[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

IT-OT 구분 않는 공격자

사이버엑스의 ‘2020 글로벌 IoT/ICS 리스크 리포트’에 따르면 OT 네트워크 64%가 암호화 된 패킷을 전달하고 있으며, 54%는 RDP, SSH, VNC 등 표준 원격 관리 프로토콜을 통해 원격으로 액세스할 수 있게 되어 있다. IT로 침투한 공격자는 연결된 OT 시스템으로 이동하고 OT 네트워크 내에서 수평이동하면서 감염시킬 수 있다. OT 네트워크 내에서도 암호화된 패킷은 분석하지 않기 때문에 악성코드가 암호화로 보호된 상태에서 자유롭게 이동할 수 있다.

사이버엑스 보고서에서는 또한 5개 사이트 중 1개 이상에서 수상한 포트 스캐닝, 악성 DNS 쿼리, 비정상 헤더, 과도한 디바이스 연결 등 의심스러운 활동이 발견됐다고 전했다. 세계적으로 악명높은 워너크라이, 컨피커와 같은 웜 방식 멀웨어도 포함돼 있다.

OT 보안 기업들은 머신러닝 기반 위협 탐지 기술을 적용해 이러한 위협도 탐지할 수 있다고 주장하지만, 정해진 OT 네트워크 내에서만 위협을 탐지할 수 있다. 공격자는 하나의 시스템을 감염시킨 후 이를 근거지로 삼아 연결된 다른 네트워크로 수평이동하면서 감염 범위를 확장시킨다. 전체 네트워크 여러 곳에 공격 기지를 배치해 하나의 공격 거점이 발견되면 그 영역에서 철수하고 다른 기지에서 공격을 이어간다.

공격자는 IT-OT를 구분하지 않으며, IT 및 OT 각 환경에 맞춤형 공격 도구와 전술을 마련해 공격을 이어간다. 2017년 중동 화학시설 파괴를 시도한 트리톤(Triton)의 경우 IT 공격 방식인 APT를 이용했다.

IT 시스템에 먼저 침투한 후 암호화된 SSH 터널을 이용해 공격 툴을 전달하고 명령·프로그램을 원격에서 실행했다. 공격 표적이 된 SIS 컨트롤러 접근 권한을 확보한 후 탐지되지 않도록 관리자가 퇴근한 후 활동했다.

이 같은 공격을 방어하기 위해서는 IT와 OT 전체를 가시화하고 발견된 보안 이벤트를 연계분석하면서 공격이 진행된 과정을 추적해 근본적으로 차단하는 방법이 필요하다.

IT-OT 통합보안 전략 등장

체크포인트는 IT와 OT를 통합 보호하는 ‘AAD’를 출시하며 시장을 공략한다. 체크포인트는 OT 네트워크를 세분화(Micro Segmentation) 한 후 네트워크 내부는 OT 보안 전용 기술로 보호한다. 세분화된 OT 망 앞에 게이트웨이를 설치해 보안 정책을 일괄적으로 적용하고 관리할 수 있도록 한다. 세분화된 OT 네트워크 내에서 발견된 위협은 게이트웨이를 통해 중앙 관리 시스템에 전달된다. 중앙 관리 시스템은 IT와 OT 전체에서 수집된 위협을 연계분석해 공격 전반을 파악하고 대응책을 마련해 게이트웨이로 내려보낸다.

보안 패치를 즉시 적용하지 못하는 OT 네트워크 환경을 고려해 가상패치 시스템을 제공, OT 네트워크에 직접 적용하지 않고 게이트웨이에서 해당 위협이 활동하거나 다른 시스템으로 확장되지 못하도록 제어한다.

트렌드마이크로는 산업용 컴퓨터 및 네트워크 기업 모싸(Moxa)와 조인트벤처 티엑스원네트웍스(TxOneNetworks)를 설립하고 IT와 OT를 아우르는 통합 보안을 제공한다. 티엑스원네트웍스도 IT와 OT 경계에 설치하는 방화벽과 IPS, 특정 영역 시스템 취약점 스캐너, 화이트리스트 기반 차단 시스템 등 4종의 보안 솔루션을 출시할 계획이다.

포티넷은 OT 보안 기업과 협력한 IT-OT 통합보안을 제공한다. OT 네트워크는 OT 보안 전문기업의 보안 기술을 이용하며, 이들이 제공하는 위협 이벤트와 IT 영역에서 수집하는 보안 이벤트를 연계 분석해 보안위협을 탐지한다.

또한 OT 시스템의 전용 프로토콜을 지원하는 OT 방화벽을 출시, PERA, ISA-99, IEC-62443과 같은 주요 레퍼런스 아키텍처와 호환되는 보안 패브릭 솔루션을 통해 OT와 IT 융합보안이 가능하도록 한다.

AI 기반 이상행위 탐지로 OT 보호

파이어아이는 침해사고 전문성을 내세워 OT 보안 역량을 갖췄다고 강조한다. 파이어아이는 전 세계 주요 OT 보안 사고를 수습한 맨디언트 OT 보안 전문성을 기반으로 한 MDR 서비스를 제공한다. 직원 인터뷰, 아키텍처 검토, 알려진 위협에 대한 상황별 평가와 조직에 대한 맞춤형 위험 등급 설정을 제공한다.

또한 파이어아이 ‘아이사이트 인텔리전스’로 사이버물리적 시스템, IoT 및 자동화를 비롯한 OT 위협에 대한 인텔리전스를 기관에 제공하고, 이들을 대상으로 하는 위협 행위자의 의도와 능력에 대한 인사이트를 제공한다.

다크트레이스는 AI를 이용해 IT, OT 네트워크 상관없이 보호할 수 있다고 강조한다. 다크트레이스의 고급 AI 기술은 비지도 학습 기반 머신러닝을 사용해 모든 프로토콜을 짧은 시간 내에 학습하고 이상행위를 찾아낼 수 있다고 강조한다.

커스텀 프로토콜의 경우, OT 보안 기업들도 머신러닝으로 학습한 후 지원한다. 이 때 기존의 프로토콜과 커스텀 프로토콜의 유사한 점이 많기 때문에 과도한 노이즈가 발생할 수 있다. 다크트레이스는 기존 프로토콜이나 커스텀 프로토콜 상관없이 적용 가능하다. 기 학습된 정보가 없기 때문에 프로토콜의 흐름을 파악하고 학습하면서 해당 네트워크의 정상 행위를 즉시 파악하고 이상행위를 찾아낼 수 있다고 주장한다.

국내 컨설팅 기업인 SK인포섹은 산업별 정보보안 체계를 만들어 컨설팅 사업을 제공한다. 스마트공장을 위한 정보보안 체계는 SK 그룹의 각 공장에 적용된다. 특히 SK인포섹 중국법인을 설립하고 중국의 SK그룹 공장을 지원하는 한편 중국 진출 한국기업과 중국의 공장에 정보보안 체계 프레임워크와 컨설팅, 보안관제 서비스 등을 제공한다는 계획을 밝힌다.

IoT를 위한 융한보안 관제 플랫폼 ‘시큐디움 IoT’를 통해 스마트팩토리 보안관제를 수행한다. 이 플랫폼은 정보보안, 물리보안, 제조설비 시스템 등 모든 데이터를 수집하고 이상행위를 탐지하고, 상관관계 종합 분석으로 위협에 대응한다.