일방향 망연계로 외부 침입 막아 APT 공격 대응
[데이터넷] OT 보안 위협을 높이는 요인 중 하나가 공급망 공격이다. 공급망 공격은 소프트웨어·하드웨어 공급망의 취약점을 노려 침투하는 것을 말한다. 가장 대표적인 공급망 공격 사례는 대만 제조사 TSMC 보안 사고다. 2018년 감염된 USB로 소프트웨어 패치 업데이트해 공장이 일시에 중단되는 사태를 맞았다.
패치 업데이트를 악용하는 공급망 공격 사례는 무수히 많다. 코드사인 인증서를 탈취한 후 패치 업데이트 파일에 악성코드를 숨기고 정상 코드사인을 한 후 배포하면, 대상 설비는 해당 파일을 정상으로 간주하고 패치를 실행해 감염된다.
패치 파일 이용하는 공급망 공격
지난 5월 클래로티는 소프트웨어 PLC에서 공급망 공격 취약점을 발견해 즉각 조치를 취할 것을 권고한 바 있다. 옵토22의 ‘소프트PAC(SoftPAC)’에서 발견된 이 취약점은 원격에서 악성 펌웨어를 배포하거나 시스템 무단 시작·중단 등의 공격이 가능하다.
소프트PAC는 최종 사용자가 직접 접근할 수 없는 윈도우 시스템에서 실행되며, 사용자는 에이전트로 제공되는 소프트PAC 모니터를 통해 관리하는데, 이번에 발견된 취약점은 에이전트와 외부 원격 연결을 설정할 수 있다.에이전트가 사용하는 프로토콜에는 인증 형식이 필요하지 않기 때문에 공격자는 소프트PAC 모니터로 위장해 원격 연결을 설정하며 서비스 시작, 중지, 펌웨어 업데이트 명령을 실행할 수 있다.
패치 업데이트는 설비 운영을 위해 반드시 필요한 작업이지만, 보안 프로세스를 마련하지 않거나 보안 정책을 지키지 않아 공급망 공격을 당할 수 있다. 앞서 예로 든 것 처럼 패치 업데이트에 사용하는 외부 저장매체가 감염돼 있거나 업데이트 서버가 감염돼 악성코드가 숨어있는 패치가 배포되는 경우가 비일비재하다.
이러한 문제를 막기 위해 주요 설비 제조사들은 고객사에 설치된 자사 설비를 본사와 VPN으로 직접 연결해 감염되지 않은 정상 패치파일이 직접 고객사 설비로 업데이트 될 수 있도록 한다. 패치 업데이트 프로세스 상에서 보면 안전하다고 볼 수 있지만, 패치 업데이트 시 외에는 VPN 연결을 끊어야 하는데, 그렇지 않고 방치했을 때 외부와 연결된 VPN을 이용한 침입이 발생할 수 있다는 우려도 있다.
멀티백신·CDR로 파일 무결성 검증
안전한 패치파일 관리를 위해 소프트캠프는 패치파일에 악성코드가 있는지 살펴보고 무결성이 검증된 것만 CD로 제작해주는 키오스크 제품 ‘게이트 엑스캐너’를 제공한다. 이 솔루션은 행정안전부의 주요 정보통신 기반시설 보호지침과 산업통상자원부의 정보보호시스템 관리운용망 보안대책 등 내부망과 제어망에 대한 보안 관련 규정을 준수할 수 있도록 한다. 규제대상이 아닌 기업에서는 패치파일 무결성 검사 후 CD가 아닌 다른 방법으로 안전하게 파일을 배포할 수 있도록 도와준다.
이 솔루션은 패치 등 외부 파일을 멀티백신으로 검사한 후 안전한 콘텐츠만 추출하여 문서를 재조합하는 기술인 콘텐츠 무해화(CDR) 기술을 적용해 공격에 악용될 수 있는 콘텐츨ㄹ 사전에 제거한다.
소프트캠프는 하반기 USB 메모리와 노트북의 무결성을 검사하는 솔루션도 출시할 계획이다. 아무것도 설치하지 않고 노트북이나 외부저장매체에 악성코드가 있는지 검사해 사용자의 거부감을 줄인다.
배환국 소프트캠프 대표는 “OT 환경에서 소프트웨어 공급망이나 외부 저장매체, 외주인력에 의한 정보유출, 악성코드 감염 등의 사례는 부지기수”라며 “소프트캠프의 공급망 보안, 외주인력 보안 솔루션은 국내 주요 기관과 기업에서 호평을 받으면서 성장해나가고 있다. 향후 이 기술을 더욱 고도화해 OT 보안을 강화하는데 도움을 줄 것”이라고 밝혔다.
물리적 일방향 망연계로 외부 침입 차단
OT의 외부 연결성을 강화하는 이유는 OT 운영을 효율화하기 위해서다. OT에서 발생하는 데이터를 IT 시스템이나 클라우드에서 분석해 이상정황을 미리 탐지하고 장애·침해를 조기에 감지하고 대응하도록 한다. 반면 외부에서 OT 내부로 연결하는 일은 많지 않다. OT 설비의 패치 업데이트, 원격관리 등 극히 제한적인 업무만 내부로 접속하게 된다.
주요정보통신기반시설 전자제어시스템 보안가이드라인에서는 중요시설에 대해서는 내부에서 외부로 일방향 통신만을 가능하게 하고, 외부에서 내부로의 통신은 물리적으로 차단하는 일방향 망연계 시스템을 구축하도록 했다. 이를 통해 OT 설비 운영의 효율성을 높이면서 외부의 위협이 내부로 침투하지 못하도록 한다.
휴네시온은 망연계 솔루션 ‘아이원넷’을 이 규제에 맞게 최적화 한 ‘아이원넷 디디’를 국내 주요 기관 제어망에 잇달아 공급하면서 시장 점유율을 빠르게 높이고 있다. 아이원넷 디디는 제어망에서 업무망으로의 일방향성을 유지해 제어망 해킹위협을 차단하면서 데이터의 안정적인 전송을 위해 하드웨어 기반의 물리적 일방향 데이터 연계를 제공한다.
아이원넷 디디는 전용 네트워크 인터페이스 장치(NIC)를 탑재한 송신전용서버 ‘TX’와 수신전용서버 ‘RX’로 구성된다. TX에서 RX로의 데이터 송신은 가능하나 반대 방향으로는 데이터 송신을 하드웨어적으로 불가능하게 한다. 자체 개발한 전용프로토콜(HDPROTO)을 사용하고 국정원 검증필 암호모듈을 적용해 암호화된 데이터를 전송함으로써 기밀성을 보장한다. 망간 자료전송제품 보안요구사항 규격을 만족해 CC인증을 획득했으며, GS인증 1등급을 획득해 제품에 대한 품질과 기능 검증을 완료했다.
일방향 망연계 솔루션은 OT 보안 전문기업 앤앤에스피가 국내에서 가장 먼저 출시하고 시장을 만들어왔다. 앤앤에스피는 일방향 망연계솔루션 ‘엔넷다이오드(nNetDiode)’, ICS 네트워크 이상징후 탐지시스템 ‘엔넷NDR’, 화이트리스트 기반 ‘엔넷EDR’, 패치·업데이트 전달 시스템 ‘엔넷트러스트’, 네트워크 포트 이중화 솔루션 ‘엔넷NPR’을 통해 OT 전반에서 보안을 강화한다.
또한 앤앤에스피는 지능형 제조공정 위협 헌팅 시스템 ‘엔넷THS’를 개발해 최신 위협으로부터 OT 네트워크를 보호한다.
