항공사가 사이버 공격의 주요 표적이 되는 이유는 무엇일까요?

American Airlines과 Japan Airlines을 대상으로 한 최근 고위급 사이버 공격은 항공 업계의 취약점을 드러내고 강력한 사이버 보안 조치의 필요성을 강조했습니다. 

2024년 12월 26일 아침, JAL(Japan Airlines)은 시스템 장애를 겪기 시작했습니다. 결국 JAL은 장애가 사이버 공격으로 인해 장애가 발생했다는 것을 확인했습니다. 데이터가 유출되지 않았지만 공격으로 대규모 지연과 티켓 판매 중단이 발생해 JAL은 매출 손실을 입었고 고객 신뢰가 훼손되었습니다.

JAL에 대한 연말 연시 사이버 공격은 American Airlines의 고객 데이터에 해커가 접근한 사건 이후 몇 달 만에 발생했습니다. 미국에 본사를 두고 있는 American Airlines는 2024년 7월에 발견된 이 공격으로 소수의 고객의 생년월일, 운전면허증 및 여권 번호, 의료 정보가 감염되었을 가능성이 있다고 보고했습니다.

이러한 사이버 위협 인시던트들은 고도로 정교한 공격자가 항공사의 시스템 취약점을 악용하기 위해 지속적으로 기법을 진화시키고 있음을 상기시키고 있습니다. 항공 업계가 AI(Artificial Intelligence), 클라우드 컴퓨팅, IoT(Internet of Things) 등 기술을 도입함에 따라 사이버 범죄자들의 공격 표면이 확대되고 있으며 항공사가 사이버 보안 노력을 강화해야 할 필요성이 더욱 강조되고 있습니다.

항공사가 사이버 범죄자의 빈번한 표적이 되는 몇 가지 주요 이유는 다음과 같습니다.

• 운영 복잡성
• 데이터의 높은 가치
• 운영 차질
• 지정학적 동기
• 신뢰 악용

항공사의 운영은 항공 업계의 엄격한 규제 요건과 항공사가 광범위하고 상호 의존적인 시스템에 의존하기 때문에 본질적으로 복잡합니다. 항공사의 공급망은 일반적으로 다양한 공급업체와 협력업체로 구성되어 운영 시스템이 상호 연결되고 다른 시스템과 접근 가능해야 하는 글로벌 네트워크를 포함합니다. 연결이 끊어지면 비행 지연이나 취소와 같은 심각한 운영 장애가 발생할 수 있습니다.

여행 패턴 및 선호도 등 승객 데이터는 사이버 범죄자에게 매우 유리한 정보입니다. 이러한 종류의 개인 데이터가 데이터 유출의 대상이 되면 직접 금전적으로 이용되거나 표적화 피싱 캠페인에 사용될 수 있습니다.

항공사는 원활한 운영에 의존합니다. 사이버 범죄자와 해커는 항공사가 운영을 신속하게 복구하거나 데이터의 안전을 보장하기 위해 막대한 몸값을 지불할 가능성이 높다는 점을 악용해 사이버 공격과 랜섬웨어 공격을 감행합니다.

항공사는 지정학적 이유로 자주 표적이 되며 국가 후원 공격자는 정보 수집이나 국가 인프라 방해를 목적으로 공격을 수행합니다.

항공사는 신뢰받는 기업이며 공격자는 운영 중단이나 데이터 유출로 명성에 흠집을 내고 승객의 신뢰를 약화시켜 피해 기업에 대한 영향력을 확보할 수 있습니다.

사이버 공격의 증가하는 위협에 대응하기 위해 항공사는 다층적 사이버 보안 전략을 도입해야 합니다. 항공사가 보안 체계를 강화하기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.

• 제로 트러스트 보안 아키텍처로 전환
• 네트워크 세그멘테이션을 통해 사이버 공격의 영향을 제한
• 직원 교육 및 인식 강화
• 낡은 시스템 업그레이드
• 인시던트 대응 계획 수립
• 다른 항공사, 규제 기관, 사이버 보안 기업과의 협력

제로 트러스트 네트워크에서는 네트워크에 이미 속해 있거나 이전에 인증된 사용자나 디바이스라도 자동으로 신뢰되지 않습니다. 제로 트러스트 접근 방식을 구축하면 모든 디바이스와 사용자(직원부터 파트너 및 계약업체까지)는 인증 및 권한 부여를 거친 후에야 시스템 접속 권한을 받을 수 있습니다. 따라서 사이버 범죄자가 정상 사용자로 위장해 민감한 데이터에 무단 접속하는 리스크가 최소화됩니다. 

미국의 TSA(Transportation Security Administration)는 공항 및 항공기 운영자를 대상으로 사이버 보안 요구사항에 대한 구체적인 지침을 발표했습니다. 이 지침에 따라 항공사는 중요한 시스템에 대한 무단 접속을 방지하고 보호하기 위해 접속 제어 조치를 수립해야 합니다. 한 가지 효과적인 접근 방식은 애플리케이션 및 시스템 접속에 VPN 사용을 중단하고 ZTNA(제로 트러스트 네트워크 접속) 솔루션을 도입하는 것입니다.

많은 사이버 보안 인시던트와 랜섬웨어 공격은 공격자가 알려진 시스템 취약점을 악용하거나 피싱을 통해 항공사의 네트워크에 대한 초기 접속을 확보하는 것으로 시작됩니다. 공격자는 초기 접속을 확보하면 추가 리소스에 접속하거나, 다른 시스템을 악용하거나, 랜섬웨어로 잠그기 위해 측면 이동을 시도합니다.

다행히, 공격자가 네트워크에 초기 접속을 얻은 후 더 깊이 침투해 추가 피해를 입히는 것을 방지하는 방법이 있습니다. 바로 세그멘테이션입니다. TSA는 항공사가 네트워크 세그멘테이션 정책과 통제 조치를 수립해 정보 기술 시스템이 감염된 경우 운영 기술 시스템이 안전하게 계속 운영될 수 있도록 보장해야 하며 반대의 경우도 마찬가지라고 명시하고 있습니다.

항공사는 마이크로세그멘테이션 솔루션을 배포해 측면 이동을 방지하고 사이버 공격 또는 랜섬웨어 인시던트의 영향 범위를 제한해야 합니다.

단 한 명의 직원이 피싱 공격의 피해자가 되더라도 심각한 결과를 초래할 수 있습니다. 직원이 피싱 시도 및 기타 소셜 엔지니어링 기법을 인식할 수 있도록 항공사는 정기적인 교육 세션을 제공해야 합니다. 또한 직원에게 민감한 데이터를 처리하는 방법과 디바이스 보안을 위한 모범 사례를 정기적으로 교육해야 합니다. 

낡은 시스템을 현대적이고 안전한 인프라로 교체하는 것은 안전과 효율성이 최우선인 항공 업계와 같은 분야에서 기업의 안정성을 강화하는 데 필수적인 단계입니다. 레거시 시스템은 구형 기술, 지원 부족, 현대 보안 조치와의 호환성 제한으로 인해 내재된 취약점을 포함하고 있습니다.

고급 시스템으로의 업그레이드는 실시간 모니터링, 자동화된 위협 탐지, 강력한 암호화 프로토콜 등 기능을 통해 운영 신뢰성, 확장성, 사이버 보안을 강화합니다.

사이버 공격 발생 시 강력한 인시던트 대응 계획은 피해를 최소화하며 신속한 차단과 복구를 보장합니다. 대응 계획은 역할, 절차, 커뮤니케이션 전략을 명시해야 하며 정기적으로 테스트받아야 합니다.

항공 업계 전반에서 위협 정보를 공유하는 것은 신흥 사이버 위협에 대한 업계의 집단 안정성을 강화하고 사이버 공격의 영향을 줄이는 데 중요한 역할을 할 수 있습니다. 항공 업계는 항공사, 공항, 규제 기관, 사이버 보안 기업 간의 파트너십을 강화함으로써 통합된 방어 전략을 구축할 수 있습니다. 

협력을 통해 취약점, 공격 방법, 방어 전략에 대한 중요한 정보를 신속히 공유하면 이해관계자가 공격자보다 한 발 앞서 대응하는 데 도움이 될 수 있습니다.

항공 업계가 디지털 전환을 계속 추진함에 따라 위협 환경이 진화할 것이며 이에 따라 공격 표면이 확대되고 새로운 취약점이 노출될 것입니다. 항공사는 승객 보호, 신뢰 유지, 서비스 중단 방지 등을 위해 사이버 보안을 운영의 구성요소로 우선순위를 부여해야 합니다. 

American Airlines와 Japan Airlines에 대한 최근 공격은 사이버 보안 조치의 시급성을 강조하는 경종으로 작용했습니다.