사이버엑스·리펌랩스 등 기술 적용한 ‘애저 디펜더 포 IoT’ 제공
[데이터넷] “OT 보안도 제로 트러스트 원칙을 갖고 접근해야 한다.”
신호철 한국마이크로소프트 보안사업 총괄 매니저는 이렇게 말하며 “OT 환경도 클라우드와 디지털 트랜스포메이션이 진행되면서 기존의 경계기반 보안이 허물어지고 있다. 제로 트러스트 원칙을 기반으로 한 새로운 보안 전략이 OT에도 필요하다”고 강조했다.
콜로니얼 파이프라인 랜섬웨어 피해로 OT 타깃 공격에 대한 경각심이 한층 고조되고 있다. 우리나라 정부나 기업·기관도 OT 보안이 시급하다는 인식을 갖고 있으며, 대안 마련에 분주히 나서고 있다.
OT 보안 전문가 찾기 어려워
그러나 OT는 가용성을 중시하는 특수성 때문에 보안을 적용하기 쉽지 않다.
사이버엑스 ‘2020년 글로벌 IoT·ICS 위험 보고서’에 따르면 OT 사이트의 71%가 지원되지 않는 오래된 윈도우 버전을 실행하고 있으며, 46%는 암호를 평문 텍스트로 공유하고 있으며, 54%는 RDP·SSH·VNC 등 취약한 원격접속 프로토콜을 사용한다. 더불어 27%는 인터넷에 직접 연결돼 쉽게 공격당할 수 있다.
OT는 가용성을 위해 기존 환경을 변경하거나 기존 솔루션을 교체하는 것을 극히 꺼린다. 그래서 패치를 잘 하지 않고 지원 종료된 OS·애플리케이션과 도입한 지 20년 이상 된 설비도 처음 설치한 구성 그대로 사용한다. 공격자는 admin/1234와 같은 단순한 계정정보나 오래 전 탈취한 관리자 계정으로 OT 시스템에 침투할 수 있다.
이러한 문제를 해결하기 위해서는 사이버 보안에 대한 전문성을 가진 조직이 OT 보안조직에 투입돼야 하지만, OT 보단 전담조직이 없으며, 전문가도 많지 않아 인력 확보도 어려운 상황이다.
OT 보안 기술을 찾는 것도 쉬운 일은 아닌데, OT의 독자적인 프로토콜과 OS·애플리케이션을 지원하기 위해 많은 시간과 비용을 투자해야 OT 보안 솔루션을 개발할 수 있기 때문이다. 또 산업별·각 현장별로 다른 기술과 환경을 갖고 있기 때문에 다양한 산업·환경에서 OT 보안을 수행해 온 전문성을 갖춰야 한다는 점도 OT 보안에 대한 장벽을 높이는 요인이 된다.
더불어 IT-OT 융합으로 발전하는 환경에서 IT-OT 보안위협을 통합·연계하고 분석·대응하는 전문성이 있어야 한다는 것도 OT 보안의 현실적인 문제다.
마이크로소프트는 OT 보안에서 고민하는 기존의 문제를 전면적으로 다시 생각하고 있다. 최근 OT 환경은 클라우드·AI를 접목하고 IT 기술을 적극 받아들이면서 진화하고 있다. IT와 OT를 노리는 공격은 근본적으로 다르지 않은 기술 기반과 전략을 갖고 있으며, IT든 OT든 상관없이 모든 접근을 의심하고 확인해 확실한 요청만을 허가하는 제로 트러스트 원칙으로 대응해야 한다는 설명이다.
신호철 매니저는 “마이크로소프트는 제로 트러스트 원칙에따라 승인된 장치와 프로세스만을 허가하고, SIEM·SOAR와 연계해 지속적으로 모니터링하며, 다단계 인증(MFA)으로 위험성이 높은 접속 요청을 재확인한다. 네트워크 세그멘테이션으로 혹시 모를 침해가 다른 서비스로 확장되지 못하게 하며, 감염된 시스템을 확실하게 격리해 침해가 확산되는 것을 차단한다”며 “제로 트러스트 기반 OT 보안 원칙은 마이크로소프트를 다른 경쟁사와 차별화 하는 요소”라고 강조했다.
단일 환경서 IT-OT 통합 관리 지원
마이크로소프는 지난해 OT 보안 전문기업 사이버엑스(CyberX)를 인수하고 ‘애저 디펜더 포 IoT(Azure Defender for IoT)’ 솔루션을 출시했다. 사이버엑스는 오래 전 부터 마이크로소프트 데이터센터 보호를 위한 기술을 제공하면서 협력해 왔으며, 마이크로소프트 보안 사업에 편입되면서 OT·IoT 보안 포트폴리오를 완성하는데 큰 역할을 하고 있다.
‘애저 디펜더 포 IoT’는 OT 네트워크에 연결된 모든 기기를 가시화하고, 네트워크 상의 이상행위를 탐지한다. AI·머신러닝을 이용해 지능적으로 이상행위를 탐지하며, 사용자 및 개체 행동 분석(UEBA)을 적용해 내부자에 의한 위협도 탐지한다.
이를 애저에서 통합·분석하고, ‘애저 센티넬(Azure Sentinel)’ 및 써드파티 SIEM·SOAR와 연동해 전체 공격을 파악하고 대응할 수 있게 한다. 클라우드 연결이 제한된 폐쇄망환경에서는 애저의 기술을 그대로 온프레미스로 구축할 수 있다.
또 마이크로소프트는 펌웨어 보안 기업 리펌랩스(ReFirm Labs)를 인수하며 IoT 보안도 강화하고 있다. 리펌랩스는 수천가지 기기의 유형을 분석하고 패치되지 않은 취약점과 안전하지 않은 비밀번호 등을 파악해 조치할 수 있게 한다. 리펌랩스는 ‘애저 디펜더 포 IoT’ 제품군에 통합돼 OT·IoT 보안을 한층 강화할 수 있다.
마이크로소프트는 OT 쓰렛헌팅 조직인 ‘섹션52(Section 52)’를 운영, OT 타깃 공격을 전문적으로 분석하고 대응 방안을 안내한다. 이를 IT 보안과 연계해 공격그룹의 특성을 파악하고 신속하고 정확하게 대응책을 마련해 배포할 수 있다. 또한 업계 특수한 컴플라이언스와 업계의 보안위협 트렌드, 해당 기업이 직면한 문제까지 지능적으로 식별하고 대응할 수 있다.
마이크로소프트는 OT 보안 기술을 스마트팩토리, 에너지·발전, 제약·의료 등 OT 보안이 필요한 다양한 산업군과 데이터센터·스마트빌딩 등의 분야에도 제공할 계획이다.
신호철 매니저는 “전 세계적으로 OT 보안에 대한 인식이 매우 높아지고 있으며, 강력한 제조·디지털 경쟁력을 가진 우리나라도 마찬가지다. 올해 에너지·제조사 등 여러 산업군에서 고객을 확보하면서 국내 OT 시장을 장악하겠다”라며 “국내에도 여러 OT 보안 경쟁사가 있지만, IT-OT에 대한 완벽하게 통합된 엔드 투 엔드 기술을 제공하는 기업은 마이크로소프트 뿐이다. 우리의 경쟁력을 정확하게 알려 시장 리더로서의 위치를 확고히 할 것”이라고 말했다.
