[데이터넷] 2017년 세계 최대 컨테이너 운송 업체인 덴마크의 머스크라인이 페트야 랜섬웨어 공격으로 3주간 시스템을 복구하지 못해 3500억원 이상 손해를 입었다. 이 사고는 랜섬웨어가 IT 뿐 아니라 OT·ICS까지 위협하고 있다는 사실을 알린 대표적인 사례일 뿐 아니라, 전 산업군에 사이버 보안의 필요성을 인식시킨 사건이기도 하다.

박개명 한국선급 팀장은 <데이터넷TV>를 통해 진행한 웨비나 ‘실제 컨설팅·구축·도입·인증 경험자에게 듣는 리얼한 OT보안 이야기’에서 이 사고를 언급하며 “사이버 보안은 전 산업군에서 화두가 되고 있으며, 조선·해운업계(해사)도 마찬가지다. 이에 세계 각국 정부가 해사 사이버 보안 규제와 관련 표준을 만들고 있으며, 우리나라 정부도 같은 노력을 기울이고 있다”고 설명했다.

박 팀장은 “특히 우리나라는 세계적인 조선 강국으로, 글로벌 조선소들이 선박을 건조할 때 최초 설계 단계부터 사이버 보안을 고려하고 있으며, 사이버 보안 관련 표준을 준수하고 관련 인증을 받고 있다. 이 과정에서 한국선급이 보안 파트너로 함께 하면서 우리나라 해사 사이버 보안을 강화하는데 적극적인 노력을 다하고 있다. 여기에 클래로티의 OT 보안 기술과 전문성이 큰 도움이 되고 있다”고 말했다.

사이버 보안 규제 만족 못하면 선박 운항도 불가

이번 웨비나는 클래로티코리아가 OT 보안에 대한 이해를 돕기 위해 OT 및 IT 보안 담당자, 업계 관계자를 대상으로 진행했다.

정해식 클래로티코리아 수석 엔지니어가 ‘ICS/OT 환경에 공존하는 디지털 혁신과 위험’에 대해 설명하고, 클래로티 국내 파트너인 파로스네트웍스의 최진영 이사가 ‘꼭 알아두어야 할 ICS/OT 보안시스템 구축 및 운영 방법론’을 소개했다. 이어 박개명 한국선급 팀장이 ‘해사(조선, 해운) 사이버보안 동향 및 사이버보안 기술 활용한 사이버 리스크 관리 방안’에 대해 자세히 설명했다.

박개명 팀장은 “선박은 한 번 건조되면 20~30년 동안 운행되는데, 최근 사이버 보안 위협이 높아지면서 관련 보안 규제를 만족하지 못할 경우 선박 운항이나 물류 유통 허가가 나오지 않게 된다. 따라서 선박과 물류 유통 등 모든 과정을 가시화하고 취약점을 진단하고 보안 규정을 준수한다는 사실에 대한 인증을 받는 것이 매우 중요하다”고 언급했다.

이어 박 팀장은 “한국선급은 글로벌 표준과 관련 업계에서 요구에 맞춘 인증 서비스와 보안 컨설팅과 서비스 등을 제공하면서 해사 사이버 보안 위협에 적극 대응한다. 빠른 기술 개발과 전문성 확보를 통해 글로벌 선급기업을 위협하는 강력한 경쟁사로 인정받고 있다”고 설명했다.

OT 타깃 공격, 대규모 인명사고 발생 가능

정해식 클래로티코리아 수석은 OT·ICS 보안 현황에 대해 소개했다. 정 수석은 2월 발생한 미국 플로리다 주 올즈마(Oldsmar) 수도 공급 시설 해킹 사례를 설명하며 “이 사고는 지난해 발생한 이스라엘 수처리 시설 공격과 유사한 방법을 사용했다. 공격자들은 팀뷰어를 통해 내부 OT 자산에 원격으로 접근했으며, OT 타깃 공격이 대규모 인명사고로 이어질 수 있다는 사실을 또 다시 보여주는 중요한 사례로 주목된다”고 밝혔다.

정 수석은 4차 산업혁명이 진행되면서 IT와 OT가 융합되는 환경에서 디지털 위험이 점점 더 심화되고 있다는 점을 강조하며 실제 우리나라에서 발생한 사례를 소개했다.

클래로티 솔루션을 사용하고 있던 이 기업은 업무시간 외, 그리고 주말 새벽시간에 외부 자산으로부터 대량의 로그인 실패 경고를 받았다. 클래로티 솔루션으로 분석한 결과 HMI 불법 접근 시도가 발생하는 것으로 파악돼 즉시 해당 프로세스를 차단할 수 있었다.

클래로티는 지속적으로 위협을 탐지하는 ‘CTD’와 안전하게 원격 접근하는 SRA를 통해 빠르고 정확한 OT 자산 식별과 DPI 분석을 제공하고, OT 네트워크에서 발생하는 이상행위를 즉시 파악하고 담당자가 대응할 수 있도록 지원한다.

정 수석은 “현재 대부분의 OT 환경은 보안을 고려하지 않고 설계됐으며, 가용성을 최우선으로 하기 때문에 이미 운영되고 있는 OT에 보안을 적용하기가 매우 어렵다. 그러나 OT에 대한 침해사고가 발생하면 막대한 금전 피해와 기업의 신뢰도 하락 뿐 아니라 대규모 인명사고로 이어질 수 있기 때문에 OT 보안은 아주 시급한 일”이라고 경고했다.

검증된 OT 보안 서비스 제공

OT 위협은 날이 갈수록 심각해지는 상황이다. 클래로티의 ‘2020년 하반기 OT 위협 보고서’에 따르면 이 기간 동안 OT에 영향을 미치는 취약점이 449개 공개됐는데, 이는 2년 전 보다32% 증가한 것이다. 공개된 취약점 71% 이상은 네트워크 공격 벡터를 통해 원격 악용되고 있으며, 46% 이상은 퍼듀모델 기준 레벨 1과 레벨 2, 즉 제어망과 관련있는 것이었다. 또 65% 이상은 성공적으로 악용됐을 때 전체 OT 가용성 손실을 초래할 수 있다.

이 처럼 OT 보안 위험도가 높아지고 있지만, OT 보안은 IT 보안 수준의 성숙도를 갖추고 있지 않다. OT는 가용성을 중시하기 때문에 보안 솔루션을 적용하기 어려우며, 십수년 전 구축된 설비의 오래된 OS와 특화된 애플리케이션, 전용 비표준 프로토콜을 사용하기 때문에 범용 보안 솔루션을 적용할 수 없다. 각 현장마다 각각 다른 요구사항이 있기 때문에 OT 보안에 대한 특화된 전문성을 가진 인력을 수급하기도 어려운 상황이다.

정 수석은 “클래로티는 중요한 제어망에 해당하는 레벨 1·2 네트워크의 자산 식별과 위협 탐지와 대응 기술을 제공하는 업계최고의 전문 기업이다. 특히 클래로티코리아는 검증된 OT 보안 전문가의 서비스를 제공하기 때문에 OT의 고가용성 요구를 만족하면서 지능화되는 위협에도 대응할 수 있다”고 강조했다.

IT-OT 협력해야 OT 보안위협 대응

두 번째 세션을 이어간 최진영 파로스네트웍스 이사는 실제 OT 보안 프로젝트를 진행하는 과정을 설명하면서 기업·기관이 반드시 염두에 두어야 할 점을 소개했다. ICS 보안 시스템을 구축 단계별 점검 포인트로 ▲보호해야 할 시스템에 대한 실사 ▲보호해야 할 자산에 대한 커스터마이징 ▲트래픽 프로파일링 ▲리스크 개념화와 시나리오 적용 등을 들었다.

최 이사는 “이 과정에서 가장 중요한 것은 IT-OT 조직의 협력”이라고 강조했다. OT 운영자들은 보안 심각성에 대한 이해가 높지 않고 IT 보안 조직은 OT에 대한 전문성이 낮은 편이다. OT 보안은 IT 보안과 연계되어야 하는 부분이 있고, OT 위협이 사이버 위협과 동일한 방식으로 진행되는 사례도 많기 때문에 IT-OT 협력을 통한 대응이 반드시 필요하다.

최 이사는 “OT 보안을 위해 전용 솔루션을 도입하는 것은 매우 중요한 일이며, 그 과정이 결코 쉬운 것은 아니다. 그러나 솔루션 도입만으로 끝나는 것이 아니라는 점을 반드시 알아야 한다. 운영 과정에서 IT-OT의 협력을 통해 전사 보안을 강화하는 프로세스가 마련되어야 한다”고 역설했다.

최 이사는 “OT 보안은 이제 첫 걸음을 뗀 상황”이라며 “클래로티와 파로스네트웍스는 OT·IT 보안 전문성을 고객에게 지속적으로 제공하면서, OT 보안의 성숙도를 높이고, OT·ICS 보안 관제, CERT까지 운영될 수 있도록 끊임없이 노력하겠다”고 말했다.

김선애 기자 다른기사 보기