[데이터넷] 제조 설비의 설정이 갑자기 바뀌었는데, 누가, 왜, 어떤 의도로 변경했는지 알 수 없다면 관리자는 어떤 선택을 하게 될까? 대부분의 관리자는 특별한 이상이 없다면 변경된 상태를 유지할 것이다. 이를 원래 상태로 돌려놓았다가 어떤 문제가 생길지 알 수 없기 때문이다.
만일 아웃소싱 직원 혹은 내부 직원이 악의로 혹은 실수로 설비에 장애가 발생하도록 설정을 바꾸었다면 어떻게 될까? 국가기반 공격그룹이 사회 혼란을 위해 원격에서 변경을 일으켰다면? 모니터링 시스템이 감지하지 못하는 낮은 수준의 이상행위를 발생시켜 몇 주 혹은 몇 달 후 장애를 일으켰다면, 장애의 원인을 파악하고 제대로 대응할 수 있을까?
현재 제조운영 현장의 현실을 잘 알고 있다면, 장애 원인 파악과 대응이 제대로 이뤄지지 않을 것이라는 사실을 알 수 있을 것이다.
콜린 브루(Colin Blou) 클래로티 부사장은 “현재 운영기술(OT) 관리 환경에서 산업제어시스템(ICS)에 변경이 있을 때, 해당 변경 사항이 ICS 전체에 어떤 영향을 줄 것인지 정확하게 파악하지 못한다. 심지어 어떤 절차를 거쳐 변경 결정이 일어났는지도 알 수 없는 경우도 있다”며 “ICS 전체를 가시화하고 보호하는 전문 기술이 필요한 이유”라고 강조했다.
‘보안 내재화’ 통해 ICS 보호해야
ICS는 가용성이 가장 우선시되는 시스템이다. ICS에 심각한 보안 취약점이 발견됐다 해도 함부로 패치해할 수 없으며, 해당 패치가 시스템에 어떤 영향을 미치는지 분석하고 점검하면서 신중하게 변경해야 한다.
이렇게 민감한 네트워크임에도 불구하고 일상적인 관리는 매우 허술하게 이뤄진다. OT 관리자들은 ICS 접근 권한을 공유하며, 외부 네트워크에 연결되면 안 되는 환경에서도 별다른 문제의식 없이 인터넷에 연결한다. USB 등 외부저장장치를 이용해 보안패치나 업그레이드를 시행했는데, 이 때 사용한 USB가 악성코드에 감염돼 있을 수 있으며, VPN을 이용해 패치를 다운받았는데 업데이트 서버가 감염돼 악성코드가 주입된 패치가 다운로드 될 수 있고, VPN 취약점으로 공격을 받을 수 있다. 관리자의 실수로 설정이 잘못될 경우도 있고, 원격관리 취약점을 이용한 공격도 가능하다.
IT와 OT가 연결되는 스마트 환경은 더 위험하다. IT 시스템을 통해 숨어 들어온 공격자가 OA망을 거쳐 OT망으로 이동할 수 있다. OT망으로 먼저 침투한 공격자가 IT 시스템으로 이동하는 것도 가능하다.
콜린 브루 부사장은 “사이버 공격은 IT와 OT를 구분하지 않는다. 공격 목적을 달성하기 위해 모든 취약점을 이용해 침투하며, 타깃 맞춤형으로 설계된 공격 방식을 사용한다”며 “지능화되는 사이버 위협을 방어하기 위해 모든 시스템과 네트워크에 ‘보안 내재화(Security by Design)’가 적용돼야 한다”고 강조했다.
그는 이어 “IT와 OT는 환경이 다르기 때문에 IT 보안 기술로 OT를 보호할 수 없다. OT 네트워크는 100가지가 넘는 프로토콜과 셀 수 없이 많은 커스터마이징 된 비표준 프로토콜을 사용한다. IT 보안 기술은 이 같은 프로토콜을 이해할 수 없으며, 이상징후를 탐지하거나 악성 행위를 알아내지 못한다. 따라서 OT 환경을 위한 전문 보안 기술이 필수로 요구된다”고 말했다.
“뛰어난 OT 보안 전문성 입증할 터”
클래로티는 OT/ICS 보안 전문기업으로, OT 네트워크를 모니터링 해 장애 및 사이버 보안 위협을 탐지하고 대응할 수 있는 기술을 제공한다. ICS에서 사용하는 대부분의 네트워크 프로토콜을 지원하며, 비표준 프로토콜은 머신러닝을 이용해 분석, 지원할 수 있다.
우리나라에서 OT/ICS 보안에 대한 관심이 높아지면서 관련 시장이 개화될 조짐을 보이자 클래로티는 지난달 한국지사를 설립하고 파트너를 확장하면서 시장 진출 속도를 높이고 있다. 국내 에너지·발전, 제조사 등 보안 위협 대응 노력을 전개하고 있는 고객을 대상으로 영업을 전개하고 있으며, 국내 유통 및 구축 파트너 대상 교육과 훈련을 통해 전문성을 높여가고 있다.
콜린 브루 부사장은 “클래로티는 OT 보안 기업 중 가장 많은 투자를 유치하면서 경쟁업계에서 높은 기술력을 인정받았다. 대규모 글로벌 성공사례를 통해 입증한 전문성, 설비 제조사와의 긴밀한 파트너십을 통해 획득한 다양한 설비 연동 기능 등 클래로티의 가치를 한국 고객에게도 적극 알리고 있다”고 설명했다.
그는 이어 “한국의 대형 제조사와 발전·에너지 공기업 등에서 OT/ICS 보안에 많은 관심을 갖고 투자 계획을 세우고 있는데, 클래로티가 가진 전문성을 제공해 한국 기업·기관이 직면한 보안 문제를 해결할 수 있도록 도울 것”이라고 밝혔다.
열린 생태계 통해 융합보안 완성
콜린 부사장은 클래로티의 강력한 경쟁력으로 ‘기술’을 들었다. 클래로티는 대규모 전문인력을 확보하고 있으이며, 로크웰, 지멘스, 슈나이더 등 설비 제조사로부터 직접 투자를 받는 한편, 이들과 긴밀하게 협력하면서 제조설비 보안 문제를 해결하고 있다. IT와의 융합이 중요해지면서 IT 보안 기업과의 협업 생태계도 확장하고 있다. 스플렁크, 마이크로포커스, IBM, 팔로알토네트웍스, 포티넷 등 보안 기업과 타이트하게 결합돼 IT·OT 융합 보안을 완성하고 있다.
콜린 부사장은 “현재 ICT는 스마트시티, 스마트팩토리 등 다양한 IoT·IIoT 기술을 이용한 융합기술 환경으로 성장하고 있다. 클래로티는 열린 생태계를 통해 OT/ICS 보안 전문기술을 IT 보안 및 운영 기술과 결합, 지능적인 사이버 공격으로부터 스마트 사회를 보호할 수 있도록 한다”고 말했다.
그는 이어 “모든 국가, 모든 기업의 OT/ICS 운영자들은 새로운 기술을 추가하거나 기존 네트워크를 변경하는 것에 매우 보수적이다. OT 엔지니어에게 사이버 보안의 중요성을 설득하는 것은 아주 어려운 일”이라며 “클래로티는 OT/ICS 네트워크에 전혀 영향을 주지 않고, 네트워크 설정 변경도 없으며, 운영이 쉽고 직관적이어서 OT 운영을 더 편하게 할 수 있다는 장점이 있다”고 강조했다.
