보안 내재화로 스마트공장 보안 문제 해결해야
[데이터넷] OT 네트워크 보안 문제가 최근에야 불거진 것은 아니다. 2000년에는 호주 퀸즈랜드 폐수제어시스템이 3개월간 46번 해킹 당했으며, 2003년 미국 오하이오 주 원자력발전소가 웜에 감염돼 가동이 중지됐다. 2005년 다임러크라이슬러 미국 공장에서 MS 윈도우 서버가 웜에 감염돼 자동차 제조공장 13곳의 생산이 중단되는 피해를 입었다.
OT 위협으로 가장 유명한 사건은 ‘APT’라는 용어를 탄생시킨 이란 핵시설 파괴를 위해 설계된 스턱스넷이다. 스턱스넷은 핵발전소 특정 기기의 특정 프로토콜에만 영향을 미치도록 설계됐으며, 산업제어시설(ICS) 관제 시스템에서는 정상 상태로 보이도록 모니터링을 조작했다. 이 사고로 이란은 원심분리기 1000여개를 교체해야 했다.
OT는 공급망 공격에 취약하다. OT 내 설비도 소프트웨어 패치 업데이트가 필요하지만, OT는 인터넷에 연결되지 않는 것을 원칙으로하기 때문에 USB 등 외부 저장매체를 통해 업데이트 한다. 감염된 USB를 사용하면 스턱스넷과 같은 악성코드가 확산되는 계기가 될 수 있는데, 특정 설비에 특화된 악성코드는 IT 기반 보안 기술로 찾을 수 없다.
VPN을 통해 설비 제조사에 직접 연결해 패치 업데이트를 받는 경우도 있다. 많은 설비 제조사들이 공급망 공격 방어를 위해 이 방법을 권장하는데, VPN 자체의 취약점을 이용한 공격을 당할 수 있으며, VPN 계정을 탈취해 공격할 수 있다.
편의를 위해 방화벽 포트를 일시적으로 열어 필요한 통신만을 하고 닫는 경우가 대부분인데, 통신 후 포트를 닫지 않고 열어둔 채로 방치해 공격자들이 마음대로 드나들 수 있다.
IT-OT 연결되며 침해사고 증가
최근 OT와 IT를 연결해 OT를 효율적으로 운영하면서 IT를 통해 OT 악성코드가 유포되는 경우도 늘어나고 있다. 스피어피싱을 이용해 IT 네트워크에 침입한 공격자가 OT 네트워크로 이동해 공격하는 경우다. 목표 시스템에 정확하게 맞춰 설계된 공격도구를 이용하기 때문에 IT 보안 시스템에서 탐지하지 못한다.
그 대표적인 예가 2017년 중동 화학시설 파괴를 시도한 트리톤(Triton)이다. 전형적인 APT 공격 기법을 이용해 IT 시스템에 침투, 암호화된 SSH 터널을 이용해 공격 툴을 전달하고 명령·프로그램을 원격에서 실행했다. 공격 표적이 된 SIS 컨트롤러 접근 권한을 확보한 후 탐지되지 않도록 관리자가 퇴근한 후 활동했다.
OT 공격은 금전적인 목적을 위한 시도도 있지만 정치적인 목적으로도 진행된다. 갈등관계에 있는 국가들이 상대 국가의 정보를 훔치고 사회 혼란을 야기하기 위해 공격한다. 지난 3월 베네수엘라에서 발생한 정전사고는 미국의 후원을 받는 해킹조직의 소행으로 의심되고 있으며, 2016년 우크라이나 정전사고는 러시아가 배후에 있을 것으로 예상된다.
스마트공장은 보안 위협을 더욱 높일 수 있다. 모든 설비가 인터넷에 연결되면 외부 해커의 침입이 용이해진다. OT는 IT와 다른 프로토콜과 운영환경으로 구성돼 있기 때문에 IT 보안 기술로 막을 수 없고 OT를 위한 전용 보안 기술이 필요하다.
그러나 OT는 보안 시스템을 적용하기가 매우 까다롭다. OT는 가용성이 생명이기 때문에 실시간 감시와 차단을 목적으로 하는 보안 기술을 적용할 수 없다. OT 환경이 단 1초라도 영향을 받으면 막대한 피해를 입을 수 있다. 그래서 OT 운영자는 네트워크에 조금이라도 영향을 줄 수 있는 보안·모니터링 시스템 설치를 꺼리고 있으며, OS 업데이트나 패치 업데이트도 잘 하지 않는 상황이다. OT 네트워크 취약점을 점검해보면 20년 전 발견된 취약점도 그대로 남아있으며, 오래 전 지원이 종료된 구식 OS와 소프트웨어를 사용해 보안 위협이 매우 크다.
보안 내재화 된 스마트공장 필수
OT 보안 위협에 대한 경고가 잇따르고 있지만 정부의 스마트공장 지원 정책에 보안 문제가 중요하게 다뤄지고 있지 않다는 지적이 나온다. 정부의 스마트공장 지원 정책에 보안에 대한 언급이 없다는 사실이 이를 방증한다.
그러나 정부는 스마트공장 보안을 위해 적극적인 지원 노력을 기울이고 있다고 강조하고 있다. 정부가 4월 발표한 ‘5G+ 전략’에서 스마트공장에 대한 보안모델을 개발, 확산할 것이라고 밝힌 바 있으며, 이후에도 보안 문제에 대한 지적이 있을 때 마다 보안에 대한 강력한 의지를 밝히고 있다.
또한 정부는 스마트 공장, 스마트 산단 보안 강화를 위해 중소기업 현장 정보보호 컨설팅을 확대하고 IoT 제품 보안 취약점 점검 지원도 확대하며, 스마트공장 가이드라인의 보안 분야를 보강하고 있다.
정부가 스마트공장 육성과 보안에 대한 적극적인 의지를 보이자 OT 보안 시장이 들썩이고 있다. OT는 IT와 다른 특화된 전용 프로토콜을 사용하기 때문에 개별 프로토콜마다 특화된 모니터링 기술이 필요하다. 제조사마다, 설비마다 다른 프로톨과 특화된 환경을 지원해야 하며, 실제 현장에서 개발된 커스텀 프로토콜까지 지원해야 한다.
민감한 OT 네트워크에 영향을 주지 않고 작동해야 하기 때문에 미러링 방식으로 모니터링하며, 이상행위가 발견됐을 때 즉시 관리자에게 알려줘야 한다. 전문지식이 없는 OT 관리자도 쉽게 알 수 있도록 직관적인 관리환경을 제공해야 하며, 오탐을 줄여 관리 오류를 줄일 수 있어야 한다.
