스마트 팩토리, 스마트 에너지 등 ‘스마트 혁명’이 본격적으로 시작됐다. 그러면서 사이버 공격 위협도 한 차원 높은 수준으로 발전했다. 기존의 사이버 공격은 IT 영역에서 주로 발생했지만, 이제는 운영기술(OT) 영역으로도 확장하고 있다. IT에서 OT로 이동하는 공격은 물론이고, OT에 직접 침투하는 공격도 상당하다. USB를 이용하거나 복잡한 공급망을 이용하는 사례, 보안 패치 및 시스템 업그레이드 혹은 외부 관리를 위해 인터넷에 연결될 때 공격자가 침투하는 사례 등 다양한 OT 타깃 공격이 발생하고 있다.
스마트 혁명 성공의 전제조건인 ‘보안’을 위해 정부가 연일 각종 정책을 발표하고 있으며, 관련 기관들도 보안 문제 해결을 위한 대안 마련에 분주히 나서고 있다. 이에 보안 기술 기업들도 OT에 특화된 기술과 솔루션을 제안하면서 시장을 만들어나가고 있다.
최근 OT 보안에 적극적으로 나서고 있는 기업 중 하나가 다크트레이스다. 인공지능 기반 사이버 면역시스템으로 엔터프라이즈 보안 시장에서 공격적인 영업을 펼치고 있는 다크트레이스는 스마트 팩토리, 스마트 에너지 확산과 함께 열린 OT 보안 시장에서 리더십을 선점하기 위해 분주히 움직이고 있다. 다크트레이스는 OT 네트워크에서도 정상 상태를 학습하고 비정상 상황을 인지하는 자사의 ‘면역 시스템’이 최적이라고 강조한다.
앤드류 쏜셰프(Andrew Tsonchev) 다크트레이스 산업면역시스템 기술 총괄 디렉터는 “다크트레이스는 처음 시스템을 설계할 때 부터 IT와 OT 보안을 모두 아우르는 아키텍처를 디자인했다. IT 보안에서 입증한 다크트레이스의 탁월한 경쟁력은 OT에서도 이어질 것”이라고 강조했다.
“업계 최고 머신러닝 기술로 이상행위 탐지”
국내에서도 OT 보안 시장이 개화될 조짐을 보이면서 OT 보안 기업들이 최근 국내 시장 공략에 공격적으로 나서고 있다. 이들은 OT 네트워크에서 사용하는 100여가지의 전용 프로토콜을 지원할 뿐 아니라 개별 사이트에 커스터마이징 된 프로토콜까지 지원할 수 있다고 강조한다.
자사에서 지원하지 않는 프로토콜은 머신러닝 기술을 이용해 분석하고 학습해 빠른 시일 내에 지원을 완료할 수 있다고도 설명한다. 그러나 커스터마이징 된 프로토콜은 기존 표준 프로토콜과 거의 유사하기 때문에 머신러닝의 정확도가 떨어질 수 있으며, 과도한 노이즈가 발생할 수 있다는 한계가 있다.
다크트레이스는 전체 패킷을 학습해 프로토콜의 특징을 파악하고, 정상적인 네트워크 환경을 인식하고 비정상 환경을 찾아낸다. 기존 표준 프로토콜 정보 없이 학습하기 때문에 커스터마이징 된 프로토콜도 완전히 새로운 프로토콜로 인식해 학습하기 때문에 노이즈를 제거하고 정확하게 이상행위를 찾아낼 수 있다.
쏜셰프 디렉터는 “산업제어시스템은 동작하는 환경이 모두 다르기 때문에 사전에 환경을 정의할 수 없으며, 개별 환경마다 새로운 환경에서 학습하고 최적화해야 한다. 미리 정의된 학습 환경이 오히려 방해가 될 수 있기 때문”이라며 “다크트레이스는 업계 최고의 머신러닝 기술을 이용해 산업제어 시스템에서도 정확하게 이상행위를 찾아낸다”고 말했다.
“한국 고객에게 최적의 보안 기술 제공할 것”
OT 보안에 있어 중요하게 고려해야 할 또 다른 문제는 OT 시스템 제조사들과의 협력이다. 다크트레이스는 중요 제조사들과 생태계를 만들어나가고 있다. 특히 에너지·발전 분야에서 가장 높은 점유율을 갖고 있는 지멘스와 긴밀하게 협력, 지멘스 시스템 구축 시 다크트레이스를 보안 시스템으로 제안하고 있다.
쏜셰프 디렉터는 “다크트레이스는 OT 보안 전문 기업보다 적은 오탐과 높은 이상행위 탐지율을 보여주고 있다. 또한 현재 IT와 OT 융합보안 기술을 요구하는 고객이 늘어나면서 다크트레이스가 확실하게 시장을 선점하게 될 것으로 기대된다”며 “한국에서도 글로벌 제조사, 중공업 기업, 에너지·발전, 교통·통신 등 다양한 고객들이 융합보안 방안을 찾고 있는데, 다크트레이스가 최적의 기술을 제공할 수 있을 것”이라고 말했다.
