제조사 특화 프로토콜 지원…시그니처·머신러닝 기반 이상징후 탐지
[데이터넷] 디지털 트랜스포메이션과 스마트 팩토리 등의 활성화로 인해, 산업 현장에서의 보안 이슈가 증가하였다. 그리고 IoT 환경이 일상 생활에도 적용되며 보안은 특수한 분야의 문제가 아닌 바로 ‘우리’의 문제가 되었다.
노조미 네트웍스의 ‘가디언(Guardian)’은 ICS 및 IoT 환경에서 자산 파악과 네트워크 가시성을 확보하고, 해당 네트워크에 내재된 취약점과 외부로부터의 랜섬웨어 공격 등을 탐지할 수 있는 통합 보안 위협 관리 솔루션이다.
가디언은 무중단, 무위험 운영을 지원하여 제어망에 아무런 영향을 주지 않는다. 네트워크에 흐르는 패킷을 분석해 자동으로 자산을 식별하고 시각적으로 그룹화 할 수 있다. 자산에 대한 단순한 파악이 아닌 IP, Mac주소, 제조사, OS, 펌웨어 버전 등의 상세한 내용을 제공한다. 이러한 자산과 네트워크의 시각화에 특별한 에이전트 설치 또는 복잡한 설정이 필요하지 않다. 단지 네트워크에 흐르는 패킷을 미러링하여 가디언 장비에 연결하면 이 모든 과정이 자동으로 진행된다.
이러한 자산 파악은 특히 제조사 별 특화된 프로토콜을 사용하는 ICS 분야에서 그 강력함이 드러난다. 노조미 네트웍스의 가디언은 IT 환경에서 사용되는 프로토콜은 물론 다양한 ICS 제조사의 주요 프로토콜을 공식적으로 지원한다. 그리고 특별한 설정 없이 지원하는 모든 프로토콜을 동시에 모니터링 할 수 있다.
파악된 자산에 대한 취약점을 자동적으로 도출해 해당 네트워크에 필요한 조치 우선 사항을 파악할 수 있다. 그리고 머신러닝을 통한 베이스 라인을 형성하여 이상징후를 탐지할 수 있다. 또한 가디언은 시그니처 기반의 위협 탐지 방식도 제공하여 내, 외부의 위협을 효과적으로 관리할 수 있다.
가디언은 침해 사항이 발생한 경우에도 강력한 포렌식 기능을 제공한다. 알림이 발생할 경우 이벤트 전후의 네트워크 패킷을 자동으로 저장해 PCAP 형태 파일로 제공한다. 또한 일정한 주기로 전체 네트워크 환경에 대한 스냅샷을 자동으로 저장하고, 타임머신 기능을 통해 특정 두 시점 간의 노드, 링크, 변수 값 등의 변동 사항을 비교/분석할 수 있다.
이렇게 강력한 기능의 가디언이지만 단순히 단독으로 쓰이지는 않는다. 중앙관리콘솔(CMC)를 통해 다수의 사이트를 통합 관리할 수 있는 환경을 제공한다. 그리고 기존 IT 에코시스템과 연동하여 더 깊고 넓은 보안을 지원한다. SIEM, 방화벽 등과 연계하여 통합 보안을 구축할 수 있다.
