[데이터넷] 망연계는 완벽한 기술이 아니며, 오히려 망분리 보안을 깨는 통로로 사용되기도 한다. 그렇다고 해서 망연계 구간을 없앨 수 없다. 가장 강력한 보안이 요구되는 군·국방시설도 유지보수, 패치 업데이트 등을 위해 외부와 연결되어야 할 때가 있다. 그리고 외부와 연결되는 상황은 점점 더 늘어나고 있다.

효율적이고 스마트한 운영을 위해, 직원의 안전을 위해, 시설의 안정적인 운영을 위해 외부에서 연결해야 하는 상황이 잦아진다. 클라우드·IoT를 접목한 스마트 혁명이 OT/ICS 환경으로도 확산되면서 폐쇄망은 더 외부에 열리게 됐다.

연결성이 높아지는 흐름을 거스를 수 없으므로 연결되는 환경에서도 안전하게 운영할 수 있는 방법을 찾아야 한다. 그 방법 중 하나가 일방향 망연계 시스템이다. 물리적으로 한 방향으로만 통신이 가능하도록 하는 일방향 망연계 시스템은 보통 보안수준이 높은 망에서 낮은 망으로만 데이터 전송이 가능하도록 한다.

예를 들어 스마트팩토리의 설비 장애 예방을 위해 설비에 설치한 센서의 정보를 수집할 때, 일방향 망연계 시스템은 센서에서 수집한 장비를 중앙관리 시스템으로 보내기만 하며, 중앙관리 시스템이 현장 센서 정보 수집 시스템으로 명령을 내리거나 정보를 보내지 않는다. 외부에서의 위협이 내부로 들어가는 것이 원천 차단되기 때문에 보안을 한층 강화할 수 있다.

일방향 망연계는 발전소·군·국방시설 등 사회 주요 인프라의 OT/ICS 시스템 영역에 적용되어왔다. 공격자의 주 타깃이 된 제조업에도 일방향 망연계가 사용되고 있다. 제조업은 몇 년 전부터 가장 많은 공격을 받는 산업으로 꼽히고 있는데, IBM 엑스포스가 2021년 한 해 동안 차단한 공격의 23.2%가 제조업을 대상으로 한 것이었으며, OT 연결 조직을 노린 공격의 61%는 제조업에서 발생했다.

이준경 나온웍스 대표는 “OT/ICS의 연결성이 높아지면서 공격 위협도 높아지고 있다. 그래서 내부에서 데이터를 전송하기만하는 일방향 망연계 시스템의 수요가 늘어나고 있으며, 다양한 환경·산업군에서 사용하는 전용 프로토콜을 지원해 달라는 요구도 늘고 있다”며 “가장 안전한 보안 방안인 일방향 망연계 시스템은 향후 더 넓은 지원범위를 갖게 될 것”이라고 말했다.

다양한 망분리 환경에 적용되는 일방향 망연계

일방향 망연계는 폐쇄망을 운영하는 특수한 환경에서만 사용되는 것이 아니며, 일반 망연계 환경까지 확대되고 있다. 외부에서 악성코드가 유입됐다 해도, 이 악성코드가 외부 C&C와 지속적으로 통신하면서 추가 공격도구를 받고 명령을 이행하지 않으면 실제 공격을 수행하기 어렵다.

C&C 통신 없이 작동하는 악성코드라 해도, 내부에서 수집한 데이터를 외부로 유출할 수 있는 통로가 없다면 정보유출 시도는 성공하기 어렵다. 그래서 물리적으로 일방향 통신만 가능하도록 한 일방향 망연계를 검토하는 사례가 늘고 있다.

일방향 망연계는 보안 수준이 높은 망에서 낮은 망으로 전송하는 것을 원칙으로 한다. 그러나 실제 망 환경에서는 보안 수준이 낮은 망에서 높은 망으로 보내 야 하는 경우가 자주 발생하게 된다.

보안 수준이 높은 망 환경에서는 관리자가 보안 영역에 존재해야 하는데, 보안망 외부에서 발생하는 데이터까지 연계해서 살펴봐야 하는 경우, 보안 수준이 낮은 망에서 높은 망으로 데이터를 전송하려면 관리자가 비보안 영역에 있게 된다. 이 문제를 해결하기 위해 등장한 것인 양일방향 전송장비다. 보안수준이 낮은 망에서 높은 망으로 전송할 때 보안 영역에서 이를 통제함으로써 일방향 통신의 보안성을 보장하면서 다양한 ICT 기술을 이용해 시설을 안전하게 관리할 수 있도록 한다.

김일용 앤앤에스피 대표는 “거의 대부분의 망분리 환경은 일방향 망연계 시스템을 필요로 한다. 양방향 통신이 필요한 망연계 환경은 많지 않다. 폐쇄망 내부에서 데이터를 전송하거나, 외부에서 자료를 내부로 보내는 등 한 방향으로만 통신하지, 쌍방통신을 하는 구조가 아니다”며 “일방향 망연계 시스템 적용 범위를 더 확장해야 망연계로 인한 보안문제를 제거할 수 있다”고 말했다.

앤앤에스피는 국내 최초로 일방향 망연계 시스템 ‘앤넷다이오드(nNetDiode)’를 개발하고 시장을 개척해 온 전문기업이다. 앤앤에스피는 정부 과제로 물리적 일방향 시스템을 성공적으로 개발하고, 2015년 ‘앤넷 다이오드(nNetDiode)’를 출시, 전국의 주요 발전소, 공항공사·철도공사, 지방자치단체, 군·국방 관련 기 관과 국책연구기관에 공급해왔다.

비대면 환경 증가로 원격 접속이 늘어난 공공기관의 보안을 강화하기 위해 GVPN 사용자를 위한 일방향 망 연계 시스템을 공급, 강력한 폐쇄망 뿐 아니라 일반 업 무망도 보호할 수 있다는 사실을 입증했다. 앤앤에스피는 이 사례를 적극 알려 빅데이터 연동, 스마트 시티, 지능형 자율주행 등 다양한 활용사례를 확보할 계획이다.

김일용 앤앤에스피 대표는 “클라우드, 빅데이터, IoT 환경의 상당히 많은 부분이 일방향 통신으로 충분히 가능하다. 예를 들어 CCTV 보안관제의 경우, CCTV는 보안관제센터로 데이터를 전송하기만 하면된다. 역으로 보안관제센터에서 CCTV에 명령을 내리는 일은 거의 없다”며 “스마트 혁신 기술 도입과 함께 일방향 통신 기술의 수요가 늘게 될 것”이라고 말했다.

컨설팅부터 솔루션·관제까지 통합 지원

앤앤에스피는 OT/ICS 보안 전문기업으로, 5단계 심층방어 전략에 따른 솔루션과 서비스를 제공한다. OT 보안 수립을 위한 전문 컨설팅 서비스를 제공하기 위해 전담조직을 만들고 전문인력을 채용하면서 OT 보안 역량을 크게 강화했으며, OT 네트워크 이상탐지, 안전한 패치관리, 통합보안관제 등의 서비스를 제공한다.

앤넷다이오드는 일방향 전송장비의 최대 단점인 전송 데이터의 오류 문제를 해결하는 특허 기술을 갖고 있다. 일방향 통신 시 데이터가 수신장치(RX)에 제대로 전달됐는지 확인하지 못하기 때문에 데이터의 정합성을 보장할 수 없다. 아주 작은 수치 변화에도 민감한 ICS 설비의 이상징후에 대한 데이터가 제대로 전달되지 않았을 때 발생할 수 있는 위험은 매우 높다. 앤넷다이오드는 송신장치(TX)에서 발송한 데이터가 제대로 도착하지 않았거나 오류가 발생했을 때 수신장치에서 전기적 신호를 발생시켜 다시 전송하도록 한다. 단순한 전기 신호만 RX에서 TX로 가기 때문에 데이터 전송을 금한 일방향 전송장비의 요건을 위반하지 않는다.

앤넷다이오드는 국내 200개 이상 IT/OT 프로토콜을 지원하며, 국내 최다 레퍼런스를 통해 축적된 풍부한 현장기술 경험을 갖고 있다. TX-RX 통신은 전용 암호화 통신을 이용해 외부에서 보안성을 높였으며, 앤넷다이오드가 지원하지 않는 프로토콜도 연계할 수 있는 미들웨어를 적용해 모든 환경에서 안전하게 일방향 통신이 가능하도록 한다. 또한 양일방향 망연계 솔루션 ‘앤넷다이오드 듀얼(nNetDiode Dual)’을 제공, 보안 규제를 맞추면서 비보안 영역에서 보안 영역으로의 데이터 전송을 가능하게 한다.

앤앤에스피는 공급망 공격 방어를 위한 패치 업데이트 솔루션도 일방향 망연계 기술을 접목해 출시했다. ‘앤넷트러스트(nNetTrust)’는 TX와 RX 사이에 멀티 백신 엔진이 장착된 클린PC 서버(CLN)를 두는 방식을 택한다. 비보안 영역의 외부망에서 소프트웨어 업데이트·패치파일, 정보자료와 파일을 보안 영역으로 유입시킬 때, 멀티백신 엔진으로 검사해 안전성이 입증된 데이터만 내부망으로 안전하게 전달한다. TX-CLN-RX는 모두 일방향 통신만 가능하며, CLN에는 역일방 향 데이터 전송 기술을 적용해 보안 영역의 관리자가 비보안 영역으로부터 수신되는 데이터를 검증할 수 있 게 한다.

이 외에도 앤앤에스피는 지능형 통합 보안위협 관리 시스템 ‘앤넷NDR(nNetNDR)’과 OT망 자산분석 및 보안 취약성 분석 솔루션 ‘앤넷프로브(nNetProbe)’를 통해 OT를 안전하게 보호할 수 있게 한다.

앤앤에스피는 OT 보안에 대한 국제특허를 완료, 글로벌 시장공략에도 나섰다. 글로벌 OT 보안 전시회에 참가하고 중요 세션 발표를 진행하는 한편, 싱가포르를 중심으로 투자유치를 진행, 상장까지 이어갈 계획이다.

김일용 대표는 “앤앤에스피는 OT 보안 기술에 있어 글로벌 수준에 이르렀다고 자신하기 때문에 글로벌 진 출 발판을 확실히 하기 위해 글로벌 투자유치 노력과 기업공개를 준비하고 있다. 한국에서 입증된 강력한 보안 기술을 세계에 전달하는 글로벌 기업으로 성장시키겠다”고 말했다.

탁월한 실시간 전송 기술로 다양한 성공사례 축적

일방향 망연계 시장에서 빠르게 성장속도를 높이고 있는 나온웍스는 CCTV 보안관제 사업을 잇달아 수주하면서 주목받고 있다. 현재 CCTV 보안관제는 CCTV 데이터를 NVR에 저장해 관제센터로 전달하는 방식으로 하는데, 이 경우 실시간 모니터링이 어려워 즉각적인 대응에 한계가 있다. 나온웍스는 CCTV 영상 데이터를 실시간으로 관제 센터에 전송해 재해·재난이나 각종 사고에 빠르게 대 응할 수 있게 한다.

이준경 나온웍스 대표는 “매년 집중호우, 대형 산불로 인한 심각한 피해가 발생하는데, 이러한 자연재해에 신속하게 대응해 피해를 줄이기 위해서는 CCTV 영상데이터의 실시간 전송으로 의사결정 시간을 단축시켜야 한다. NVR을 통해 전송되는 데이터는 실시간성이 약할 뿐 아니라 지원하는 프로토콜도 제약이 있기 때문에 영상 데이터의 실시간 전송과 다양한 네트워크의 프로토콜을 지원하는 기술이 필요하다”며 “나온웍 스는 매우 빠르고 정확하며, 다양한 프로토콜을 지원하는 일방향 망연계 기술로 CCTV 보안관제 시장에서 좋은 성과를 거두고 있다”고 말했다.

나온웍스는 CCTV 보안관제뿐 아니라 지능형 교통 시스템과 자율주행 기술, 발전소 운영·유지보수, 신재생 에너지 관리, 스마트 선박, 각종 무인 기술 등 기존에 일방향 망연계 기술을 검토하지 않았던 곳에서 상당한 기회가 있다고 판단하고 있다. 데이터가 수집되는 IoT 기기에서 중앙관제센터로 실시간, 일방향 전송 시스템을 적용하면 해킹 위험을 줄 이면서 데이터의 안전한 수집과 관리가 가능하다.

나온웍스의 일방향 망연계 솔루션 ‘세레브로 디디 (CEREBRO-DD)’는 자체 개발 논 라우터블(Non- Routable) 프로토콜을 일방향 통신 구간에 적용해 보안과 함께 통신 구간의 신뢰성을 강화했다. 관리자가 특정 프로토콜의 전송만을 허가하면 이를 제외한 프로토콜의 패킷은 자동 접근제어 가능해 원치 않는 데이터 유출을 방지할 수 있다. 전송 데이터의 오류정정기능 (FEC)과 암호화가 적용되며, 악성코드 탐지를 위한 백신 엔진이 탑재되어 있다.

세레브로 디디는 OPC-DA, OPC-UA, 모드버스 등 산업용 프로토콜과 RTP, RTCP, RTSP 등 실시간 스 트리밍 프로토콜, 파일 전송, 로그 및 이벤트 전송용 프로토콜들을 최다 지원한다. 이중화 또는 단중화 구성 선택이 가능하며, 전용 하드웨어에 어플라이언스 형태로 제공된다. 하드웨어 분리형과 통합형 모델이 있으며, 소규모 환경을 위한 미니형 구축도 가능하다.

이준경 나온웍스 대표는 “일방향 전송 시스템은 앞으로 광범위한 영역에서 사용될 것이다. 디지털 혁신 기술이 전 산업에 접목될수록 공격표면은 증가할 수밖에 없는데, 일방향 통신으로 공격자들이 공격을 이어 갈 가능성을 낮춤으로써 피해를 줄여야 한다”며 “나온웍스는 여러 산업에서 요구하는 다양한 프로토콜과 지원 요구에 대응하는 한편, 복잡한 네트워크 세그멘테이션 환경에서 안전하게 통신할 수 있는 기술을 고도화 제공하겠다”고 말했다.