[데이터넷] OT 보안을 강화하기 위해 기업·기관이 가장 먼저 해야 할 일은 전담조직을 마련하고 책임과 권한이 있는 인력을 배치하는 것이다. 미국 국립표준원(NIST)의 ‘ICS 보안 가이드’에서는 전담조직의 필요성을 강조하며, 이 조직에는 IT 담당자와 제어기사, 제어시스템 운영자, 네트워크·시스템 보안 전문가, 관리 직원, 물리적 보안 담당자 등이 포함돼야 한다고 설명했다. 또 CIO·CSO, 현장관리자와 긴밀하게 협조해야 하며, 인력에 대한 역할 정의와 정책, 지침을 세분화 해 마련해야 한다고 밝혔다.

OT 보안 전담조직은 OT 조직과 IT 보안 조직의 협업을 이끌어내 IT-OT 융합 환경을 위한 체계적인 정책과 거버넌스를 만들어야 한다. 이 때 국제적인 사이버 보안 가이드와 산업 표준을 고려해야 한다. 우리나라에서는 산업용 보안 표준의 대표 모델 IEC-62443을 기준으로 한 KS X IEC 62443이 제정돼 ▲임베디드 장치 ▲네트워크 장치 ▲호스 트 장치 ▲소프트웨어 애플리케이션 등 ICS 구성요소 4종에 대한 보안 요구사항을 1~4단계 보안 등급에 따라 제시하고 있어 이를 정확하게 파악하는 것이 필요하다.

IoT 개념 적용한 OT 아키텍처 이해해야

OT 보안 거버넌스를 수립하는데 있어 가장 기초적인 작업은 OT 자산과 네트워크에 대한 이해를 하는 것이다. 가장 널리 알려진 OT/ICS 네트워크 참조 아키텍처는 퍼듀대학에서 제안한 ‘퍼듀 엔터프라이즈 참조 모델’인데, 이는 IoT 개념이 적용되지 않은 전통적인 폐쇄망 모델이기 때문에 스마트 혁신을 추진하는 현재 상황에 맞지 않는 부분이 있다.

엣지 컴퓨팅 전문기업 리트머스(Litmus)는 퍼듀모델을 IoT 환경에 맞게 재설계한 ‘산업용 엣지 컴퓨팅 플랫폼을 사용한 퍼듀 모델’을 새롭게 제안하기도 하는데, 이 모델은 계층적인 수직적 아키텍처가 아니라 산업용 엣지 컴퓨팅 플랫폼에 OT의 모든 요소를 수평적으로 통합해 모든 레벨의 데이터를 통합 분석하는 개념으로 설명한다.

OT는 각 현장별로 다른 특징이 있기 때문에 어떤 모델이 정답이라고 할 수는 없지만, 대체로 가장 낮은 레벨에서는 원자로 냉각 시스템, 철도 제동 시스템 등 실제 설비가 돌아가며, 레벨 0에서는 센서, 액추에이터를 통한 프로세스 상태 모니터링과 장비 운영이 이뤄진다. 레벨1은 PLC와 같은 컨트롤러, 레벨2는 작업자 콘솔, 엔지니어링 워크스테이션 등이 구성된다.

레벨2 까지는 순수한 OT 영역으로 보고 있으며, 레벨3 이후 OT와 IT 기술이 함께 운영된다. 레벨3는 운영과 제어를 위한 ICS, 레벨 4~5는 IT 영역이며, 레벨 3과 4 사이 산업용DMZ(IDMZ)를 구성해 OT와 IT의 커뮤니케이션이 이뤄지도록 한다. 이 구간에 산업용 방화벽이 설치돼 네트워크를 세분화하고 장애와 감염이 다른 네트워크에 영향을 미치지 않도록 한다.

OT 거버넌스 수립시 적절한 보안 기술과 솔루션도 검토해야 하는데, 가장 필수적인 솔루션은 OT 자산을 파악하고 비정상적인 네트워크 행위를 모니터링하는 것으로, 클래로티가 이 분야의 대표 솔루션이다. OT의 다양한 네트워크 프로토콜을 지원하며, OT 환경에 영향 없이 이상행위를 정밀하게 모니터링할 수 있게 한다.

OT 엔드포인트 보호를 위한 백신과 경량 에이전트 혹은 에이전트 없이 운영되는 NAC, 접근제어도 필수다.

네트워크와 엔드포인트 전반에 대한 보안 솔루션을 제공하는 기업들도 경쟁에 뛰어든다. 시큐리티매터스를 인수한 포어스카우트, OT 엔드포인트·네트워크 보안과 컨설팅·관제·교육까지 지원하는 카스퍼스키, AI를 이용해 네트워크부터 엔드포인트까지 이상행위를 탐지하는 다크트레이스 등이 있다.

IT-OT 보안 기술 경쟁 시작

IT 보안 기업이지만 OT 보안에 대한 완성도 높은 기술을 선보이는 기업도 등장하고 있다.포티넷은 전문 OT 보안 기술을 제공하는 솔루션 라인업을 완성도 있게 갖추고 있으며, 트렌드마이크로는 모싸와 함께 조인트벤처 티엑스원네트웍스를 설립하고 네트워크부터 엔드포인트까지 전 영역을 아우르는 OT 보안 전문 솔루션을 내놓는다.

한드림넷은 산업용 화이트리스트 보안스위치 ‘서브게이트 5000’, 산업용 보안스위치 ‘인더스트리얼 서브게이트’를 출시하고 산업 네트워크·보안 시장을 본격 공략한다.

OT 보안 전문성과 컨설팅·관제 서비스를 결합한 모델도 등장하고 있다. 안랩은 포스코ICT와 스마트팩토리 보안 솔루션 ‘포쉴드+A’를 출시했는데, 포스코ICT의 AI 기반 비정상 제어 명령 탐지 솔루션 ‘포쉴드’와 안랩의 OT 보안 위협 탐지 기술을 결합한 것이다.

OT 망 중 보안 수준이 높은 네트워크는 물리적 일방향 망연계 기술을 적용해 내부에서 외부로 정보를 전송할 수 있어도 외부에서 내부로 유입시킬 수 없도록 해야 한다. 외부의 위협이 내부망을 감염시키지 못하게 하면서 내부망의 운영 현황을 파악할 수 있도록 하기 위해서다.

일방향 망연계 솔루션은 앤앤에스피가 전문기업이며, 지난해 앤앤에스피는 엔드포인트와 네트워크 보안 솔루션, 패치 시스템, OT를 위한 위협 헌팅 시스템 등으로 구성된 종합 OT 보안 제품군을 선보이기도 했다.

양일방향 망연계, OT 보안성 높여

망연계 솔루션 시장 1위의 휴네시온은 완성도 높은 망연계 기술을 활용한 일방향 망연계 솔루션 ‘아이원넷’과 양일방향 망연계 솔루션 ‘아이원넷 디엑스’를 소개한다. 물리적 양일방향 망연계는 휴네시온만이 제공하는 솔루션이며, 보안 등급이 다른 폐쇄망 사이의 정보전송을 지원한다.

김대성 휴네시온 부장은 “OT 네트워크 내에는 비밀 등급이 다른 여러개의 폐쇄망이 있으며, 보안 등급이 높은 폐쇄망은 망간 자료 전송 시 반드시 일방향 망연계를 사용하도록 되어있다. 그런데 보안 등급이 낮은 곳에서 높은 곳으로 데이터를 전송해야 할 때, 정책서버가 보안 등급이 낮은 망에 위치하게 된다는 문제가 있다. 양일방향 망연계는 모든 상황에서 정책서버가 보안 등급이 높은 곳에 위치하도록 해 정책서버를 안전하게 보호하면서 운영할 수 있도록 한다”고 말했다.

이 솔루션은 에너지 공기업과 중요 공공기관에 도입됐다. 향후 항공, 발전제어, 도로, 항만 스마트팩토리 등 다양한 환경에 적용될 수 있을 것으로 기대된다.

한편 휴네시온은 망분리 환경의 보안위협을 점검하는 ‘아이스펙터’로 폐쇄망·업무망의 네트워크 취약점과 보안정책 관리를 지원한다. 국가보안기술연구소에서 기술이전을 받아 상용화 한 아이스펙터는 휴대성이 높은 경량장비로, 네트워크에 간단히 설치해 네트워크 현황을 파악하고 패킷을 수집·분석해 보안정책을 위반한 기기와 취약점 등을 찾아낸다. 정기적인 취약점 점검 등에 활용 가능한 아이스펙터는 속도에 민감한 폐쇄망이나 예산이 충분하지 않은 소규모 조직, 보안 취약점 점검 서비스 기관·기업 등에서 높은 호응을 받고 있다.