이 문서는 Jeff Kuo와 Kelsey Oliver의 기여로 개발되었습니다.
세계에서 가장 정교한 위협 행위자들은 더 빠르게 움직이고, 더 조용하게 활동하며, 현대 사회의 핵심인 운영 기술(OT)과 중요 인프라를 표적으로 삼고 있습니다. 많은 랜섬웨어, 지능형 지속 위협(APT), 사이버 범죄 단체는 데이터 도난을 넘어 물리적 혼란과 방해 행위를 목표로 하고 있습니다. 비즈니스 요구에 따른 IT와 OT의 융합으로 인해 공격 표면이 광범위하고 위험 부담이 커지고 있습니다. 무기화된 취약점(CVE)은 공개된 후 며칠 또는 몇 시간 내에 엄청난 속도로 악용되고 있습니다.
이 블로그는 IBM X-Force의 현장 정보와 2025년 데이터 유출 비용 조사에서 밝혀진 새로운 OT 관련 침해 데이터를 통합합니다.
Ponemon Institute의 연구 파트너들은 IBM의 2025년 데이터 유출 비용(CODB) 보고서에서 6,485건 이상의 보안 침해 사례를 연구했습니다. 해당 조직 중 15%는 인시던트가 OT 환경에 영향을 미쳤다고 답했으며, 해당 그룹의 약 4분의 1(23%)은 이 인시던트로 인해 OT 시스템 또는 장비가 손상되었다고 보고했습니다.
침해로 인해 조직이 OT 환경에 미치는 영향을 경험하고 있는 것은 놀라운 일이 아닙니다. 최근 몇 년 동안 다양한 산업 분야에서 위협 행위자가 OT 중단을 야기한 수많은 사례가 있었습니다.
현대 공격자의 기술적 정교함과 집요함은 동시적인 다중 벡터 중단을 일으킬 수 있는 잠재력을 지니고 있으며, 물리적 안전, 규정 준수(예: NERC CIP, NIST CSF, IEC 62443)에 연쇄적인 영향을 미치고 중요 인프라에 대한 대중의 신뢰를 떨어뜨립니다.
오늘날의 공격자들은 국가 차원의 자원, 사이버 범죄의 혁신, 해커 활동가의 기회주의를 결합하여 그 어느 때보다 다양하고 전문화되었으며 공격적입니다. 공격자들의 플레이북은 끊임없이 진화하고 있으며, 새로운 단체와 연합이 기존 위협 행위자와 합류하여 전 세계의 중요 인프라를 위협하고 있습니다.
운영 중단을 일으키려는 위협 행위자는 좁은 범위의 취약점을 표적으로 삼고 있으며, 주로 VPN 집중 장치, 원격 데스크톱 게이트웨이, OT 프로토콜 변환기와 같은 경계 연결 디바이스에 영향을 미칩니다. 이러한 CVE는 일단 무기화되면 공격자에게 인증되지 않은 원격 코드 실행과 루트 수준의 디바이스 제어 기능을 제공하며, 레거시 인증 및 액세스 제어 메커니즘을 직접 우회할 수 있는 경우가 많습니다. 이러한 취약점 중 상당수가 디바이스 가동 시간 요구 사항, 공급업체 패치 지연 또는 자산 가시성 격차로 인해 중요한 환경에서 패치가 적용되지 않은 상태로 남아 있기 때문에 운영에 미치는 영향이 증폭됩니다.
또한 IT와 OT의 융합, 원격 관리 도구의 확산, 제3자 공급업체와의 통합으로 인해 공격자를 위한 새로운 측면 경로가 생겼습니다. 침해된 공급망 파트너 또는 타사 통합업체가 신뢰할 수 있는 진입점으로 활용되고, 노출된 공급업체 원격 액세스 서비스 및 잘못 구성된 방화벽이 정적 세분화를 더욱 약화시킵니다. 공격자는 신뢰할 수 있는 IT/OT 브리지, 보안되지 않은 필드 디바이스, 심지어 유지보수 노트북까지 악용하여 프로세스 제어 네트워크와 안전 시스템에 직접 액세스합니다. 이렇게 진화하는 공격 표면으로 인해 기존의 경계 보안 모델로는 충분하지 않으며, 동적 네트워크 모니터링, 지속적인 자산 검색, 위협 정보 아키텍처의 필요성이 강조되고 있습니다.
X-Force 취약점 데이터베이스의 데이터에 따르면 2025년 상반기에 OT 환경에 영향을 미칠 수 있는 취약점이 670건 공개되었으며, 그중 11%는 CVSS 심각도 등급이 '심각'(CVSS 점수 9.0~10.0)으로 분류되었습니다. 또한, 중요 취약점의 5분의 1(21개%)에는 공개적으로 이용 가능한 익스플로잇 코드가 있었습니다.
올해 중요한 OT 취약점 악용 사례는 다음과 같습니다.
이러한 예는 위협 행위자의 레이더에 포착될 수 있는 취약점을 파악하는 것이 얼마나 중요한지 잘 보여줍니다. X-Force는 다양한 온라인 포럼, 시장, Telegram 채널, 채팅방 및 토론을 평가하여 2025년 상반기에 OT/ICS 환경에 영향을 미칠 수 있는 가장 많이 언급된 CVE를 공개했습니다. 이러한 인사이트는 조직의 패치 관리 전략에 도움이 될 수 있습니다.
2025년 상반기에 공개된 OT에 영향을 미칠 수 있는 언급된 상위 10개의 CVE 중 90%는 적극적으로 악용되었으며, 70%는 APT에 의해 적극적으로 악용되었습니다. 예를 들어, 가장 많이 언급된 CVE-2025-0282는 '중국과 연계된 스파이 행위자로 의심되는' UNC5221에 의해 악용된 것으로 보고되었습니다. 이 취약점을 통해 인증되지 않은 공격자는 취약한 Connect Secure VPN 어플라이언스 뒤의 내부 네트워크에 초기 발판을 마련할 수 있습니다. 그런 다음, 공격자는 네트워크로 측면 이동하여 잠재적으로 산업 제어 시스템에 영향을 미칠 수 있습니다. 두 번째로 많이 언급된 취약점인 CVE-2025-31324는 '중국 위협 행위자'인 Chaya_004가 적극적으로 악용한 것으로 보고되었습니다. SAP NetWeaver Visual Composer에 영향을 미치는 이 취약점으로 인해 공격자가 원격으로 코드를 실행할 수 있습니다. 많은 산업 조직은 OT 시스템과 직접 연결되거나 간접적으로 영향을 미칠 수 있는 전사적 자원 관리(ERP) 및 공급망 관리(SCM)에 SAP를 활용합니다.
2025년은 OT 및 중요 인프라 보안에 있어 결정적인 해가 될 것입니다. 적극적인 국가 단위의 공격자, 빠르게 진화하는 랜섬웨어 에코시스템, 영향력이 큰 소수의 취약점을 지속적으로 악용하는 공격이 융합되면서 기존 OT 환경의 근본적인 취약점이 드러나고 있습니다. 공격자들은 이제 일상적으로 기존의 경계 방어를 우회하여 공급망 손상, 도난당한 권한 있는 자격 증명, 심층적인 수평 이동을 활용하여 비즈니스는 물론 안전에 치명적인 결과를 초래할 수 있습니다.
이러한 환경은 조직이 OT 위험 관리 방식을 근본적으로 재고해야 합니다. 사이버 보안은 규정 준수 및 체크박스 제어를 넘어 인텔리전스 기반 및 부문별 방어 모델로 나아가야 합니다. 생존은 더 이상 초기 액세스를 방지하는 것만이 아닙니다. 지속적인 경영진 참여와 이사회 수준의 거버넌스가 뒷받침하는 신속한 탐지, 효과적인 억제, 탄력적인 복구가 필요합니다.
2026년 이후의 운영 복원력은 올바른 취약점의 우선순위를 정하고, 실제 공격 시나리오를 시뮬레이션하고, 계층화된 제어를 시행하고, 조직에서 사이버 보안 소유권을 확보하는 능력에 따라 결정될 것입니다. 서비스 연속성, 규정 준수, 물리적 안전, 대중의 신뢰는 모두 선제적이고 적응적인 OT 사이버 방어 전략에 달려 있습니다. 조직은 다음 권장 사항을 검토하는 것이 좋습니다.
1. 패치 관리의 우선순위 지정
2. 해당 분야에 위협 매핑
3. 레드팀처럼 행동
4. '체크박스 보안'이 아닌 다계층 방어
5. 이사회 수준의 동의 및 실제 테스트
