스마트팩토리·스마트시티·지능형 교통시스템 등 IT-OT 융합환경에 적용
[데이터넷] 디지털 트랜스포메이션으로 IT와 OT의 연계 범위가 넓어지고 있으며, IT-OT 영역을 넘나드는 커뮤니케이션이 필요하게 됐다. 특히 OT 데이터를 IT 데이터와 연계해 시설 운영을 효율화하고 장애를 예방하며 지능적인 사이버 위협에 대한 통합 대응을 하는 시도가 이어 지고 있다. 그래서 필요한 것이 일방향 망연계 시스템이다.
일방향 망연계 시스템은 보안 수준이 높은 망에서 낮은 망으로 일방향 데이터를 전송하는 기술로, 산업 제어망에서 IT 혹은 외부로 데이터를 전송하되, 외부 수신을 차단하도록 물리적으로 송신 망을 단절시킨다.
일방향 망연계 시스템은 스마트팩토리, 스마트시티, 지능형 교통시스템 등 IT와 OT가 융합된 모든 환경에 필요하다. 다양한 망 간 통신이 이뤄질 때 보안수 준이 낮은 망에서 높은 망으로 데이터가 전송돼야 하는 경우가 있는데, 이를 위해 양일방향 전송 시스템도 필요하다. 일방향 전송시스템은 통제서버가 보안수준이 높은 망에 있어야 한다는 규제를 준수하기 위해 통제서버를 보안 수준 높은 망에 두면서 낮은 망에서 높은 망으로 일방향 통신이 가능하도록 한 것이다.
일방향 망연계 시스템을 국내에서 가장 먼저 개발, 공유한 앤앤에스피는 ‘앤넷다이오드(nNetDiode)’를 전국 주요 발전소, 공항공사·철도공사, 지방자 치단체, 군·국방 관련 기관과 국책연구기관에 공급 해왔다. 또한 양일방향 망연계 솔루션 ‘앤넷다이오드 듀얼(nNetDiode Dual)’, 일방향 망연계 기술을 기반으로 한 OT 망 패치 업데이트 솔루션 ‘앤넷트러스트(nNetTrust)’, 지능형 통합 보안위협 관리 시스템 ‘앤넷NDR(nNetNDR)’과 OT망 자산분석 및 보안 취약성 분석 솔루션 ‘앤넷프로브(nNetProbe)’ 등을 공급하며 OT 보안 5단계 심층방어 전략을 기반으로 한 솔루션 과 서비스를 제공한다.
다양한 성공사례로 완성도 입증
앤앤에스피를 바짝 뒤쫓고 있는 휴네시온의 일방향 망연계 솔루션 ‘아이원넷 디디’와 양일방향 망연계 솔루션 ‘아이원넷 DX’가 빠른 속도와 안정성, 사용 편의성을 장점으로 시장 점유율을 높이고 있다.
휴네시온은 검증된 사례를 통해 일방향 망연계 기술의 경쟁력을 입증할 수 있다고 강조한다. 발전소 제어 시스템 운영정보를 업무망에서 모니터링하기 위해 운영정보(OPC Tag)를 업무망으로 일방향 전송한 사례, 또 다른 발전소의 보안관제 시스템에 일방향 망연계를 구축한 사례 그리고 대도시 지능형 교통체계 구축 사례가 그 대표적인 예로, 고속 데이터 전송과 일방향 전송 시 데이터 유손실 최소화와 데이터 정합성 검증 기술로 기술 경쟁 우위를 자신한다.
휴네시온은 한 기관과 발전제어 보안모니터링 공동 연구과제 수행을 통해 산업제어망의 데이터를 OA 망으로 연계하고, 수집된 데이터인 패킷, 로그, 운전정보 기반 하에 이상행위를 탐지할 수 있는 모델에 대한 연구를 진행하고 있다. 공동연구과제 모델과는 별개로 OT망에 대한 보안관제시스템 구성을 위해 OT 망과 IT망과의 연계 시 일방향전송장치를 통한 연계구성을 진행하고 있다.
글로벌 공급사례로 입증된 기술력
일방향 망연계 시장에서 나온웍스의 약진도 주목된다. 나온웍스는 다양한 OT 프로토콜 식별 기술이 뛰어나 빠르게 고객을 확보하면서 고속 성 장하고 있다.
나온웍스의 일방향 망연계 솔루션 ‘세레브로-DD(CEREBRO-DD)’는 글로벌 데이터센터의 국내 리전에 공급되면서 세계적인 기술 수준을 인정받았 다. 세레브로-DD의 물리적 일방향 전송 기술이 데이터센터 내 빌딩관리 시스템 경계보안 솔루션으로 공급 됐으며, 싱가포르 등 해외 데이터센터에 공급될 수 있다는 자신을 보이고 있다. 이 솔루션은 이미 국내 주요 국가기반 시설과 공공기관, 발전사의 폐쇄망 연동으로 주목받고 있다.
세레브로-DD는 OT망 네트워크 모니터링 솔루션은 인공지능 기반 보안 솔루션의 실시간 OT 데이터 수집 과 분석을 위하여 통합된 형태로 제조 P사 공장에 구축되어 있으며, 최근 제조 H사에서도 실시간 제어 프로토콜 이상 행위 탐지에 대한 이슈가 있어 해당 솔루션이 공급될 예정이다.
나온웍스는 독자 프로토콜을 표준 프로토콜 로 변환해주는 프로토콜 게이트웨이 제품 ‘세레브 로-C(CEREBRO-C)’를 오랫동안 공공·민간 시장에 공급해왔다. 세레브로-C는 프로토콜 변환과 표준화 를 통한 데이터 수집 및 연동에 특화돼 있으며, 현재 부산 EDC 스마트 시티와 전국 수소충전소 모니터링을 위해 구축돼 운영 중에 있다.
더불어 다양한 OT 프로토콜을 식별하여 OT망 내 자 산과 네트워크를 가시화하고, OT 프로토콜 분석을 통 한 이상 트래픽 탐지와 악성코드 및 유해 트래픽 탐지 기능을 제공하는 OT 보안 위협 탐지 솔루션 ‘세레브로-IDS(CEREBRO-IDS)’를 모회사 안랩과 공동 개발하고 있다.
세레브로-IDS는 세레브로-IDS는 OT 네트워크의 자산 정보 및 통신 정보의 가시성을 확보하고, 네트워크 취약점을 포함한 유해 트래픽과 악성코드 등 보안 위협을 탐지하며, OT 설비에 대한 제어명령 이상과 휴먼 에러로 인한 이상 행위를 탐지하는 솔루션이다.
권윤정 나온웍스 이사는 “통합 OT 보안 프레임워크는 OT망 전 계층에 걸쳐 ‘식별→ 탐지→ 대응’으로 이어지는 보안 프로세스를 구축할 수 있다. 나온웍스와 안랩의 솔루션은 본 프레임워크 내에서 각자 특화된 보 안 역할을 수행하며 함께 시너지를 낸다. 안랩은 엔드포인트와 네트워크 영역의 보안 솔루션을 제공하며 나온웍스는 OT 프로토콜 표준화 및 분석 솔루션과 물리적 일방향 데이터 전송 솔루션을 갖추고 있다. 더불어 플랫폼 관점에서 지속적으로 연동을 강화해 사용자의 보안 관리 효율을 제고한다”고 설명했다.
OT 보안 점검 사항
● 회사 내 OT 영역과 자산 파악
위협으로부터 자산을 지키기 위해서는 보호해야 하는 대상을 먼저 정확하게 파악해야 한다. OT 네트워크에 연결된 설비와 통신하는 장치, 설치된 OS와 소프트웨어, 취약점 등을 파악하고 대응책을 마련한다.
● OT-IT 접점 파악
공격은 IT에서 시작해 OT로 이동하는 경우가 많으며, 그 반대의 경우도 있다. 따라서 OT와 IT의 연결 접점을 반드시 확인해야 한다. 대부분 방화벽 또는 망연계 시스템을 이용해 통제되고 있다고 생각하지만, 불필요하게 연결된 지점이나 경계보안 제품을 우회해 연결된 접점이 생각보다 많다. 폐쇄적으로 운영되는 환경에 영향을 미칠 수 있는 외부 요인이 어떤 경로로 연결될 수 있는지 파악해야 한다.
● 제조사 설비 파악
어느 제조사의 설비가 있고 그것들이 사용하는 통신 프로토콜이 무엇인지, 제어명령은 어떤 것인지 알아야 한다. 대부분 SCADA-HMI/MES-PLC-Field Devices 구조로 돼 있는데, 해당 설비를 운영하는 극소수의 일부 담당자만 알거나 혹은 아무도 모르는 상태로 운영되고 있을 수 있다. 제조사 전용 프로토콜이기 때문에 해당 프로토콜에 대해 잘 공개되어 있지 않거나 굉장히 제한적으로만 공개되어 있을 수 있다. 제어설비에서 사용 중인 프로토콜들을 파악 가능 하다면, 우리 설비의 현재 상태가 어떠한지 어떤 변화가 발생이 되고 있는지 문제가 생겼는지 여부를 실시간으로 파악해 대처할 수 있다.
● OT 보안 기술 적용
IT보안과 OT보안은 다르기 때문에 OT 보안 전문 기술을 반드시 사용해야 한다. 특히 비표준 OT 프로토콜을 얼마나 전문적으로 이해하고 분석할 수 있는지 살펴봐야 한다. 또한 OT 환경에서 가용성이 중요하므로 에이전트리스 기반 패시브 방식의 네트워크 모니터링이 필요하다. 그러나 IT 보안 기술 없이 OT 보안만을 적용해야 한다는 의미는 아니며, OT 보안을 위해서는 IT 보안과 OT 보안을 ‘함께’ 관리해야 한다.
(자료: 나온웍스)
