 없습니다.

불명확성에서 투명성으로

Security through obscurity has morphed into security through wishful thinking. Operators convince themselves that their systems are:

• Too specialised
• Too isolated
• Too uninteresting for sophisticated attackers

Meanwhile, ransomware groups are professionalising:

• Developing tactics for industrial control systems (ICS)
• Building relationships with nation‑state actors with geopolitical motives

The result: more connected, more vulnerable infrastructure.

The alternative isn’t more isolation; it’s AI‑powered, continuous monitoring that assumes breach is inevitable.

새로운 패러다임: 근본적으로 투명한 보안

투명한 보안이 어떻게 보이는가

• 모든 시스템에 계측 – 모든 통신, 구성 변경, 인증 시도를 로그에 기록합니다.
• 실시간 분석 및 상관관계 – AI/ML을 활용해 IT와 OT 전반에 걸친 이상 징후를 탐지합니다.
• 비용 효율성 – 포괄적인 모니터링 비용은 단일 성공적인 공격 비용의 일부에 불과합니다.

AI‑powered 기능

• 산업 시스템을 위한 행동 기준선
• 랜섬웨어 배포 전 횡방향 이동 탐지
• 비정상적인 네트워크 트래픽, 특이한 시스템 호출, 의심스러운 자격 증명 사용 식별
• 인간 분석가가 종종 놓치는 저수준 지속성 강조

투명성은 책임을 촉진한다

규제 기관과 보안 기관이 운영자의 보안 태세를 볼 수 있을 때:

• 운영자는 보안 연극이 아닌 실제 보안에 투자합니다.
• 루마니아 수도 당국은 이제 국가 보호 시스템에 통합되고 있습니다—새로운 규제 때문이 아니라, 공격으로 인해 격차를 무시할 수 없게 되었기 때문입니다.

가시성 확대

• 위협 인텔리전스 공유: 핵심 부문 전반에 걸친 익명화된 공격 패턴을 집계합니다.
• 각 인프라 운영자를 섬처럼 보지 말고, 연결된 생태계의 일부로 대하십시오.

Takeaway

루마니아 워터스 사건은 불투명함이 보안이 아니라는 것을 보여줍니다. 핵심 인프라를 보호하는 유일한 방법은 투명하고 AI‑ 기반의 모니터링을 도입하고, 사일로를 허물며, 부문 간에 정보를 공유하는 것입니다. 이를 위해 드는 비용은 성공적인 랜섬웨어 공격으로 인한 파괴와 비교하면 아주 미미합니다.

텍사스에서는, 루마니아의 물 공급 업체가 관련 위협 정보를 몇 달이 아니라 몇 시간 안에 받아야 합니다.

AI‑ 기반 보안 모니터링은 불투명성을 통한 보안이 매력적으로 보이게 만드는 근본적인 문제, 즉 현대 인프라 시스템의 압도적인 복잡성을 해결합니다. 인간 분석가는 수천 개의 구성 요소가 지리적 영역에 걸쳐 있는 네트워크의 모든 시스템 상호작용을 감시할 수 없습니다. AI 시스템은 가능합니다.

인프라 전용 데이터로 학습된 머신러닝 모델은 전통적인 시그니처 기반 시스템이 놓치는 공격 패턴을 탐지할 수 있습니다. 공격자가 BitLocker와 같은 합법적인 도구를 악의적으로 사용할 때, AI 시스템은 합법적인 암호화와 랜섬웨어 배포를 구분하는 행동적 맥락을 식별합니다. 위협 행위자가 Active Directory를 조회하거나 네트워크 토폴로지를 매핑하는 정찰을 수행할 때, AI 시스템은 이러한 활동을 보다 넓은 공격 패턴과 연관시킬 수 있습니다.

무엇보다 중요한 것은 AI 모니터링이 인프라 복잡도와 함께 확장된다는 점입니다. 시스템이 더 상호 연결될수록 AI 모델은 전체 네트워크에서 이상 패턴을 식별하는 데 더 효과적이 됩니다. 불투명성을 통한 보안은 시스템이 복잡해질수록 약해지고, AI 모니터링은 강해집니다.

루마니아 공격은 또 다른 중요한 장점을 보여줍니다: AI 시스템은 주말에도 쉬지 않습니다. 랜섬웨어는 주말에 배포되었으며, 이때 인간 모니터링은 일반적으로 감소합니다. AI‑ 기반 탐지는 진행 중인 공격을 식별했을 것이며, 광범위한 시스템 암호화가 발생하기 전에 대응을 가능하게 했을 것입니다.

투명한 인프라 보안을 비판하는 사람들은 새로운 공격 표면을 만든다는 정당한 우려를 제기합니다. 포괄적인 모니터링은 자체가 침해될 수 있는 네트워크 계측을 필요로 합니다. 중앙집중식 위협 정보 공유는 인프라 정찰을 목표로 하는 국가 행위자에게 매력적인 표적이 됩니다. 모니터링 목적의 시스템 간 연결 증가는 측면 이동을 위한 추가 경로를 제공할 수 있습니다.

이러한 위험은 실제이며, 적절한 시스템 설계를 통해 관리할 수 있습니다. 보안 모니터링 인프라는 제로‑트러스트 아키텍처, 암호화된 통신, 격리된 관리 네트워크를 활용해 강화할 수 있습니다. 침해된 모니터링 시스템의 위험은 감시되지 않은 인프라가 보여준 위험보다 훨씬 낮습니다.

투명성에 대한 반대는 또한 잘못된 위험 평가를 드러냅니다. 조직은 입증된 취약점을 무시하고 이론적인 공격 벡터만을 우려합니다. 루마니아 워터스는 그들이 인정하지 않은 기존 연결을 통해 침해되었습니다. 더 나은 모니터링은 새로운 위험을 만들지 않았으며, 위기가 발생하기 전에 기존 침해를 감지했을 것입니다.

투명성을 반대하는 국가 안보 논리는—‘보이는 인프라가 표적이 되는 인프라다’—현대 위협 행위자를 근본적으로 오해합니다. 정교한 공격자는 이미 핵심 인프라 시스템이 어디에 있는지 알고 있습니다. 그들은 인프라가 투명하든 아니든 정찰을 수행합니다.