[OT 보안①] OT 타깃 공격 지속적으로 이어져
상태바
[OT 보안①] OT 타깃 공격 지속적으로 이어져
  • 김선애 기자
  • 승인 2019.09.12 09:31
  • 댓글 0
이 기사를 공유합니다

유럽 제조사, 랜섬웨어로 470억 피해 입어…OT 시스템 60%, 외부 환경으로부터 격리되지 않아

[데이터넷] 앞선 연재 [공급망 공격]에서 공급망 타깃 공격자들이 사회 주요 기반시설을 노린다는 점을 지적했다. 이들은 주요 시설에 피해를 입히기 위해 제어시스템을 타깃으로 공격을 진행한다. 제어시스템은 ‘보안’보다 ‘가용성’이 중요하기 때문에 보안 취약점이 방치된 경우가 많다. 이와 같은 공격의 대표적 사례는 ‘APT’라는 용어를 만들어낸 ‘스턱스넷’이 있다.

이외에도 2013년 뉴욕 댐 공격, 2014년 미시건 주 교통망 공격이 발생했고, 2015년 독일 발전소가 파괴됐다. 우크라이나에서는 2015년과 2016년 정전사고가 발생했는데, 2015년 1차 사고는 스피어피싱으로 인터넷 망의 사용자를 감염시킨 후 발전 시스템까지 침투한 것으로 알려진다. 2016년 2차 공격에는 IED 시스템으로 직접 멀웨어를 보낸 것으로 알려진다.

2017년 워너크라이 랜섬웨어로 혼다, 닛산, 르노의 북미, 유럽, 아시아 각지의 공장들이 생산을 중단하는 피해를 입었으며, 세계적인 알루미늄 제조업체 하이드로는 지난 3월 랜섬웨어 공격으로 470억원 이상의 손실을 입었다.

▲전 세계 중요 인프라 타깃 공격 사례(자료: 포티넷)

OT 시스템은 보안관리가 매우 어려운 환경이다. 보안사고가 발생해도 이를 공개하거나 공유하지 않으며, 특수한 프로토콜을 사용하기 때문에 IT 보안 기술로 막을 수도 없다. OT 보안 전문기업 사이버엑스가 전 세계 다양한 산업군의 850개 이상 OT 네트워크에서 수집한 데이터를 분석한 결과, 분석 대상 시스템의 57%에는 안티 바이러스조차 없었으며, 60%는 외부 환경으로부터 격리되지 않았다. 최신 보안 패치 할 수 없는 시스템이 53%, 패스워드를 암호화 하지 않은 시스템이 69%에 이른다.

사이버엑스는 OT 환경의 주요 당면 과제로 다음을 들었다.

∙ OT 자산관리: 어떤 장치가 네트워크에 있으며, 어떻게 연결되어 있고, 어떻게 소통하는지 파악하지 못한다.

∙ OT 리스크와 취약점 관리: 중요 자산의 보안 리스크가 어느 정도 수준이며, 리스크 완화를 위한 우선순위는 어떻게 결정하는지 기준이 없다.

∙ 지속적인 OT 시스템에 대한 모니터링과 침해대응, 위협 헌팅이 부족하다.

∙ IT와 OT 통합 모니터링과 거버넌스가 부족하며, 이를 지원하는 관리 인력 양성이 쉽지 않다.

∙ OT 위협 인텔리전스: 누가 OT 시스템을 노리고 있으며, 어떻게 공격하는지 파악하기 어렵다.

트러스트웨이브의 조사에서는 60% 이상의 임베디드 시스템이 IoT 장비를 사용하고 있으나 사이버 공격에 대한 준비는 매우 부족한 것으로 파악되었다. 또한 임베디드 시스템용 컴파일러 전문 회사인 IAR시스템즈에 따르면, 보안 기능을 갖춘 IoT는 4% 미만인 것으로 나타나 사이버 보안에 대한 대비가 매우 부족한 것을 알 수 있었다.

이처럼 보안위협에 직면한 OT 시스템을 보호하기 위해 관련 업체들이 연합체를 설립하고 사이버 보안 문제를 해결하기로 했다. 슈나이더일렉트릭, 클래로티, 노조미네트웍스, 존슨컨틀롤즈, 로크웰 오토메이션, 하니웰 등이 ISA 글로벌 사이버시큐리 얼라이언스(ISA GCA)를 결성했다.

ISA는 IEC에서 IEC 62443으로 채택되고 UN의 승인을 받은 ANSI/ISA 62443 시리즈의 자동화 및 제어 시스템 사이버 보안 표준을 개발한 업체이다. 이 표준은 자동화 및 제어 시스템과 보안 관행을 전자 형식으로 구현하고 전기 보안 성능을 평가하기 위한 요건과 절차를 정의한다.

OT 보안 솔루션 국내 진출 시동

OT에서 적극적으로 IoT를 받아들이면서 보안위협이 높아지자 OT 보안 전문기업의 활동도 활발해지고 있다. 이들은 다양한 OT 네트워크 프로토콜을 지원하며, OT 타깃 공격 방어 전문성을 갖고 있다는 점을 강조한다.

쿠도커뮤니케이션이 총판을 맡고 있는 OT 보안 기업 사이버엑스는 이스라엘 군 블루팀 출신 전문가들이 모여 설립한 회사다. 가트너는 “사이버엑스는 빠르고 쉽게 구축할 수 있으며, 효율적으로 IT와 OT 위협을 해결할 수 있도록 도와준다”고 평가했다.

사이버엑스는 ICS 멀웨어 전용 샌드박스를 운영해 지능형 공격에도 즉시 대응할 수 있다. ICS 멀웨어 샌드박스는 실제 산업 네트워크를 시뮬레이션해 멀웨어의 악성 활동을 탐지한다. 셀프러닝 기술을 이용해 시그니처·커스텀 룰 설정 없이 정교하게 멀웨어 이상행위를 탐지할 수 있으며, 장비 고장이나 운영상 이슈, 비정상저긴 통신을 탐지한다.

실시간으로 ICS 자산을 탐지하며, 네트워크 토폴로지 맵핑을 통해 전체 ICS 네트워크 가시성을 제공하며, ICS 망 전용 자동화 된 위협 모델링을 제공해 공격 경로를 예측하고 분석해 공격에 미리 대응할 수 있게 한다. 비표준 로컬 산업 프로토콜을 자동 분석하며, 플러그인으로 한글화를 지원한다.

쿠도커뮤니케이션은 IoT 보안 플랫폼 전문기업 포어스카우트 총판도 맡고 있어 IT-OT 통합보안 솔루션을 종합적으로 제공할 수 있다. 포어스카우트는 네트워크 접근제어(NAC) 솔루루션 기업으로, 다종다양한 IoT 기기 보안을 단일 플랫폼으로 제공한다. 지난해 OT 보안 전문기업 시큐리티매터스(Security Matters)를 인수하고 OT 보안 영역까지 지원을 확장했다.

OT 기업들은 올해 한국시장 진출 러시를 이어가고 있다. 정부의 인더스트리4.0 정책으로 제조기업들이 공정 혁신을 통한 경쟁력 향상을 꾀하고 있으며, 이를 위해 스마트팩토리와 IoT 기술을 적극 도입하고 있는데, 이 때 보안 대책을 미리 마련하지 않으면 심각한 위협에 처할 수 있기 때문이다.

제조산업 뿐 아니라 발전·에너지 분야에서도 IoT와 클라우드를 통한 혁신을 이루기 위해 신기술 도입을 적극 검토하고 있으며 이를 위한 보안 기술 도입에도 적극적으로 나서고 있다. OT 보안 기업들은 이 기회를 노려 국내 시장 장악력을 높이기 위해 분주하게 나서고 있다.

스위스 OT 보안 기업 노조미네트웍스는 올해 초 우리나라의 대형 글로벌 제조사에 제품을 공급하면서 한국 시장 진출 청신호를 올렸다. 노조미네트웍스는 탁월한 가시성과 실시간 모니터링, 고도의 위협 탐지 서비스를 제공한다. 다양한 OT 환경을 최적화 해 지원하는 것은 물론이며, 산업 네트워크에 존재하는 위협을 식별하고, 공정과 IT 직원들의 생산성 향상을 제공한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.