[데이터넷] 운영기술(OT) 및 정보기술(IT) 시스템의 상호 연결이 증가하면서 운영이나 관리 측면의 효율화가 향상되기도 하지만 사이버 보안 위협이 한층 커진 것도 현실이다. 이에 기존 네트워크 인프라를 활용해 중요 자산을 보호하고 안정적인 운영을 보장할 수 있는 최선의 네트워크 방어선 구축을 위한 심층 방어 개념이 중요해지고 있다. 산업용 통신 및 네트워킹 선도기업 모싸(MOXA)에서 제시하는 산업용 사이버 보안을 강화시키는 심층 방어 체계 구축을 살핀다.
운영기술(OT) 및 정보기술(IT) 시스템의 상호 연결이 증가하면서 운영 효율성 향상은 물론 비즈니스 모델의 진화 방식에 영향을 미치고 있다. 예를 들면 송유관을 따라 배치된 SCADA 네트워크는 과금 및 가격책정 시스템에 필수인 원유 생산량 데이터를 수집할 수 있다. 데이터 수집이 증가하면서 기업들은 석유 생산량뿐 아니라 예상 수익까지 보다 정확하게 예측할 수 있게 됐다.
그러나 상호 연결된 시스템이 이익만 가져오는 것은 아니라는 점에 유의해야 한다. OT와 IT 시스템 통합이 가속화되면서 뉴스 헤드라인이나 논문 등에서 IT 시스템의 침해가 OT 시스템에 얼마나 부정적인 영향을 미칠 수 있는지에 대한 내용이 자주 언급되는 것을 볼 수 있다. 이러한 통합 시스템의 단점은 OT 시스템에 사이버 보안 위협이 유입될 가능성이 크게 증가한다는 것이다.
IDC 대만의 교육용 비디오 ‘보안 이야기 에피소드 3(Security Talks Episode 3)’에 따르면 복합적인 사이버 보안 문제를 더욱 어렵게 만드는 것은 점점 더 심각해지고 있는 랜섬웨어 공격 때문이다. 이러한 유형의 악성 프로그램은 윈도우의 취약점을 악용하고, 충분히 보호되지 않는 시스템을 공격한다.
OT 시스템에서 점점 더 유사한 사이버 보안 사고가 발생함에 따라 기업 책임자들과 규제기관들은 산업용 사이버 보안을 강화하면서도 기업들이 정상적인 기능을 유지할 수 있는 솔루션을 찾고 있다. 이에 기존 네트워크 인프라와 투자를 활용해 최선의 네트워크 방어선을 구축할 수 있는 심층 방어(Defense-in-Depth) 개념과 함께 OT 시스템을 추가로 보호할 수 있는 산업용 침입방지시스템(IPS)의 장점을 살펴본다.
보안 경계 개념
사이버 보안을 강화할 때 산업용 시스템이 다른 시스템과 데이터를 교환하는 방법과 IT 레벨 시스템을 연결하는 방법에 대해 이해하는 것이 중요하다. 가장 이상적인 시나리오는 트래픽이 다른 시스템을 통과할 때 인증 및 권한이 부여된 경우라도 해당 트래픽이 양호한 사이버 무결성을 가지고 있는지 확인할 수 있도록 각 시스템 간에 경계가 있어야 한다.
그러나 모든 시스템 사이에 경계를 구축하는 것은 상당한 비용이 소모되는 어려운 작업이며, 네트워크 통신 효율성에 악영향을 미칠 수 있기 때문에 비현실적인 경우가 많다. 따라서 OT 시스템을 서로 다른 디지털 단위와 구역으로 나누고, 경계를 구축해 비용과 허용 가능한 위험 수준 간의 적절한 균형을 찾는 것이 가장 좋다.
IEC 62443 사이버 보안 표준 위원회에서 권장하는 심층 방어 접근방식은 산업 전반에 걸쳐 널리 사용되고 있으며, 운용 요건을 충족시키기 위해 여러 보호 계층을 구축하는데 유용한 입증 사례들을 보유하고 있다. <그림 1>을 보면 사이버 보안 구축에서 가장 중요하게 고려되는 것은 중요 자산 및 운영임을 알 수 있다. 이러한 요소들은 기업에서 중요한 역할을 수행하므로 보안을 강화할 수 있도록 보호 계층을 추가하는 등의 부가적인 예방 조치를 취하는 것이 바람직하다.
보안 경계 구축 방법
① 네트워크 분할
· 물리 계층 분할: 두 네트워크를 물리적으로 분리하는 것을 에어갭(Air Gap) 네트워크라고 한다. 하나의 시스템을 두고 운영 및 보안을 독립적으로 유지해야 하는 경우 에어갭 네트워크는 잠재적인 솔루션이 될 수 있다. 그러나 비즈니스 및 운영 요건으로 인해 이러한 방식으로 네트워크를 처리하는 것은 점점 더 어려워지고 있다.
· 데이터 링크/네트워크(L2/3) 분할: 산업용 제어 시스템은 이미 수십 년 전에 구축된 경우가 많다. 따라서 네트워크 관리자의 필수 요구사항이자 주요 과제 중 하나는 기존 인프라를 활용하면서도 산업용 제어 시스템을 안전하게 유지하는 것이다. 주로 구축되는 접근방식은 매니지드 이더넷 스위치 기능 중 하나인 VLAN(Virtual LAN)을 사용해 분할된 서로 다른 네트워크 간의 트래픽을 분리하는 것이다. 일부 이더넷 스위치는 포트 레벨에서 ACL(Access Control List) 기능을 갖추고 있어 데이터가 스위치에 입력될 때 VLAN 보안을 강화하는데 도움이 될 수 있다. 또 다른 방법으로는 레이어 2 및 3 네트워크의 트래픽을 처리해야 하는 경우 산업용 애플리케이션과 데이터를 보호하기 위해 방화벽을 구축하는 것이다.
· L4~7 네트워크 분할: DPI(Deep Packet Inspection)를 통해 추가 분할을 적용할 수 있다. DPI는 네트워크 트래픽을 세분화해 제어할 수 있으며, 애플리케이션의 요구사항에 따라 산업용 프로토콜을 필터링할 수 있다. 동일한 네트워크상에 여러 장치가 있는 경우, 이론적으로는 모든 장치들이 서로 통신이 가능하다. 예를 들면 컨트롤러 A가 특정 시간에만 로봇팔(Robotic Arm) A와 통신을 하는 환경의 경우 DPI 기술은 엔지니어가 읽기/쓰기 명령 또는 트래픽 방향까지 컨트롤러의 동작을 정의하는데 도움을 줄 수 있다.
② 미세 분할
어떤 상황에서는 중요 자산에 대한 추가 보호가 필요할 수 있으며, 이를 달성하는 좋은 방법은 IPS를 사용해 네트워크를 미세 분할하는 것이다. 특히 미세 분할이 산업용 네트워크에 유용한 이유는 네트워크를 훨씬 더 작은 하위 단위로 분리하는데 사용할 수 있기 때문이다.
이러한 접근방식의 장점은 IPS의 가상 패치 기능으로 알려진 취약점의 위험을 완화할 수 있다는 것이다. 예를 들면 일부 시스템은 마이크로소프트에서 더 이상 보안 업데이트를 제공하지 않는 윈도우 XP에서 동작할 수 있어 알려진 취약점이더라도 보안 업데이트를 수행하기 어려울 수 있어 IPS 가상 패치 기능이 유용할 수 있다.
③ 완전한 원격 액세스
사이버 보안 전문가들에 따르면 원격 데스크톱 프로토콜이 악성 프로그램을 전파하거나 무단으로 침입하는데 악용되기도 한다. 운용 효율성 향상과 신속한 문제 해결을 위한 원격 연결이 보편화됨에 따라 두 현장 영역 간의 보안 경계 구축 필요성이 자주 거론되는 것은 놀라운 일이 아니다. 장기적으로 쉽게 취약성을 유발할 수 있는 소프트웨어를 이용한 원격 연결을 구축하는 대신 VPN 터널을 구축해 액세스 제어 메커니즘이 올바르게 유지되도록 하는 것이 바람직하다.
산업용 사이버 보안 시나리오
① 제조: 상호 연결된 공장 네트워크는 산업용 네트워크 보안을 강화하기 위해 적절한 네트워크 분할이 필요하다. 또한 산업용 제어 시스템의 가용성을 보장할 수 있도록 네트워크 이중화도 필요하다.
② 안전한 변전소 모니터링: 방대한 지역을 커버하는 전력망은 각 원격 변전소의 IED(Intelligent Electronic Devices)를 모니터링할 수 있는 IEC 61850 인증 VPN 솔루션이 필요하다.
보안 경계 강화해야
기업 책임자들은 더 이상 완벽한 에어갭 네트워크의 이점과 보안을 누릴 수 없게 됐다. 따라서 기업 책임자들과 엔지니어들은 네트워크 분할, 미세 분할, 보안 원격 액세스 등 다양한 접근방식을 이용해 보안 경계를 강화해야 한다.
이러한 각각의 접근 방식은 다양한 네트워크 요구사항을 충족하고, 경계 보호를 형성하는 것은 물론 무단 트래픽의 내부 확산(Lateral Movement) 방지를 통해 사이버 보안을 한층 강화할 수 있다.
한편 모싸가 산업용 네트워크 보안에 중점을 두고 새롭게 출시한 방화벽·NAT·VPN·스위치·라우터 올인원 솔루션인 ‘EDR-G9010’ 시리즈는 사이버 보안을 강화하는 동시에 기업 책임자들이 기존의 네트워크 인프라를 활용할 수 있는 미래 지향적 투자를 가능하게 한다. 특히 스마트 제조 및 주요 인프라와 같은 다양한 애플리케이션의 산업용 네트워크를 위한 강력한 1차 방어선 역할을 수행한다.
모싸는 네트워크 보안 인프라 포트폴리오를 확장하고 광범위한 산업용 애플리케이션 지원을 지속적으로 확대하고 있고, 산업용 네트워크에 대한 보다 세분화된 제어 기능을 도입하는 등 산업 환경의 커넥티비티 보호에 최선을 다하고 있다.
