[데이터넷] OT 보안의 어려움 중 하나로 엔드포인트의 다양성을 들 수 있다. OT환경의 엔드포인트 기기는 IT에 서 사용하는 윈도우, MacOS 기반 기기뿐 아니라 안드 로이드, 리눅스, 기타 임베디드 OS 등 다양한 OS 기반 기기가 사용되며 OS 없이 작동하는 기기도 다수다. 센서와 같은 기기는 보안에 사용할 수 있는 리소스가 없기 때문에 기기 자체에서 이상행위를 탐지하지 못한다. 공격자들은 OS 없는 기기의 관리자 권한을 탈취해 마음대로 조작할 수 있다.

허가되지 않은 워크스테이션, USB가 무단 연결되거나 와이파이 핫스팟이 설정되어 있는 경우, 취약하거나 지원 종료된 OS와 애플리케이션을 사용하는 경우 등 엔드포인트로 인해 많은 사고가 발생할 수 있다.

엔드포인트 보안 기업들은 OT 엔드포인트도 지원한다고 주장하지만 대부분의 경우 윈도우, Mac, 리눅스 지원에 그치며, 각 환경별로, 산업별로 특화된 임베디드 OS까지 지원하지 못한다. OS가 없는 기기는 네트워크를 통해 기기의 이상행위를 탐지해야 하며, 안티바이러스(AV)만으로 탐지하지 못한다.

OT 기기는 IT에서 사용하는 것처럼 최신 OS와 애플리케이션을 사용하는 경우가 드물고, 허용되지 않은 외부 웹 연결이 제한되기 때문에 알려진 악성코드를 탐지하는 AV 만으로 충분하다는 주장도 있다. OT 환경에는 AV조차 없는 기기가 수두룩하기 때문에 AV 도입만으로도 다수의 침해 시도를 막을 수 있다는 주장이다.

그러나 AV만으로 모든 침해시도를 차단하는 것은 불가능하다. AV가 지원하지 않는 임베디드 OS나 특수 OS·애플리케이션 환경에서만 작동하는 악성코드는 시그니처 기반 AV가 막지 못한다. 그래서 AI를 이용해 시그니처 없이 악성행위를 찾아내는 차세대 AV와 EDR이 필요하다. 이 솔루션은 에이전트 설치가 필요 하기 때문에 에이전트 설치가 불가능한 기기는 네트워 행위 분석 기술로 탐지해야 한다.

카스퍼스키는 산업용 사이버 시큐리티(KICS) 제품 군에서 산업용 엔드포인트 보안 솔루션 ‘KICS 포 노드’와 네트워크 보안 솔루션 ‘KICS 포 네트워크’를 지원한다. 둘 다 산업 현장에서 사용되는 다양한 OS와 프로토콜을 지원해 거의 대부분의 산업현장을 보호할 수 있다. ICS를 위한 EDR과 IoC 기반 위협 검색·탐지, 가상·물리 시스템 프로세스 보호 등 산 현장에 최적화된 모범사례를 제공한다.

KICS에는 제품 구축 지원, 보안 평가, 훈련 프로그램도 포함되는데, 싱가포르의 전력·생산 기업 퍼시픽 라이트파워(PacificLight Power)는 주요 네트워크에 대한 취약점 평가를 실시해 사이버 보안법을 준수할 수 있게 됐다. KICS 평가로 인프라 핵심 요소를 테스트하고 특정 공격 경로를 에뮬레이션해 잠재적인 취약점을 파악하고 악성 활동 및 비정상 요소를 확인할 수 있었다.

또한 카스퍼스키는 인더스트리 IoT 컨소시엄(IIC), 글로벌 플랫폼, ISO/IEC, IEEE, ITU와 같은 산업 전 문가 커뮤니티와 함께 IoT/IIoT 사이버 보안을 위한 모 범 사례와 신뢰성 체계, 새로운 국제 보안 표준을 개발하고 있다.

AI로 엔드포인트 보호

엔드포인트 보안 기업들도 OT 보안 시장 진출에 속도를 내고 있는데, 특히 AI 기반 차세대 백신(NGAV)과 EDR 기업들이 OT 보안을 새로운 성장 시장으로 보고 적극적인 기술지원과 영업을 전개하고 있다. NGAV는 시그니처 없이 AI를 이용해 이상징후를 파악할 수 있는데, 단순 업무가 반복되는 OT의 엔드포인트에서 AI를 이용해 정확하게 정상 행위를 학습할 수 있으며 이상행위를 탐지하기 용이하다.

완전한 AI만으로 운영되는 NGAV는 클라우드와 상시 연동되어야 하기 때문에 클라우드 연동이 어려운 국가기반시설에는 사용에 제한이 있지만, 스마트팩토리는 비교적 자유롭게 도입 가능하다. 그래서 여러 스마트팩토리에서 NGAV 도입을 서두르고 있으며, 에스케어가 제공하는 센티넬원도 그 중 하나다.

황영철 에스케어 상무는 “OT 엔드포인트에서 패턴 기반 보안 솔루션으로 거의 대부분의 위협을 막을 수 있지만, 신·변종 위협 제거를 위해서는 NGAV나 EDR이 필요한 것도 사실이다. 경량 에이전트와 AI를 이용해 빠르고 정확하게 악성행위를 찾아내는 AI 기반 통합 엔드포인트 보안 솔루션이 OT에서도 필수”라고 말했다.

에스케어는 VPN을 이용한 원격접속 기술을 OT와 망분리 환경에도 공급했으며, 이를 자동화한 솔루션을 OT·공공기관에 공급하고 있다. 제로 트러스트 원칙을 적용한 VPN 설계로 원격지에서 폐쇄망이나 중요 설비에 접근한 후 취약점을 제거하고 문제를 해결하는 서비스를 국내 글로벌 제조사, 공공기관, 제약회사 등에 공급했다.

차세대 IPS로 위협 탐지·차단 ‘탁월’

에스케어는 OT 시장 공략을 위해 조직을 정비하고 전문성을 높이고 있다. 고객환경을 파악해 적절한 솔루션을 제공하고 있으며, 트렌드마이크로 ‘티엑스원’ 제품군이 가장 적합하다고 판단하고 있다. 티엑스원은 트렌드마이크로가 모싸(MOXA)와 설립한 합작법인 티엑스원 네트웍스에서 개발한 제품으로, OT/ICS 네트워크 이상행위 탐지 기술을 제공한다.

티엑스원은 트렌드마이크로의 차세대 IPS ‘티핑포 인트’와 모싸의 산업설비 제조 전문성이 결합돼 경쟁사 대비 차별점이 분명하다. 티핑포인트 차세대 IPS는 패턴 기반 탐지는 물론이고 이전에 발생하지 않은 신변종 위협까지 탐지해 자동 차단할 수 있어 복잡성을 줄이고 위협 대응 효율을 높일 수 있다.

황영철 상무는 “생산현장은 양산을 진행하면 다양한 장애를 겪게 된다. 장애 포인트를 줄이는 것이 OT 보안의 중요한 과제 중 하나인데, 티핑포인트의 자동화된 위협 탐지·차단 기능을 이용해 위협을 선제적으로 방어하면 OT 운영 효율성을 크게 높일 수 있다”고 말 했다.

에스케어는 트렌드마이크로 제품군을 자동차 부품 생산기업 덴소코리아에 공급, 네트워크부터 개별 공정 용 워크스테이션까지 보호할 수 있게 했다. 또한 한국하니웰과 산업보안을 위해 협력하고 있으며, 하니웰 OT 자산 가시성 솔루션과 트렌드마이크로 네트워크 기반 보안 솔루션, 에스케어의 엔드포인트 보안 솔루션을 연동해 패키지화 하고 있다. 더불어 국내 대형 건설사를 대상으로 산업현장 필수 산업보안을 설계 단계부터 반영하기 위한 협업을 진행하고 있다.

한편 트렌드마이크로는 전기차와 커넥티드카 전용 보안 자회사 ‘빅원(VicOne)’을 설립하고 자동차 보안 시장에 진출했다. 트렌드마이크로는 자동차 생태계에 엔드-투-엔드 보안 솔루션을 제공하며 ▲차량 보안운영센터(SOC) ▲무선 보안 ▲차량 내 보안 ▲서비스형 침투실험 및 자동차 취약점 관리를 통합한 성능으로 보 다 상세한 사고 분석 및 신속한 대응을 도울 전망이다.

포티넷은 OT 환경을 위한 러기드 방화벽, 산업용 스위치를 제공해 온 경험을 기반으로 ▲자산 관리 ▲애플리케이션 가시성 및 제어 ▲침입 탐지 및 예방 ▲네트워크 액세스 제어(NAC) ▲세그멘테이션 및 마이크로 세그멘테이션 ▲신호 보호 ▲IoT 플랫폼 보호 ▲로깅 및 모니터링 기술을 제공한다. 포티넷 보안 패브릭에 통합되는 OT 보안 솔루션으로 IT-OT 융합 보안이 가능하다.

포티넷코리아는 OT 보안 솔루션을 직접 체험할 수 있는 데모센터를 마련, 고객과 파트너가 언제든 방문해서 데모 운영해 볼 수 있도록 한다.