이효은 지사장 “사전 탐지 중심의 대응 전략으로 전환 필요”
글로벌 사이버 보안 기업 카스퍼스키(Kaspersky. 지사장 이효은)가 2025년 1분기 산업제어시스템(ICS) 컴퓨터 보안 위협에 대한 최신 보고서를 발표했다. 카스퍼스키의 산업제어시스템 사이버 비상 대응팀(ICS CERT)에 따르면, 해당 분기 전 세계 ICS 컴퓨터 중 21.9%에서 악성 객체가 탐지되어 차단된 것으로 나타났다.
이번 보고서는 산업 자동화 환경 전반에 걸쳐 사이버 공격의 빈도와 수단이 점점 정교해지고 있으며, 특히 생체인식 및 빌딩 자동화 시스템이 가장 많은 공격을 받은 분야로 지목됐다.
■지역별 ICS 컴퓨터 악성 객체 탐지율…아프리카가 가장 높아
카스퍼스키에 따르면, 2025년 1분기 동안 전 세계 대부분의 지역에서 ICS 시스템에 대한 공격이 감지됐다. 지역별로는 아프리카가 29.6%로 가장 높은 악성 객체 탐지율을 기록했으며, 북유럽은 10.7%로 가장 낮았다.
전 분기 대비 악성 객체 탐지율이 증가한 지역도 눈에 띈다. 러시아는 0.9%포인트 증가했으며, 중앙아시아(0.7%p), 남아시아(0.3%p), 서유럽(0.2%p), 북유럽(0.1%p), 남유럽(0.1%p)에서도 악성 객체 탐지율이 증가했다.
■생체인식 시스템, 전체 산업 중 가장 많이 공격받아
산업군별 분석에서는 생체인식 분야가 가장 큰 공격을 받은 것으로 나타났다. 2025년 1분기 생체인식 관련 ICS 컴퓨터의 28.1%에서 악성 객체가 차단됐다.
뒤이어 빌딩 자동화(25%), 전력 설비(22.8%), 건설 설비(22.4%), 공정 장비(21.7%), 석유 및 가스 설비(17.8%), 제조업(17.6%) 순으로 높은 탐지율을 보였다. 이는 스마트 팩토리 및 디지털 전환이 활발한 산업일수록 더 높은 보안 위협에 노출돼 있음을 보여준다.
■인터넷 통한 공격 여전히 가장 많아…이메일·이동식 미디어도 위협
악성 객체 유입 경로를 분석한 결과, 인터넷은 여전히 가장 주요한 위협 원천으로 나타났다. 인터넷 기반 공격은 전체 ICS 컴퓨터 중 10.11%에서 차단되었으며, 이메일 클라이언트를 통한 공격은 2.81%, 이동식 미디어를 통한 공격은 0.52%로 나타났다.
특히 인터넷을 통한 공격은 악성 스크립트, 피싱 페이지, 명령제어(C2) 인프라 접근을 포함하고 있어, OT 네트워크가 인터넷과 연결된 구조에서는 보다 정교한 보호 조치가 필요하다는 점이 부각됐다.
■주요 악성 객체 유형…스크립트, 피싱 페이지, 차단된 자원
차단된 악성 객체 유형별로는 악성 스크립트와 피싱 페이지, 그리고 차단된 인터넷 자원이 가장 큰 비중을 차지했다. 이들은 초기 침투에 활용되며, 이후 스파이웨어, 랜섬웨어, 크립토 마이너(암호화폐 채굴기) 등을 설치하는 드로퍼 역할을 한다.
특히 차단된 자원의 탐지율이 높은 지역은 아프리카(6.21%), 러시아(5.6%), 중앙아시아(5.5%) 순으로 나타났다. 이 차단된 자원은 주로 악성 웹사이트 및 C2 서버로, 공격자가 공격을 실행하거나 데이터를 탈취하기 위한 기반으로 활용된다.
■위협 유형별 지역별 상위 탐지율
카스퍼스키 보고서는 위협 유형별로 탐지율이 높은 지역을 다음과 같이 정리했다.
-악성 문서: 남유럽(4.02%), 라틴 아메리카(3.3%), 중동(2.7%)
-악성 스크립트 및 피싱 페이지: 남유럽(10.31%), 아프리카(10.14%), 중동(9.58%)
-스파이웨어: 아프리카(7.05%), 남유럽(6.52%), 중동(6.25%)
-랜섬웨어: 동아시아(0.32%), 중동(0.3%), 아프리카(0.25%)
-윈도우 기반 크립토 마이너: 중앙아시아(1.72%), 러시아(1.04%), 동유럽(0.85%)
-웜: 아프리카(3.65%), 중앙아시아(2.79%), 중동(1.99%)
-바이러스: 동남아시아(8.68%), 아프리카(3.87%), 동아시아(2.85%)
이들 데이터는 지역에 따라 공격자의 목표와 기술이 달라지는 경향이 있으며, 각 지역의 산업구조와 연결성 수준에 따라 위협 양상이 변화하고 있음을 시사한다.
■이효은 지사장 “사전 탐지 중심의 대응 전략으로 전환 필요”
카스퍼스키코리아 이효은 지사장은 “한국은 스마트 제조와 디지털 전환에서 선도적인 국가이지만, 이로 인해 OT 인프라가 더욱 정교한 위협에 노출되고 있다”며 “공격자들은 악성코드와 사회공학 기법을 결합해 산업 시스템을 노리고 있으며, 이에 대응하기 위해 사후 대응이 아닌 사전 탐지 전략으로 전환해야 한다”고 강조했다.
이 지사장은 특히 “OT 시스템의 지속적 모니터링과 공급망 보호, 특화된 인력 교육이 필수”라고 덧붙였다.
■카스퍼스키 ICS CERT 총괄 “인터넷 통한 공격 2023년 이후 첫 증가”
카스퍼스키 ICS CERT 총괄 에브게니 곤차로프는 “2025년 1분기에는 2023년 이후 처음으로 ICS를 대상으로 한 인터넷 기반 악성코드 공격이 증가했다”고 밝히며, “초기 침투에 사용되는 악성 스크립트와 피싱 페이지는 ICS 공격에서 가장 빈번하게 사용되는 도구”라고 분석했다.
그는 “이러한 인터넷 기반 위협은 다음 단계의 정교한 악성코드 감염으로 이어질 수 있어, OT 환경에 고급 위협 탐지 기술의 도입이 시급하다”고 강조했다.
이어 카스퍼스키는 OT 기반 ICS 보호를 위한 보안 권고 사항도 함께 발표했다.
-정기적인 보안 진단 실시: OT 시스템의 보안 취약점을 식별하고 제거.
-취약점 관리 체계 마련: 지속적 평가와 우선순위 분류로 효율적인 관리 기반 마련.
-패치 및 보완 대책 적용: 핵심 구성 요소에 대한 적시 보안 업데이트 필요.
-EDR 도입: Kaspersky Next EDR Expert와 같은 솔루션으로 고급 위협 탐지 및 사고 대응.
-특화된 교육: OT 보안 전담 인력 양성을 위한 교육 프로그램 제공.
이번 카스퍼스키 보고서는 산업 현장의 디지털 전환과 연결성 증가가 보안 위협을 심화시키고 있음을 명확히 보여준다. 특히 인터넷을 통한 초기 공격이 다시 증가하고 있다는 점은, OT 환경에서도 IT 수준의 보안 인식과 기술 도입이 필요하다는 경고로 해석된다.
카스퍼스키 측은 “이제는 OT 환경도 IT와 같은 수준의 탐지, 대응, 훈련 체계가 필요하며, 특히 공급망과 인간 요소를 겨냥한 공격이 늘고 있는 만큼, 전방위적 대응이 필요하다”고 조언한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[인터뷰] 탈레스 임퍼바 제프 첸 매니저 “AI 기반 악성 봇 37% 급증…다층 보안 전략 마련 시급”](https://www.dailysecu.com/news/photo/202506/166940_195638_470.jpg)
![[ET시론]글로벌 AI 강국으로 도약하기 위해 실용적 개인정보 보호 정책이 필요](https://img.etnews.com/news/article/2025/06/13/news-p.v1.20250613.2baeb608c31946f182ef754d2e5161e5_P1.png)
