[데이터넷] OT 네트워크는 각 설비 제조사마다, 구축된 환경마다 다른 프로토콜을 사용하며, 개별 프로토콜에 대한 이해가 있어야 이상행위를 분석할 수 있다. 글로벌 OT 보안 기업들은 설비 제조사의 투자를 받아 프로토콜 식별과 분석 기술을 개발할 수 있는 기회를 갖고 있지만, 그렇지 못한 기업들은 설비 제조사에게 각 장비마다 협조를 구해야 하는데, 공개되는 정보의 범위가 깊지 않아 기술 개발이 쉽지 않은 상황이다.

OT 설비 제조사들은 자사 제품 사용 환경을 보호하기 위한 툴을 제공하지만 제한된 가시성만을 허용하기 때문에 지능적으로 진행되는 공격을 탐지하는데 한계가 있다. 또 한 사이트에서 다양한 제조사의 제품이 설치, 운영되고 있어 어떤 공정에 어떤 설비가 위치하며, 각각의 설비가 어떻게 통신하는지 알기 어렵다.

OT 보안 솔루션은 개별 사이트마다 최적의 지원을 할 수 있도록 지원하지만 일정 부분 커스터마이징이 필요하며, 지원하지 않는 프로토콜을 사용하는 환경이라면 추가 개발도 필요하다.

AI 기반 네트워크 이상행위 분석 솔루션 다크트레이스의 산업용 면역시스템(IIS)은 비지도학습 기반 머신러닝으로 프로토콜에 대한 이해 없이 즉각 이상행위를 파악할 수 있다. 또한 자동 차단 기술인 안티제나를 연동하면 탐지된 확실한 이상행위를 차단하거나 프로세스를 격리시킬 수 있어 관리자의 업무를 줄일 수 있다.

다크트레이스 국내 파트너인 벨로크는 자체 개발 시스템을 더해 국내 산업제어시스템과 IT-OT 융합 환경을 보호한다. 벨로크는 ▲포트취약점분석시스템 ‘B-SOP’ ▲정보보안규정관리시스템 ‘B-CMS’ ▲ 회의관리시스템 ‘B-PLMS’ ▲방화벽정책관리시스템 ‘FOCS’를 공급한다.

B-SOP는 포트 취약점을 분석해 내부 설비에 대한 불필요한 정책을 제거하며, 네트워크에 위협이 되는 정보를 가시화해 보안을 강화할 수 있다. 보안자료가 많은 국내 발전소 등에서 서버와 네트워크 장비 등 설비 보안 상태를 점검할 수 있다.

B-CMS는 인증심사원 등에서 요구하는 인증과 관련된 다양한 증빙 자료를 한데 저장하고, 분류해 인증 관련 활동을 쉽게 수행할 수 있을 뿐 아니라 관련 자료 분 실 위험도 예방할 수 있다. 보안과 관련한 인증 업무를 효율적으로 수행해 기업의 정보 관리와 보호 수준을 높이고 투자자들의 신뢰를 제고할 수 있다.

FOCS는 다양한 방화벽 정책을 통합관리해주는 역할을 한다. 기업이 관리하는 복잡 다양한 방화벽에 대한 보안 정책을 일원화시켜 관리 및 분석함으로써 보안 업무의 효율성을 높이는 역할을 한다.

벨로크는 자체 개발 시스템으로 고객 환경 맞춤형 보안을 제공할 수 있다고 강조한다. 특히 보안 규제가 까다로운 발전소, 산업제어 시스템을 위한 보안 솔루션과 서비스를 지원해 안전한 사회를 만드는데 기여한다고 설명했다.

화이트리스트 보안스위치로 OT 보호

OT 보안이 까다로운 이유 중 하나가 안드로이드, iOS, 리눅스 등 비 윈도우 계열 기기가 많이 사용되며, 소프트웨어 에이전트를 설치할 수 없는 기기가 다수 사용된다는 것이다. OT 엔드포인트 보안 기술을 제공하는 기업들은 OT 환경에서 사용하는 다양한 임베디드 리눅스를 지원하는 기술을 제공하고 있으며, 에이전트 설치가 어렵거나 OS가 없는 기기로 인한 위협을 제어하기 위해 네트워크 패킷분석 기술을 더한다. 이처럼 여러 솔루션을 사용하면 보안 복잡성이 증가하고 오탐으로 인한 장애, 비용 증가 등의 문제가 수반될 수 있다.

한드림넷은 한국수자원공사(K-water)와 함께 화이트리스트 기술을 탑재한 보안스위치 ‘서브게이트 5000 시리즈’로 OT/ICS를 보호한다. 보안 기능이 통합된 L2스위치에 모드버스를 내장시켜 SCADA/ICS 등을 운영하면서 감시·제어까지 가능하다.

화이트리스트 보안스위치는 산업용 이더넷 구간의 암호화를 통해 네트워크 스위치 간 통신 시 제어 시스 템 운영정보, 제어 명령 등 모든 전송 데이터의 위/변조를 방지하고, 데이터의 기밀성과 무결성을 보장한다.

화이트리스트 기반 보안기술로 제어 시스템 운영에 필요한 필수 통신만 허용해 해킹을 방지하고, 원격지 네트워크에도 동일한 보안 정책 적용이 가능해 단말의 이동, 부서 변경 등 다양한 환경 변화에도 통합 보안 정책을 유지할 수 있다.

한드림넷의 보안엔진 MDS를 탑재해 행위기반 패킷 분석으로 별도 업데이트 없이 이상 트래픽을 실시간 탐지, 차단한다. 스마트 프로텍션 기술로 유해 트래픽을 선별적으로 차단하며, 디도스, 불법 스캐닝, 플러딩 등 네트워크 공격을 선별적으로 차단한다.

이 제품은 IP통합관리와 네트워크 관리 기능을 제공하는 VIPM과 함께 사용돼 스위치 통합관리와 사용자 트래픽 제어, 비허가자·비인가 단말의 네트워크 접근 제어 등을 함께 지원할 수 있다.

한국수자원공사 OT 망 보호

화이트리스트 보안스위치는 기존 PLC와 동일하게 작업이 가능해 현장에서 손쉬운 설비 보안 및 네트워크 관리를 할 수 있고, 보안사고 발생 시 일반 직원들도 HMI 화면을 통해 보안 사고인지, 네트워크 장애인지 빠르게 파악할 수 있다. 보안사고가 발생한 노드를 끊어버리거나 고장 장비를 대체하는 등 즉각적인 대응으로 사고확대 방지 및 초동 조치가 가능하며, 독자적 보 안 능력과 가시성 제공으로 빠른 현장 사고 원인 분석을 제공한다.

이 솔루션은 한국수자원공사에 적용돼 비인가 IP 사용자의 통신망 접속을 원천 차단하고, 이더넷 구간 암호화로 통신 데이터 탈취 시에도 위조와 변조가 불가능하도록 했다. 내부 통신경로를 제어해 허용된 통 신 이외 다른 시스템에 접속하기 위한 통신은 차단하도록 하는 등 핵심적인 보안 기능을 활용할 수 있게 되었다.

한국수자원공사는 화이트리스트 보안스위치 도입으로 별도의 망관리를 위한 추가 관리시스템 없이, 기 존 제어시스템의 HMI를 통한 가시성 확보가 가능하 다. 또한 보안사고 발생 시 현장 근무자가 바로 조치할 수 있으며, 후속 사고 확대 방지와 독자적인 보안 방어 능력 확보가 가능하다. 더불어 보안 스위치의 핵심 장점인 내부 보안 위협을 스스로 탐지하고 차단으로 안 정적인 네트워크 서비스가 가능해졌다.