[데이터넷] 미국 송유관 업체 콜로니얼 파이프라인을 공격한 다크사이드는 서비스형 랜섬웨어(RaaS)를 이용하며, 훔친 인증 정보로 사용자를 속여 네트워크에 침투하고 중요 시스템에 대한 접근권한을 획득하는 일반적인 사이버 공격 방식을 택하는 것으로 알려진다. 이는 사이버 공격이 사회의 주요 인프라를 공격하면서 국민들의 생활과 삶, 안전, 국가안보에까지 지대한 영향을 미치고 있다는 것을 뜻한다.

에너지‧발전망 및 사회 중요 인프라와 기업의 생산‧설비망 등 OT/ICS를 보호하는 기술을 집중 논의하는 한국정보보호학회 CPS 보안연구회(위원장 서정택 가천대 교수)의 ‘제 8회 CPS 보안 워크숍’이 20일부터 21일까지 제주도에서 열렸다. 이 워크숍에서는 CPS(Cyber Physical Systems) 분야 보안 기술을 소개하고 필요성을 논의했다. 연구회는 전력, 원자력, 교통 및 수자원 등 국가기반시설과 스마트시티, 스마트팩토리 분야의 제어시스템 보안기술을 연구하는 모임이다.

코로나19 상황을 고려해 온‧오프라인으로 동시 개최한 이번 워크숍에는 CPS 보안 연구회원과 업계 관계자들이 참여해 OT/ICS 공격 트렌드와 대응 방법 등을 다양하게 제안했다. 특히 이번 행사에서는 OT를 위한 인텔리전스와 테스트베드, AI 보안 기술 적용 방법, 보안 내재화와 통합보안 등에 대한 내용이 다양하게 다뤄졌다.

OT 보안 연구 위한 데이터셋‧테스트베드 필수

OT/ICS 보안을 위해서는 이와 관련된 연구가 활발하게 진행되어야 하며, 연구에 사용할 수 있는 데이터셋이 충분이 준비되어야 한다. 그러나 우리나라에서는 안전‧보안 등의 이유로 실제 제어 시스템 데이터를 제공받을 수 없으며, 정상상황과 위협 상황에 대한 실증이 불가하다. 또 테스트베드를 구축하고 관리하는데 많은 비용이 들고 전문인력을 지속적으로 배치하기 어렵다는 문제가 있다.

민병길 국가보안기술연구소(NSR) 실장은 해외 ICS 보안 데이터셋과 연구 활동을 소개하며 국내에서도 이러한 시도가 이어지고 있다고 소개했다. NSR이 개발한 ‘HAI 데이터셋’은 자동화와 가상화를 이용해 다양한 정상 운전 상황을 재현하고, 정교한 공격을 실현하며, 다양한 공격 분석 정보를 제공한다. 또 eTaPR 평가척도를 제공해 시계열 데이터에 대한 이상 탐지와 정확한 성능 평가가 가능하도록 한다.

한편 NSR은 산업제어시스템 보안위협을 탐지하는 AI 경진대회인 ‘HAICon’을 8월부터 10월까지 진행한다. 이 대회는 ICS 보안 기술 개발과 연구 활성화, 기술의 사업화를 지원하기 위해 진행된다.

OT/ICS 보안을 향상시키기 위한 보안품질보증(QA)도 제안됐다. 한국원자력통제기술원의 권국희 선임연구원은 ASME NQA-1 표준에 기반한 CPS 품질보증을 제안했다. 사이버 보안 조직 구성과 역할, 프로세스 기반 접근, 근본원인 분석, 성능 판정 기준 마련, 교육‧훈련 및 자격관리 등의 내용이 포함됐다.

한편 주요정보통신기반시설은 정보통신기반 보호법에 따라 제어·관리 시스템을 포함해 전체 시스템에 대한 정기적인 취약점 분석·평가를 수행해야 한다. 김신규 국가보안기술연구소 실장 은 이 내용에 대해 상세 설명하며 “제어시스템 취약점 분석·평가 항목은 계정관리와 서비스 가시화 및 불필요하거나 취약한 서비스 제거 혹은 보완, 패치관리. 네트워크 및 물리적 접근 통제, 보안위협 탐지와 복구 대응 등이 필요하다”고 밝혔다.

IoT 보안 내재화 필수

OT/ICS 보안의 기본 중 하나가 연결된 기기의 보안 내재화다. 특히 공격에 사용되는 IoT 기기에 대한 보안 내재화가 필요하다. 스마트 에너지‧팩토리‧홈, 커넥티드카 등 다양한 IoT 혁신 서비스가 등장하면서 이로 인한 OT/ICS 위협이 발생한다. 한국인터넷진흥원(KISA)은 IoT 기기의 설계‧제조 단계부터 보안을 내재화 할 수 있는 IoT보안인증제를 시행하고 있다.

KISA의 이 제도는 IoT 기기와 모바일 앱에 대해 일정 수준 이상의 보안을 갖췄는지 시험하고 인증서를 발급해 주는 것이다. IoT 보안 테스트베드를 통해 보안이 내재화 된 IoT 제품과 서비스의 보안 취약점을 다시 점검하고 IoT 융합서비스 별 보안 테스트와 해킹 시연 환경을 구축한다.

한편 정부는 정보통신망법을 개정해 보안인증제도 운영 근거를 마련하고 정보보호 지침과 권고대상, 침해사고 시 대응, 기기 등의 인증 범위를 명확히 한다. 또 인증 유효기간을 연장하고 현재 무료로 진행하는 인증을 유료로 전환할 계획이다.

보안인증 기준도 개선된다. 글로벌 보안인증 기준을 추가해 해외 상호인증을 진행하며, 유사한 기준을 통폐합하며, 기밀성‧무결성, 가용성을 분석해 등급을 산정하도록 개선한다.

IoT 보안과 관련, 최근 가장 뜨거운 관심을 받고 있는 분야가 영상보안이다. CCTV를 해킹해 중요한 사건‧사고 증거를 삭제하거나 사생활을 탈취하는 사고가 발생한다. 김건우 한국전자통신연구원 실장은 영상보안 솔루션이 AI기술을 이용해 민감한 사생활과 개인정보를 마스킹하거나 암호화 혹은 삭제하고 필요 시 복구하는 기술에 대해 자세히 소개했다.

HW‧SW 취약점 제거 기술도 발전

소프트웨어에 내재된 보안 취약성을 설계단계부터 제거하는 것도 필요하다. 소프트웨어 취약점은 공급망 공격에도 사용되기 때문에 시큐어코딩을 적용하는 것이 중요하다. 임재덕 한국전자통신연구원 책임은 각 산업별 표준에 따른 소프트웨어 보안과 취약점 탐지 방법, SPR 기반 접근제어를 통한 보안 모델과 보안정책 위반 여부 탐지 등에 대해 설명했다.

임 책임은 “5G 등 초연결 환경에서 미션 크리티컬 서비스용 디바이스가 증가하면서 정형기법을 이용해 개발 및 검증 단계에서 보안이 재내화되도록 해야 한다”고 주장했다.

운영중인 시스템과 소프트웨어에서 버그를 찾아내는 기술도 필요하다. 이병영 서울대학교 교수는 새로운 퍼징 테스트 모델을 소개, 커널 퍼징과 CPU RTL 퍼징 등 2개의 성공적인 연구에 대해 소개했다. 이 교수는 “퍼징 테스트는 버그를 찾는데 매우 유용한 도구로, 타깃 시스템의 버그를 찾는 전문 노하우를 연구하고 적용하는 것이 필요하다”고 말했다.

보안이 적용된 플랫폼도 필요한 일이다. 국가보안기술연구소는 보안이 강화된 ‘구름 플랫폼’을 자체 개발하고 공공기관 등에서 사용할 수 있도록 하고 있다. 공공기고나의 업무와 5G 서비스, VPN, 윈도우OS 대체 등으로 사용되고 있다. 보안 기술 기업들이 구름 OS 상에서 안전한 서비스를 제공하고 있다.

구름OS는 컨피덴셜 컴퓨팅 기술을 이용하되, 별도의 프로그램 없이 안전하게 암호화 할 수 있게 해 더 편하게 안전한 암호화를 사용할 수 있게 한다.

손기욱 국가보안기술연구소 본부장은 “코로나19로 전 산업군에서 디지털화가 가속화되고, 일반 업무는 물론 중요한 인프라까지 원격지에서 서비스하게 되면서 이를 보호하는 기술이 요구된다. 그러나 이와 관련된 기술은 충분히 준비되지 않았으며, 관련 연구도 해외에 비해 초기 단계”라며 “생태계를 움직이는 플랫폼에 보안을 내재화 한 기술이 필요하다. 보다 안전한 사회, 더 나은 삶을 위해 자체 개발한 플랫폼이 널리 사용되기를 바란다”고 말했다.

AI 이용 지능형 OT 보안 제안

OT/ICS 가용성을 해치지 않으며서 보안을 강화할 수 있는 방안으로 AI를 이용하는 방법이 제안된다. OT 네트워크 패킷을 미러링 해 AI 분석으로 이상행위를 탐지하는 방식이다. OT 설비에 연결된 자산을 파악하고, 외부와의 불법 통신을 감지하는 방식이다.

OT/ICS는 미리 정해진 명령만을 수행하기 때문에 화이트리스트 방식의 보안 제어가 가능하며, AI로 학습시키기도 수월한 편이다. 그러나 OT의 각 설비마다 사용하는 프로토콜이 달라 개별 프로토콜을 지원하는 것이 관건이다. OT 보안 전문 기업들은 주요 OT 프로토콜을 지원햐며, AI 기반 분석으로 보호할 수 있다고 주장한다.

이번 워크숍에서 온시큐리티, 다크트레이스 파트너인 벨로크, 엔시큐어 등이 관련 기술에 대해 상세히 소개했다. 퓨쳐시스템은 AI 기반 자동화된 위협 헌팅 플랫폼으로 차세대 보안운영센터(SOC)를 지원한다.

포티넷은 OT 인프라와 OT SOC 통합관제 모델을 소개하며 세그멘테이션과 접근제어, AI를 이용한 이상행위 탐지 등으로 기존 OT망을 보호하고, 신규망은 시큐어 SD-브랜치 등을 이용해 보안을 내재화하며, 통합보안관제를 이용해 신규망과 기존망의 보안운영을 통합해야 한다고 주장했다.

안전한 공급망 보안 기술 제안

OT/ICS는 가용성이 매우 중요하기 때문에 기존의 설정을 변경하지 않고 운영하기를 바란다. 그래서 패치 업데이트 조차 신중한 상황으로, 수십년 전 발견된 취약점까지 제거되지 않은 채 운영되는 사례가 허다하다. 이러한 상황을 노리는 취약점 공격과 공급망 공격이 성행하고 있다.

엄익채 전남대 교수는 미국의 원전 공급망 보안에 대한 규제와 연구 현황을 소개하며 국내에서도 관련 연구가 더 활성화 돼야 한다고 주장했다. 미국은 원전 뿐 아니라 국토안보부(DHS), MITRE, 국방부(DoD), 에너지부(DoE) 등에서 공급망 보안 연구를 진행하고 있으며, AI를 이용해 이상행위를 제어하고, 사이버 보안 성숙도 모델 인증과 소프트웨어 자재명세(SBoM)을 적용해 소프트웨어 컴포넌트 단위 무결성을 확보하고자 노력한다고 전했다.

공급망 보안을 위해 여러 기술이 제안되는데, 쿤텍의 경우 디지털 트윈과 바이너리 분석 기능을 이용한 방안을 제안한다. 디지털 트윈으로 보호해야 할 자산을 복제하고, 바이너리 기반 분석으로 알려진 취약점과 공격 가능성을 탐지하며, 취약점 패치를 적용해 발생 가능한 문제를 점검하고 수정 권장 사항을 알려준다. 복제된 환경에서 테스트‧점검하기 때문에 운영 중 시스템에 영향을 주지 않고 실시간 탐지가 가능하며, 패치 업데이트 시 발생할 수 있는 문제를 미리 점검할 수 있다.

일방향 망연계 전문기업인 앤앤에스피는 비 보안영역에서 보안 영역으로 패치 등 신뢰할 수 있는 소프트웨어를 안전하게 전송하는 기술을 이용해 공급망 보안을 해결한다. 앤앤에스피는 이외에도 AI를 이용해 OT/ICS 네트워크의 이상행위를 탐지하는 기술, OT/ICS 엔드포인트 보안 솔루션과 OT망통합보안관제 솔루션 등을 소개했다.

OT/ICS 보안을 위해 내부에서 외부로의 데이터 전송만 가능하게 하고 외부에서 내부로 통신을 차단해 외부 위협이 내부로 전해지지 않도록 하는 일방향 망연계가 필수다. 그러나 OT/ICS를 운영하다보면 외부에서 내부로 데이터 전송이 반드시 필요한 경우가 생긴다.

OT/ICS는 다양한 망이 공존하기 때문에 운영을 위해 보안 수준이 다른 망 간 데이터 전송이 수시로 일어날 수 있다. 일방향 망연계를 이용해 보안 수준이 낮은 망에서 높은 망으로 데이터를 전송하게 된다면 통제서버가 보안수준이 낮은 망에 존재하는 상황이 발생해 일방향 망연계의 취지를 무색하게 만들 수 있다.

휴네시온은 양일방향 망연계 기술을 이용해 보안 수준이 높은 망에 통제서버를 두고 운영할 수 있도록 해 에어갭 구간의 보안을 유지할 수 있도록 한다.

데이터 보호 위한 새로운 기술 ‘주목’

모든 보안 문제에서 가장 중요한 데이터 보안과 최근 주목되는 블록체인 기술에 대한 보안 기술도 깊이있게 다뤄지는 자리가 마련됐다. 한동국 국민대 교수의 ‘부채널 공격 대응이 용이한 경량암호 PIPO 개발 및 응용’, 이종협 가천대 교수의 ‘DeFi와 보안’, 김명선 가천대 교수의 ‘블록체인에서의 안전하고 효율적인 연산 검증 기술’ 등이 제안됐다.

이옥연 국민대 정보보안 암호수학과 교수가 발표한 ‘5G+ 기반 CPS를 위한 KCMVP 암호화 퀀텀 암호의 도입 전략’도 관심이 모였다. 이옥연 교수와 연구팀은 EYL의 양자난수엔트로피와 연동해 개발한 양자난수 엔트로피 기반 HW 암호모듈을 2019년 미국 정부의 양자난수생성기술 보안칩 보안인증 획득 제품과 연동하는데 성공, 전력망, 정수장, 드론, 스마트시티, 스마트팩토리 등에 적용하고 있다.

이옥연 교수는 “OT/ICS와 IoT 기기는 기존 시스템을 중단시키거나 변경하지 않고, 영향을 미치지 않으면서 보호해야 하기 때문에 암호 모듈을 적용하는 것이 쉽지 않다. 예를 들어 드론의 경우 보안칩으로 인해 무게가 증가하거나 전력 소모량이 높아지면 안된다는 문제가 있다”며 “양자컴퓨팅 등 최적의 암호 제품과 정보보안 제품을 국내 자체 기술로 설계해 CPS·5G·드론 및 자율이동체 등에 적용될 수 있는 지원 정책이 필요하다. 더불어 공격자보다 뛰어난 정보보안 및 암호 기술 가진 인력을 양성해야 한다”고 말했다.

공공기관이나 국가 주요 기관에서 사용하는 암호화는 암호모듈 검증 제도(KCMVP)가 있다. 김기문 한국인터넷진흥원 책임은 이 내용을 설명하며 암호모듈 검증 지원 사업을 소개했다. KISA는 암호모듈 검증 시험평가 컨설팅과 암호모듈 검증 전문 교육 등을 지원한다.

데이터센터 OT 영역 보호 방안 시급

이번 행사에서 데이터센터 보안과 관련한 주제가 등장해 주목받았다. 데이터센터 보안은 IT 영역에서 주로 검토해 온 사항인데, CPS 분야까지 확장되고 있어 주목받았다. 실제로 세계적인 데이터센터 기업이 OT 영역에 보안 솔루션 도입을 위해 POC를 진행하던 중 OT 기기가 랜섬웨어에 감염돼 정보를 유출하려는 정황을 포착한 사례가 있었다.

포어스카우트 조사에 따르면 데이터센터와 스마트빌딩에서 가장 위험한 디바이스가 텔넷 등으로 외부와 연결되는 물리적인 접근 통제 시설이며, 공조 설비, IP 카메라가 그 뒤를 이었다.

박진성 쿠도커뮤니케이션 전무는 “최근 클라우드와 인터넷 사용량이 폭증하고 기업의 디지털 트랜스포메이션이 가속화되면서 하이퍼스케일 데이터센터 확장 붐이 불고 있는데, 이 때 간과해서는 안 되는 것이 전력, 냉방 및 공조, IoT 센서 네트워크, 물리보안 네트워크 등 스마트빌딩 분야에서 다루던 OT/ICS 보안 영역”이라고 설명했다.

그는 “세계적인 클라우드 기업들은 데이터센터의 정확한 위치를 공개하지 않는데, 그 이유 중 하나가 물리적 침입이나 보안 공격에 대비하기 위해”라며 “자산의 형태와 관계없이 모든 곳에 사이버 보안이 적용돼야 한다. 국민들의 안전 및 국가안보와 관련된 발전‧제어시설 및 중요 인프라 뿐 아니라 데이터센터까지 OT/ICS 보안을 고려하는 것이 반드시 필요하다”고 강조했다.

중요 인프라의 전력 설비, 특히 말단 장치에 대한 보안 대채이 필요하다는 주장도 나왔다. 이순우 한국전기연구원 박사는 말단 장치의 통신은 단순·반복되는 작업에 최적화 돼 있으며, 표준화와 무인화, 광역화로 확장되고 있어 보안 문제를 해결해야 한다는 요구가 있다. 한국전기연구원은 말단전력 통신 장치와 보안 모듈을 개발하는데 집중하고 있다.