“OT 보안, 각 현장 최적화된 전략·기술 필요”
상태바
“OT 보안, 각 현장 최적화된 전략·기술 필요”
  • 김선애 기자
  • 승인 2020.07.30 17:04
  • 댓글 0
이 기사를 공유합니다

최민화 삼정KPMG 상무 “OT 타깃 공격, 인명피해로 이어질 수도 있어”
“OT 보안 위협 높아지지만 인식 개선 안돼…현장 이해하는 컨설팅 필요”

[데이터넷] 지난해 초 세계 최대 알루미늄 제조기업 노르스크 하이드로가 랜섬웨어 피해를 입어 6000만달러(약 716억원)에 이르는 피해를 입었다. 이 사고로 노르스크 하이드로는 유럽, 미국 등의 공장을 폐쇄해야 했으며, 상당기간 알루미늄 생산에 차질을 빚어 전 세계 알루미늄 가격을 상승시키는 결과로 이어지기도 했다. 노르스크 하이드로는 공격자에게 금전을 지불하지 않고 복구해나갔으며, 9개월 이상의 시간이 걸린 후에도 완전히 정상으로 복구하지는 못했던 것으로 전해진다.

노르스크 하이드로 외에도 매우 많은 제조시설과 발전시설, 기타 산업시설이 랜섬웨어로 막대한 피해를 입었다. 민감한 산업의 특성상 피해입은 기업에 대해 상세히 밝힐 수 없지만, 이러한 시설은 한 번 피해를 입었을 때 복구에 몇 주 혹은 몇 달 이상 걸린다. 시설이 가동하지 않아 직원들이 일을 하지 못하지만 그 기간동안에도 임금을 지불해야 한다. 복구에 필요한 인력은 꽤 긴 시간 초과근무를 하기 때문에 더 많은 임금이 지불되어야 하며, 설비 교체 등에도 매우 큰 비용이 소요된다.

생산시설의 경우 복구 과정까지 생산물량의 차질을 빚게으면 유통사 등에 패널티를 물게 될 수도 있다. 정상 복구 후에는 그 동안 생산하지 못한 물량을 최대한 빠르게 생산해야 하므로 임직원의 초과근무가 불가피하며, 유통망도 최대한 가동시켜야 해 그로 인한 추가 비용이 부담이 든다.

최민화 삼정KPMG 상무는 “IT 보안은 신용, 기술정보, 고객정보 등의 침해를 입지만, OT는 생산·운영 차질로 인한 막대한 피해를 입는다. 랜섬웨어 공격으로 1년의 수익을 모두 잃을수도 있으며, 시스템 파괴나 오작동으로 인명피해까지 발생할 수 있다”며 “물리보안과 사이버 보안 모든 면을 감안한 OT 보안 전략이 필수”라고 강조했다.

출처: 삼정KPMG
<출처: 삼정KPMG>

OT 보안 책임 조직 없다

OT는 운영기술환경으로, 산업제어시스템(ICS) 뿐 아니라 IT와 연결되는 산업용 DMZ까지 포함하는 광범위한 영역의 기술 환경을 말한다. OT 타깃 공격은 최근에야 심각해진 것은 아니지만, IoT·AI 융합기술의 확대로 공격이 더 쉬워졌다는 점에서 위험하다.

OT 영역은 외부 네트워크 연결을 극히 제한하고 있지만, 최근 ICS 영역까지 IoT와 AI를 접목해 더 스마트하게 시설을 운영하려는 시도가 늘어나면서 외부와의 연결면이 넓어지고 있다. 그러면서 공격면은 더 늘어났으며, IT를 타깃으로 하는 사이버 침해 시도가 OT까지 확대되고 있다.

OT 타깃 공격 역시 IT 공격처럼 지속적이고 지능화되는데, OT 운영조직은 이에 대한 심각성을 아직 느끼지 못하고 있다. 대부분의 OT 조직은 OT 시스템이 인터넷으로부터 단절돼 있기 때문에 외부 공격으로부터 안전하다고 믿고 있으며, 보안을 위해 OT 네트워크에서 센서를 설치하거나 업무 프로세스를 조금이라도 변경하는 것은 생산계획에 큰 차질이 생긴다고 생각하고 있다. 특히 OT 네트워크나 시설·설비에 아주 작은 변화라도 가해지는 것을 꺼리는데, 운영중인 설비를 중단시켜야 하거나, 예상치 못한 오작동이 일어나는 것을 두려워하기 때문이다.

OT 시설에 IoT·AI를 접목하면서 각 설비에서 생성되는 데이터를 수집하고 분석하고자 하는데, 실제 운영자들은 이 데이터가 어느 곳에 쌓이는지 알지 못하며, OT 네트워크에 연결돼 있는 자산 현황과 상태조차 투명하게 파악하지 못하는 상황이다.

최민화 상무는 “가장 심각한 문제는 OT 보안을 책임질 조직이 없다는 점이다. 대규모 제조업조차 스마트팩토리 전환을 서두르면서도 보안 문제를 어떻게 해결해야 하는지 구체적으로 고려하지 못한다. 발전·에너지·스마트시티 등의 분야에서도 각 산업별로 특화된 OT 보안 매뉴얼을 만들어 실천해야 하는데, 그런 부분이 매우 더디게 진행되고 있다”고 지적했다.

경영진 강력한 의지로 OT 보안 전략 진행해야

정부는 지난 4월 산업제어시스템 보안 기준인 ‘KS X IEC 62443-4-2:2019(산업제어시스템 보안–제4-2부: 산업제어시스템 컴포넌트의 기술적 보안 요구사항)’를 발표했다. 이 표준은 지난해 2월 제정된 국제표준 ‘IEC 62443-4-2:2019’를 기반으로 한 것이다.

이 표준에서는 ▲임베디드 장치 ▲네트워크 장치 ▲호스트 장치 ▲소프트웨어 애플리케이션 등 4종의 산업제어시스템 구성요소에 대해 총 4단계의 보안 등급을 나누고 보안 요구사항을 제시한다. 산업용 설비가 이 표준을 준수한다는 인증을 받으면 해킹·디도스·정보유출 등의 사이버 공격 피해를 입을 가능성을 낮출 수 있다.

그러나 표준을 준수하는 설비만을 갖췄다해서 공격 피해가 사라지는 것은 아니다. 공격자는 사내 직원, 신뢰할 수 있는 사람이나 시스템을 이용해 공격한다. IT 관리자에게 업무와 관련된 내용의 악성메일을 보내 감염시킨 후 산업용 DMZ를 거쳐 OT로 침투해 들어간다. 또는 설비 업데이트, 원격 유지보수 등을 위해 OT에서 외부로 직접 연결한 VPN을 통해 침투하기도 한다. 감염된 업데이트 파일을 이용하는 공급망 공격도 위험하다.

여러 전술·전략을 사용하는 OT 타깃 공격을 막기 위해 IT 보안 조직이 OT 보안 영역까지 관리하고자 하는데, 이로인해 조직간 갈등도 발생한다. OT는 IT와 프로토콜이나 업무 방식, 문화가 완전히 다르다. IT 보안과 마찬가지로 OT를 운영하면 사고가 날 수 밖에 없다. OT 보안은 OT 전문가가 책임지는 것이 이상적이다.

그러나 OT 전문가는 보안에 대한 이해가 떨어진다. OT 조직은 고도의 안정성을 유지해야 한다는 생각 때문에 시스템의 심각한 취약점이 발견된다 해도 쉽게 패치하지 못한다. 패치로 인해 시스템이 중단되거나 다른 시스템에 영향을 줄 수 있기 때문이다.

최민화 상무는 “OT 보안의 책임을 누구에게 맡기느냐 보다 더 중요한 것은 경영진의 의지이다. 경영진이 강력한 의지를 갖지 않으면 OT 보안 전략을 수립하고 실행하는 것은 매우 어렵다. 경영진을 설득해 현재 보안 상태를 진단하고 미래에 닥칠 위협까지 예측해 장기적이고 지속 가능한 보안 전략을 수립하도록 해야 한다”며 “글로벌 컨설팅 기업들이 이 때문에 최근 몇 년 동안 OT 보안에 많은 투자를 단행하고 있는 것”이라고 말했다.

현장 경험 풍부한 컨설팅 제공

KPMG는 다양한 산업군을 대상으로 한 보안 컨설팅 서비스를 제공한 경험을 기반으로 OT 보안 시장을 공략하고 있으며, 국내 법인인 삼정KPMG는 글로벌 고객을 대상으로 축적한 경험과 국내 고객을 대상으로 한 경험을 결합해 가장 적합한 보안 전략을 제안한다.

최 상무는 “OT 보안은 현장 수용성이 가장 중요하다. 각 현장에 맞는 프로세스와 기술을 찾아 제안해야 하는데, 각 산업별·기관별로 전략과 프로세스가 모두 다르다. 따라서 다양한 산업군에서의 성공 경험이 있는 컨설팅 기관을 선택하는 것이 중요하다. 삼정KPMG는 글로벌 사례와 국내 사례를 다양하게 갖고 있어 이 분야에서 최적의 파트너가 될 것”이라고 덧붙였다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.