[데이터넷] OT 보안 시장이 뜨겁게 달아오르면서 국내 기업들의 진출도 이어지고 있다. 국내 기업들은 독자 개발한 OT 보안 전문성을 앞세워 시장을 공략한다. 

보안스위치 기업 한드림넷은 산업용 보안스위치 ‘SG5000시리즈’로 OT 보안 시장에서 눈에 띄는 성과를 보이고 있다. 화이트리스트 정책 기능을 기반으로 한 화이트리스트 보안스위치는 내부 사용자 또는 단말의 권한에 따라 통신 경로를 제한해 허용된 경로 외의 모든 통신을 차단하고 보안위협을 예방할 수 있다.

현재 OT 네트워크는 사용자·서비스 프로토콜에 따라 네트워크 경로를 제어할 수 없기 때문에 정상 사용자 권한을 탈취해 침입하는 공격자를 막을 수 없다. 화이트리스트 보안스위치는 사용자와 업무 형태에 따라 접근권한을 통제하고 통신 가능한 서비스 프로토콜을 규제해 내부 사용자로 인한 정보유출과 보안위협을 최소화할 수 있다.

이 솔루션은 산업용 이더넷 구간 암호화로 제어시스템 운영정보, 제어명령 등 모든 전송 데이터의 위변조를 방지하고, 데이터 기밀성과 무결성을 보장할 수 있으며, 화이트리스트 기반 트래픽 제어로 네트워크를 용도에 따라 세분화·접근제어 한다.

화이트리스트 보안스위치를 도입한 한국수자원공사는 HMI에서 각 스위치 운영 상태를 실시간 확인해 편리하게 보안 침해 여부를 확인하고 관리할 수 있게 됐다. 침해위협이 발생할 경우 탐지·자동 대응을 지원해 문인력 도움 없이 현장 운영인력으로만 기본 관제가 가능하다.

한국수자원공사는 한드림넷 보안스위치를 공사가 관리하는 기반시설에 구축해 보안성을 한층 높였으며, 원자력, 가스, 전력, 교통, 건설, 환경 등 다양한 국가기반 시설에 적용할 수 있을 것이라고 예상했다.

일방향·양일방향 전송 시스템으로 폐쇄망 보호

일방향 전송 장비는 보안 수준이 다른 망 간 통신 시 데이터를 한 방향으로만 흐르게 하는 장비를 말한다. 예를 들어 폐쇄망에서 운영되는 설비의 이벤트 데이터 중앙관리시스템에서 관리할 때, 폐쇄망 내에서 외부로 데이터 전송은 가능하지만 외부에서 내부로 전송은 불가능하게 했다. 이를 통해 설비에 대한 장애 예측이나 불량률 측정 등 여러 데이터 활용이 가능하면서도 외부의 침입은 불가능하게 한다.

그런데 생산망·제어망 운영 시 보안수준이 낮은 시스템에서 높은 시스템으로 데이터를 전송해야하는 일이 발생한다. OT망과 업무망의 연계가 확대되면서 이러한 상황이 더 자주 발생하게 되며, 이때 일방향 통신으로 외부 침입 가능성을 제거해야 한다. 휴네시온은 보안 수준이 높은 망에서 낮은 망으로, 또 낮은 망에서 높은 망으로 통신이 가능하도록 한 양일방향 망연계 솔루션 ‘아이원넷 DX’를 제공한다.

아이원넷 DX’는 물리적 매체를 적용한 일방향 전송으로, 보안수준을 높이면서 망간 양방향 데이터 연계 서비스를 제공한다. 내부에서 외부, 외부에서 내부로 물리적 단방향 채널을 이중경로로 분리해 제공한다. 총 4대의 일방향 전송서버가 1세트로 구성돼 있다. 휴네시온은 ‘아이원넷 DD’, ‘아이원넷 DX’ 모두 CC인증을 획득했다.

망연계 솔루션 선두주자인 휴네시온은 일방향 망연계 솔루션 ‘아이원넷 DD’로 OT 보안 시장을 공략하고 있다. ‘아이원넷 DD’는 물리적 매체를 적용한 일방향·단방향 전송시스템으로 연계대상 서버 간 상호작 없이 일방향 전송만 수행한다. HTTP, 데이터베이스, SNMP(v1/v2 Trap), Syslog 등 통신 프로토콜과 PC(UA), OPC(DA), 모드버스 등 산업용 프로토콜까지 다양한 세부 프로토콜 연계를 지원한다.

또한 제어망과 업무망 간 이기종 DBMS 연계가 가능하다. 애플리케이션별 프록시 제작 방식을 적용해 애플리케이션 기능 추가 및 변경 시 유연한 확장성을 제공하는 것도 강점이다. 최근 제어시스템 보안관제구성에 있어 대용량 네트워크 패킷에 대한 일방향 연동이 가능해 제어시스템 관제구성을 위한 일방향 구성에서 용이하다.

이와 함께 휴네시온은 네트워크 트래픽 수집·분석솔루션 ‘아이스펙터’로 망분리 현황에 대한 점검을 원한다. 아이스펙터는 휴대가 가능한 소형 장비로, 네트워크 성능과 침해 여부를 모니터링하는 시스템이다. 고가의 모니터링 시스템 대신 합리적인 가격으로 네트워크 성능을 검사할 수 있으며, 이동이 가능하기 때문에 한 대의 시스템으로 여러 네트워크를 관리할 수 있다.

안전한 패치 업데이트 시스템 주목

국내 일방향 전송장비 시장을 개척해 온 앤앤에스피는 ‘엔넷다이오드’ 솔루션을 국내 주요 OT/ICS에 급하면서 시장 우위를 다지고 있다. 이 솔루션은 국가·공공기관 제어시스템 보안 가이드라인을 준수하며, 송신장비에서 수신장비 상태를 인지해 데이터 전송에 대한 신뢰성을 제공한다.

앤앤에스피 역시 양일방향 전송장비 ‘엔넷다이오드 듀얼’을 개발·공급하고 있으며, 네트워크 포트 이중화 시스템 ‘엔넷NPR’, 일방향 전송기술을 이용한 치 솔루션 ‘엔넷트러스트’, 지능형 이상징후 예측 진단 솔루션 ‘엔넷NDR’ 등 OT 보안 솔루션을 제공한다.

이 중 엔넷트러스트는 국가정보원이 망분리 환경에서 패치 문제를 해소할 수 있도록 패치 업데이트를 위한 솔루션 도입을 승인하면서 주목받고 있다. 엔넷트러스트는 패치·업데이트 정보를 비보안영역에서 보안 영역으로 단방향으로 전송하며, 정보수집 영역, 클린PC 영역, 정보전달 영역으로 분리돼 구성된다. 정보 집영역은 외부망으로부터 패치·업데이트 파일을 수하고, 클린PC영역은 2개 이상의 멀티백신을 사용해 악성코드를 검사하며, 정보전달영역은 검증된 패치·업데이트 파일을 내부망으로 자동 전달한다.

국정원이 패치 업데이트를 위한 일방향 전송장치를승인한 이유는 패치되지 않은 취약점을 이용하는 공격의 위험성 때문이다. 폐쇄망은 수동으로 패치 업데이트를 했는데, 이로 인해 관리업무가 늘어나고, 실수·고의에 의한 패치 오류, 감염된 파일 업로드 등의 피해가 발생할 가능성이 있었다.

앤앤에스피의 망분리 패치 시스템은 멀티백신으로 패치 악성코드를 검사해 무결성을 인정받은 패치만 적용하며, 수동으로 진행하는 작업을 상당부분 자동화해 수작업에 의한 오류를 제거한다.

OT 패치 시스템으로 소프트캠프의 ‘게이트 엑스캐너’도 주목받고 있다. 게이트 액스캐너는 패치 파일의 결성을 검증한 후 광디스크로 제작해 행정안전부의 주요 정보통신 기반시설 보호지침과 산업통상자원부 정보보호시스템 관리운용망 보안대책 등 내부망과 제어망에 대한 보안 관련 규정을 준수할 수 있다.

소프트캠프는 엔키와 합작법인 ‘엑스스캔’을 설립하고 소프트웨어 공급망 보안에도 나선다. 엑스스캔은 패치파일, 외부에서 공급받은 소프트웨어 등을 이전 버전과 비교해 평소와 다르게 변경폭이 크거나 공격으로 이어질 수 요소가 있는지 점검하는 솔루션이다. 이상정황이 발견됐을 때 소프트웨어를 공급한 기에 상세 내용을 확인하는 한편, 엔키의 보안 전문가들이 분석해 공급망 공격에 이용될 소지가 있는지 확인한다.

소프트캠프는 엑스스캔 서비스를 게이트 엑스캐너에도 적용해 안전한 공급망 운영이 가능토록 할 계획이다.