[데이터넷] OT 보안을 얘기하면 대부분 산업제어시스템 국제 표준인 ISA/IEC 62443 네트워크 참조모델을 기반으로 계층별 보안 위협과 방화벽, 접근제어, 인증, 패치, 백신, 모니터링 등 보호 방안을 제시하지만 IT 보안기술과 잘 구분되지 않는다.

본 고에서는 앤앤에스피의 OT 보안솔루션 기술을 기반으로 ICS 심층방어(Defense-in-Depth) 모델과 이를 구현하기 위한 9단계 전략을 제시하고자 한다.

로컬 제조망 기반 ICS 네트워크 아키텍처 설계

OT 보안을 위해 ISA/IEC 62443에서는 기업망(IT망)과 ICS망(OT망)을 구분하고 방화벽을 이용해 산업용 DMA(IDMZ: Industrial DMZ)를 구성하도록 권고하지만 국내 산업제어시스템 보안요구사항에서는 로컬 제어망을 기준으로 단방향 보안 모델을 권고한다.

OT 보안의 궁극적 목표는 전체 ICS망을 보호하는 것이 아니라 로컬 제어망을 보호하는데 있다. 로컬 제어망은 현장장치(센서, 액츄에이터)-제어장치(PLC)-운영장치(HMI)가 분리될 수 없는 하나의 운영 범위로 침해사고 발생 시 연결된 다른 네트워크를 단절하더라도 독립적인 생산이 가능해야 한다. 로컬 제어망들이 식별되면 상위의 통합운영망을 식별하고 이와 분리해 기업망이 식별돼야 한다.

앤앤에스피는 ICS 보안컨설팅을 제공하고 있으며 취약성 분석 도구 ‘nNetProb’를 사용해 ICS 네트워크 및 자산 구조를 식별하고 보안취약성을 분석한다.

정보 수집만 하는 경우 단방향 전송시스템 적용

스마트공장의 경우 공장의 생산 정보를 본사 MES, ERP, 클라우드 등으로 보내고 발전소의 경우 호기별 운영 정보를 통합운영망으로 보낸다. 단방향 자료전송만 필요한 곳에 방화벽을 이용해 양방향 통신 채널을 제공할 필요는 없다.

단방향 전송시스템은 단순히 UDP를 이용해 데이터를 일방향 전송하고 이를 위해 서비스 변경이 필요하다고 생각한다. 단방향 전송시스템 ‘nNetDiode’는 기본적으로 미들웨어 기능을 제공하고 있어 제어망에서 업무망으로의 서비스를 변경하지 않고 OPC, DB, 파일 등의 정보를 일방향으로 전송한다. 단방향 전송시스템은 한쪽 회선이 단절돼 제어망을 폐쇄망으로 유지하고 외부 해킹을 차단할 수 있다.

신뢰된 네트워크 시스템 유지…이상징후 탐지

오래된 장비가 포함된 제어망을 방어하기 위해서는 비누 거품이나 유리 버블 안에 레거시 시스템을 옮겨놓은 상황을 가정하고 버블이 붕괴되지 않도록 유지해야 한다. 버블이 붕괴되지 않고 제어망을 신뢰된 상태로 유지하는 것은 쉽지 않지만 대안으로 ICS 네트워크 이상징후 탐지시스템을 통해 제어망이 신뢰된 상태로 유지되는지 모니터링할 수 있다.

ICS 네트워크 이상징후 탐지시스템 ‘nNetNDR’은 HMI, PLC 등에 대한 제어시스템 자산을 분석하고 TCP/IP뿐만 아니라 이더넷 기반의 산업용 제어프로토콜의 정상적인 통신 특성을 분석하고 AI를 활용해 이상징후를 탐지한다.

애플리케이션·사용자 화이트리스트 적용

최신 패치나 업데이트 적용이 어렵고 변경되는 환경이 거의 없는 제어시스템 환경에서는 블랙리스트(시그니처) 기반의 백신보다는 애플리케이션 화이트리스트(AWL)가 효과적이다. ICS-CERT는 특정 악성코드가 자산의 80%를 침해했을 때 바이러스토널 탐지율은 0%였는데 AWL에서 이를 탐지 및 차단했음을 보고하고 있다.

AWL 기반 엔드포인트 보안시스템 ‘nNetEDR’은 사용자와 프로세스에 대한 화이트리스트를 분석하고 인가되지 않은 프로세스 또는 비정상 접속 사용자가 발생할 경우 이를 탐지하고 차단한다.

자격 증명 관리·원격 로그인 차단 또는 제한

제어시스템에 대한 공격 범위를 좁히기 위해 사용되지 않는 기능이나 서비스는 제거하고 시스템 관리자 권한과 분리해 서비스 권한을 부여하고 관련된 자격증명을 모니터링하고 통제해야 한다. 특히 도난된 자격증명이 원격 로그인으로 사용되는 것을 모니터링하고 차단해야 한다.

통합운영센터에서 로컬 제어망(무인)에 대한 직접 제어가 필요한 경우 로컬 제어망에 대한 원격 접속을 허용하기 보다 로컬 제어망을 통합운영센터 내로 연장해 구성하는 방법도 있다. 또한 업무망 또는 외부망에서의 원격 접속이 필요한 경우 IDMZ 영역의 원격접속시스템을 통해 접속하도록 해야 하며 앤드포인트 보안솔루션 ‘nNetEDR’를 통해 원격접속 통제기능을 이용할 수도 있다.

패치·업데이트 최신 상태 유지 및 테스트

TSMC 랜섬웨어 공격은 소프트웨어 업데이트 과정에서 제조사에서 가져온 USB가 악성코드에 감염돼 발생했다. 작업할 때가 돼 패치·업데이트 파일을 다운로드 받을 것이 아니라 평상 시 제어망 내에 패치관리서버를 두고 무결성이 검증된 최신의 패치·업데이트 파일을 유지하고 작업이 필요한 경우 이를 이용해야 한다.

패치·업데이트 전달시스템 ‘nNetTrust’는 외부망에서 패치 파일을 수집하고 에어갭(Air-Gap) 환경에서 멀티 백신 검사를 수행하며 검증된 패치 파일을 제어망 내 패치관리서버로 전달해 최신의 패치/업데이트 파일을 유지하도록 한다.

공급 업체가 제공하는 보안 기능 구현…장비 보안 강화

최신 ICS 장비는 기본 보안 기능과 함께 제공되지만 설치의 편리성을 위해 대개 비활성화하거나 최소화해 설정되는 경우가 많다. ICS 장비를 분석해 보안기능이 있는지 확인하고 최대 보안 수준이 되도록 활성화가 필요하며 불필요한 옵션과 기능은 비활성화하고 사용하지 않는 통신 포트는 물리적으로 차단해야 한다.

장비의 가용성 보장을 위해 이중화가 필요하며 네트워크 포트 이중화 솔루션 ‘nNetNPR’은 장비가 단일 네트워크 회선(Port)으로 구성된 경우 이중화된 네트워크로 연결할 수 있도록 포트 이중화를 제공한다.

설비 예지보전 원격 모니터링 허용…원격 접속 제한

유지보수 차원을 넘어 설비에 대한 예지보전 관리를 위해서는 제조사에서 운영 정보에 대한 원격 모니터링을 통한 분석이 우선적으로 이루어져야 하며 실시간 화면 공유를 통해 긴급 업무를 처리할 수 있다. 원격 접속은 긴급 처리를 위한 가장 마지막 단계에 이루어져야 하며 앞서 설명한 원격 접속과 동일하게 처리돼야 한다.

ICS 통합 관제·대응 체계 구축

최신 위협으로부터 네트워크를 보호하려면 적대적 침투를 적극적으로 모니터링하고 준비된 대응을 신속하게 실행해야 한다.

앤앤에스피는 ICS 네트워크 내에서 의심스러운 통신 또는 악성 콘텐츠 트래픽에 대한 모니터링 정보, 제어시스템에서 악성코드 탐지 정보와 도난된 자격 증명의 사용이나 부적절한 접근에 대한 정보, 시스템 및 네트워크 장비 로그 등을 기반으로 ICS 보안 위협을 분석하고 추적할 수 있는 지능형 제조공정 위협 헌팅 시스템 ‘nNetTHS’을 개발하고 있다.

참고문헌
[1] IEC TS 62443-1-1, Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models, July 2009.
[2] 국가보안기술연구소, 산업제어시스템 보안요구사항, 2017. 11.
[3] ICS-CERT, DHS NCCIC, Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies, Sep. 2016.
[4] US-CERT, DHS NCCIC, Seven Strategies to Defend Industrial Control System, Jan. 2016.
[5] US DoE, 21 Steps to Improve Cyber Security of SCADA Networks, 2002.
[6] Pascal Ackman, Industrial Cybersecurity – Effiently secure critical Infrastructure Systems, Packt Publishing Ltd., Oct. 2017.