IT-OT 보안 갭 줄여야…OT 보안 전문가 부족
[데이터넷] OT 보안 사고를 막기 위해서는 보안 체계를 갖추고 보안 시스템을 구축해야 하지만, OT는 IT와 같은 보안 체계를 갖추기가 어렵다. OT는 가용성이 생명이기 때문에 시설에 조금이라도 영향을 주는 조치를 취하지 못한다.
그래서 OT 네트워크의 이상행위나 침해 여부를 탐지하는 모니터링 시스템을 적용하기 어렵고, 네트워크가 어떻게 연결돼 있으며 어떤 기기가 접속돼 있는지 가시성을 파악하기도 힘들다. 각 설비마다 다른 프로토콜과 비표준 기술을 사용하고 있어 통합과 자동화가 쉽지 않다. 심지어 알려진 취약점 패치도 쉽지 않다. 패치 적용으로 인해 장애가 발생할 가능성이 있기 때문이다.
김정수 클래로티코리아 지사장은 “가용성을 중요시하는 OT는 사이버 위협에 매우 취약한 상황이다. OT 네트워크를 스캔해 보면 저가 상용 무선 공유기로 외부와 통신하는 사례를 쉽게 찾아볼 수 있다. 국내 스마트팩토리 환경은 폐쇄망으로 운영되지도 않고, 에어갭조차 없는 곳도 많다. OT 시스템 관리자 계정을 제대로 관리하지 않는 사례도 부지기수”라며 “OT 보안에 대한 이해를 높여 IT와 OT의 보안 갭을 줄여나가야 한다”고 지적했다.
파트너 공급망 이용하는 공격자
코로나19로 인해 OT 위협이 높아지고 있다는 분석도 나온다. 클래로티의 ‘2020 상반기 ICS 리스크와 취약점 리포트’에 따르면 코로나19가 확산된 올해 상반기 ICS 네트워크에 대한 원격 액세스가 증가하면서 원격접속으로 인한 보안위협도 높아졌다. 특히 ICS에서 발견된 취약점 70% 이상이 원격에서 악용될 수 있는 원격코드실행(RCE) 취약점 등이 포함돼 있었다.
보고서에 따르면 상반기 ICS에서 발견된 취약점 70% 이상이 원격에서 악용될 수 있었으며, 특히 에너지, 중요 제조업, 수자원 분야에서 심각한 취약점의 영향을 받는 것으로 분석됐다. 취약성의 75% 이상이 높거나 중요한 CVSS 점수가 할당됐다. 미국 취약성 데이터베이스(NVD)의 ICS 취약성은 전년대비 10.3% 증가한 331, 산업제어 시스템 사이버 비상 대응팀(ICS-CERT) 권고 32.4% 증가한 105였다.
OT 보안은 해당 기업·기관의 문제만은 아니다. 공급망으로 연결된 생태계에 영향을 미친다. 보안에 취약한 하청업체를 통해 원청업체로 공격자가 침투할 수 있으며, 다른 하청기업과 파트너 기업들까지 확장해나가기 쉽다. 연결점이 많아지는 스마트팩토리에서 이 같은 위협은 더욱 높아진다. 그래서 공격자들은 보안 인식이 낮고 예산과 전문가가 부족한 중소 제조사를 집중 공격해 공격 성공률을 높이고 있다.
OT 보안의 심각성이 더해지고 있지만, 아직 OT 현장에서는 이에 대한 현실적인 대안을 마련하지 못하고 있다. OT 보안에 대한 인식이 낮다는 문제도 있지만, 이 분야의 전문가나 전문 솔루션이 부족하다는 문제도 있다. 포티넷·MAPI 조사에 답한 경영진은 OT 보안 대응이 어려운 이유로 ‘리소스가 부족하다’는 답이 46%, ‘빠르게 변화하는 위협’ 44%, ‘부적절한 도구 또는 기술’ 40%, 모호한 정책, 절차 또는 모범 사례 40% 등을 들었다.
현장 상황 맞는 OT 보안 정책 마련돼야
OT 보안이 국민의 삶, 국가 안보와도 직결되는 문제인 만큼, 정부도 OT 보안을 위한 정책을 마련한다. 정부는 4월 산업제어시스템 보안 기준인 ‘KS X IEC 62443-4-2:2019(산업제어시스템 보안–제4-2부: 산업제어시스템 컴포넌트의 기술적 보안 요구사항)’를 발표하고 OT 보안을 구체화하고 있다. 이 표준은 지난해 2월 제정된 국제표준 ‘IEC 62443-4-2:2019’를 기반으로 한 것이다.
이 표준에서는 ▲임베디드 장치 ▲네트워크 장치 ▲호스트 장치 ▲소프트웨어 애플리케이션 등 4종의 산업제어시스템 구성요소에 대해 총 4단계의 보안 등급을 나누고 보안 요구사항을 제시한다. 산업용 설비가 이 표준을 준수한다는 인증을 받으면 해킹·디도스·정보유출 등의 사이버 공격 피해를 입을 가능성을 낮출 수 있다.
표준을 준수하는 설비만을 갖췄다 해서 공격 피해가 사라지는 것은 아니다. 공격자는 사내 직원, 신뢰할 수 있는 사람이나 시스템을 이용해 공격한다. IT 관리자에게 업무와 관련된 내용의 악성메일을 보내 감염시킨 후 산업용 DMZ를 거쳐 OT로 침투해 들어간다. 또는 설비 업데이트, 원격 유지보수 등을 위해 OT에서 외부로 직접 연결한 VPN을 통해 침투하기도 한다. 감염된 업데이트 파일을 이용하는 공급망 공격도 위험하다.
여러 전술·전략을 사용하는 OT 타깃 공격을 막기 위해 IT 보안 조직이 OT 보안 영역까지 관리하고자 하는데, 이로 인해 조직간 갈등도 발생한다. OT는 IT와 프로토콜이나 업무 방식, 문화가 완전히 다르다. IT 보안과 동일한 방법으로 OT를 운영하면 심각한 위협에 빠진다. OT 보안은 OT 전문가가 책임지는 것이 이상적이다.
OT는 매우 방대한 영역을 포괄하기 때문에, 특정한 보안 모델을 규정하거나 보안 기술을 제한할 수 없다. 제조공정, 에너지 발전망 등의 ICS라 해도 산업별·현장별로 다른 구성과 기술을 요구하기 때문에 표준화된 보안 모델을 수립하는 것도 쉽지 않다. 각 산업별·분야별 전문성을 통해 가용성을 해치지 않으면서 사이버 위협에 대응하는 방법을 마련하는 것이 궁극적인 해결책이다.
더불어 OT 보안을 위해 필요한 요소기술을 도입하는 것도 필수다. 방대한 OT 환경을 운영자의 수작업에만 의지해 보호할 수 없다. OT 네트워크 모니터링을 통해 이상정황을 확인하고, 연결된 모든 기기와 네트워크의 무결성과 가시성을 확인하는 한편 IT와 연계해 IT-OT 융합보안의 이상을 완성할 방법이 필요하다.
