[데이터넷] OT/ICS가 사이버 범죄자의 ‘단골’이 됐다. 공격 수익성이 높고 보안 취약점이 제대로 관리되지 않는 OT/ICS를 범죄자들이 놓칠리 없다. 이 문제의 해답은 ‘보안 내재화’이지만, 모든 프로세스를 바꿔야 하기 때문에 쉽게 해결할 수 없다.

김승주 고려대 교수는 ‘제 9회 CPS 보안워크숍’에서 “운영 단계에서 침투테스트와 패치로 보안문제를 해결하는 것은 근본적인 해법이 될 수 없다”며 “서비스의 요구사항을 정의하고 이를 반영해 설계하고 운영하는 모든 단계에서 보안을 점검하는 보안 내재화가 필요하다”고 강조했다.

보안 내재화는 서비스 기획부터 설계, 개발, 구축, 운영 모든 단계에서 보안 테스트를 함으로써 서비스 전체 라이프사이클을 안전하게 보호하는 것을 말한다. 가장 유명한 보안 내재화 성공사례로 마이크로소프트의 SDL을 들 수 있는데, MS는 SDL을 적용한 윈도우 비스타에서 발견된 취약점이 이전 버전에 비해 45% 줄어들었다고 밝힌 바 있으며, 이후 발표한 제품에서 취약점이 현저히줄어드는 성과를 내고 있다고 강조한다.

보안 내재화의 첫 단계이며 가장 중요한 단계는 요구사항 분석이다. 해당 서비스가 어떤 성격을 갖고 있고 공격자가 어떻게 공격해 수익을 얻을 것이며, 어떤 방법으로 막을 수 있을지 정확하게 분석해야 하기 때문이다. 그래서 서비스에 대한 전문성이 필요한데, 예를 들어 스마트팩토리라면 해당하는 제조 공정과 산업 동향, 해킹 동향에 대해 깊이 알고 있어야 기획 단계부터 보안 체계를 만들어 갈 수 있다.

김승주 교수는 “융합환경이 발전할수록 해당 분야의 전문성을 가진 보안 엔지니어가 필요하다. 개발자들은 자신이 개발한 서비스가 얼마나 안전한지 알지 못하며, 보안 분석가들은 해당 도메인에 대한 전문성이 없다”며 “전문성 있는 보안 엔지니어 육성과 보안 내재화 전략을 채택한 융합 서비스 개발이 필수”라고 강조했다.

상시 보안 테스트로 융합서비스 보호

OT 보안의 중요성에 대해 이의를 제기할 사람은 아무도 없다. 5G 상용화로 클라우드·IoT가 스마트 혁신을 한층 가속화시키면서 OT의 외부 연결성이 높아졌기 때문이다. 그래서 OT 운영자는 새로운 혁신 환경에서 보호해야 할 자산을 파악하고, 보안위협 식별 체계를 만들고, 보안 요구사항을 도출하며, 제어시스템 위험도를 판단해야 한다는 요구에 직면해있다.

이는 스마트팩토리, 스마트 에너지 등 제조·제어망에만 해당하는 이슈가 아니다. 자율주행차, 디지털 헬스케어, 지능형 교통시스템, 스마트그리드 등 일상생활의 필수 서비스에 대한 것이다. 처음부터 보안을 내재화 한 서비스를 개발하는 것이 필수지만, 보안 내재화의 수준이 충분히 성숙되지 않은 만큼, 실제 서비스 출시 전이나 운영 중 취약점을 점검하는 과정이 반드시 필요하다.

이에 정부는 ▲스마트팩토리(경기도) ▲자율주행차(전북 군산) ▲스마트시티(부산시) ▲디지털 헬스케어(경기도 원주시) ▲실감콘텐츠(경기도)에 대한 융합서비스 보안 리빙랩을 개설하고 관련 산업계에서 보안성을 검증할 수 있도록 지원한다.

무료로 이용할 수 있는 보안리빙랩은 기업·기관 뿐 아니라 연구소·학생 등도 참여할 수 있어 상용화된 기술 테스트 뿐 아니라 연구중인 기술도 테스트 해 볼 수 있다.

한편 정부는 융합서비스별 보안모델을 개발하고 가이드라인을 만들어 보급하며, 필요한 인증·시험·테스트 등을 지원하고 있으며, 산업별 글로벌 규제준수 지원을 통해 국내 기업의 수출 지원에도 적극 나서고 있다.

쉽지 않은 AI 기반 OT 보안

정부는 OT 보안을 위한 기술 개발에도 속도를 내고 있는데, 국가보안기술연구소는 산업제어시스템에 AI를 이용한 이상징후 탐지 기술을 고도화 할 수 있는 다양한 방법을 모색하고 있다. 특히 10월 22일까지 AI를 이용한 산업제어시스템 보안위협 탐지 경연대회 ‘HAICon 2021’을 진행하면서 AI 활용 OT 보안 기술과 아이디어를 모집한다.

대부분의 산업제어시스템은 단순·반복적인 명령을 수행하기 때문에 AI를 이용해 이상행위를 탐지하는 것이 쉽다고 알려지지만, 산업제어시스템의 이상행위 데이터가 충분하지 않고, 이를 실증할 수 있는 환경도 마땅하지 않아 이 기술 개발에 많은 어려움을 겪고 있다.

제어시스템 이상 탐지를 위해서는 현장에서 트래픽을 수집해 패킷 헤더 분석만으로 누구와 통신하는지, 언제·얼마나 통신하는지, 어떤 내용을 주고받는지 분석해야 한다. 그런데 제어시스템은 높은 가용성을 보장해야 하기 때문에 미러링으로 트래픽을 수집하는 것 조차 꺼리는 상황이고, 대량의 데이터를 수집한다 해도 의미 있는 이상행위가 거의 발견되지 않아 AI 분석을 위한 데이터 확보가 쉽지 않다.

윤정한 국가보안기술연구소 책임은 “적지만 소중한 비정상 데이터를 산업별로 확보하며, 이를 활용해 비정상 행위 탐지 기술을 만들고 안정화하고 있다. HAICon에 많은 분들이 참가해 관련 기술 개발을 위한 집단지성의 힘을 보여달라”고 당부했다.

사이트별 최적화 보안 기술 개발 ‘박차’

OT 네트워크 분석 기술이 없는 것은 아니다. 글로벌 OT·IT 보안 기업들이 가시성과 이상행위 분석 기술을 이용해 OT 네트워크를 보호하는 솔루션을 제공하고 있다. 그러나 제조설비마다 프로토콜이 다르고 현장마다 구성환경이 다르기 때문에 전문 솔루션을 사용한다 해서 100% 가시성을 확보하고 보안을 구현할 수 있는 것은 아니다.

그래서 각 산업별로, 각 사이트별로 최적화된 보안분석 기술 개발 노력이 전개되고 있으며, 국내 전문기업들도 기술 개발에 박차를 가하고 있다. 온시큐리티의 경우 네트워크 패킷을 수집해 패킷코드의 패턴을 분석하는 방법으로 이상행위를 찾아낸다. 화이트리스트와 인공지능 기술을 활용해 이상정황을 탐지하는 기술을 제공하며, 다른 기업들과의 협업을 통해 제어시스템 보호 기술을 고도화 할 계획을 갖고 있다.

엔엔에스피의 경우 EDR·NDR 기술을 OT에 최적화한 솔루션을 제공하면서 OT 엔드포인트와 네트워크를 보호한다. 시그니처와 룰·패턴분석, AI를 이용한 분석으로 다양한 산업환경의 보안 탐지를 지원한다. 엔엔에스피는 이외에도 OT를 위한 안전한 패치관리 시스템, 물리적 일방향 자료전달 시스템 등을 공급하면서 안전한 OT 운영을 지원한다.

물리적 일방향 자료전달 시스템은 보안수준이 다른 망 간 자료를 전달할 때 물리적으로 한 쪽으로만 통신이 되도록 하는 시스템이다. 보안망의 운영 상태를 모니터링하고 관리하기 위해 보안수준이 높은 망에서 낮은 망으로 데이터를 전달할 수 있지만, 낮은 망에서 높은 망으로 통신은 물리적으로 단절시킨다.

보안망 보안패치를 위해 인터넷 망에서 보안망으로 자료를 전달할 수도 있는데, 이 때 패치의 무결성을 확인해야 하며, 보안망에서 인터넷망으로 통신을 단절시켜 패치에 악성코드가 있다 해도 외부와 불법 통신을 차단하고 중요 데이터의 유출을 원천적으로 제어한다.

때에 따라 이 두 구성을 함께 적용해야 하는 경우도 있다. 양일방향 시스템이 그 예인데, 어떤 경우라도 일방향 통신만을 할 수 있도록 해 추가 공격이나 감염, 데이터 유출을 막아야 한다.

휴네시온은 일방향 자료전송과 양일방향 자료전송 시스템을 지원해 보안수준이 다른 망 사이에도 안전한 자료전송과 운영이 가능하도록 한다.

디지털 트윈 활용 사이버 훈련 진행

가장 완벽한 보안은 침해당할 가능성을 제거하는 것이다. 이를 현실에 구현하기는 어렵기 때문에 정기적·수시로 취약점을 점검·제거하며, 모의해킹을 통해 제거되지 않은 취약점을 찾는 것이 필요하다. 나아가 공격자 관점에서 공격해 보고, 이를 방어할 수 있는 능력을 확인하는 훈련도 필요하다. 운영중인 제어시스템에 직접 공격을 할 수 없기 때문에 실제와 동일한 가상 훈련장을 만들어 훈련하는 것도 필요하다.

정부는 기반시설 보안을 위한 사이버 훈련장을 설치, 운영하고 있으며, 전력 정수, 철도, 도로, 원자력, 항공 기반시설에 대한 훈련을 진행하고 있다. 이를 차세대 환경으로 진화시켜 클라우드로 확장되는 융합환경에서의 공격 가능성을 낮추고자 한다.

장문수 국가보안기술연구소 선임은 “OT 분야를 위한 차세대 사이버 훈련을 위해 동적·정적 스토리라인을 만들고 실제 공격사례와 동일한 상황을 만들어 훈련하는 방법을 적용하고 있다. OT는 비정상 트래픽이 적기 때문에 적절한 비중의 비정상 트래픽을 적용해 훈련하며, 훈련 후 기능과 성능을 평가하고 부족한 부분을 보완해나가야 한다”고 말했다.

한편 국보연은 10월 26일과 27일 사이버 공격 방어대회를 열고 사이버 집단면역 형성에 나설 계획이다.

OT 사이버 보안 훈련장을 물리적으로 똑같이 만들 때 비용이 많이 들고 시설의 변화를 유연하게 적용하지 못한다는 문제가 있어서 최근에는 소프트웨어를 이용한 가상환경에서 구축하는 시도가 전개되고 있다.

나온웍스의 경우 가상화 기반 엣지 클라우드 환경에 사이버 훈련장을 구축했다. 다양한 환경을 모사한 컨테이너로 구현해 여러 환경에서 쉽게 사용할 수 있으며, 실제 OT 망 내에 구축된 설비를 그대로 모사해 실제와 같은 훈련을 할 수 있도록 지원한다. 다만 특정 설비 제조사 기기는 해당 제조사와 협의가 있어야 한다.

디지털 트윈 기능으로 사이버 훈련장을 구성하는 방법도 있다. 디지털 트윈 시각화 기술 기업 스탠스는 산업 현장을 3D 기반 디지털 트윈 환경으로 구축해 다양한 훈련을 진행할 수 있게 한다. 로컬·원격 훈련이 모두 가능하며, 돌발상황을 관리자가 설정하고 운영하는 것도 가능하다.

쿤텍은 사이벨리움의 디지털 트윈 기술을 이용해 보안 취약점 문제를 해결한다. OT 소프트웨어 보안 취약점을 해결하기 위해 제안되는 이 기술은 임베디드 소프트웨어 구성요소의 위험상태를 감지하며, 바이너리 파일도 분석할 수 있다. 디지털 트윈을 이용해 실시간 취약점을 분석할 수 있으며, 다크웹, 오픈소스 커뮤니티, 고객 커스텀 정보 등을 연계해 검증 가능하다.