제로 트러스트 원칙으로 OT 보호해야
[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>
똑똑해지는 설비…잦아지는 침해사고
몇 년 전부터 제조업이 잦은 사이버 침해 사고를 당하고 있다. SK쉴더스가 한 해 동안 발생한 침해사고 데이터를 분석한 연례 보고서에 따르면 2022년에는 전체 공격의 18%가 제조사를 노렸다. 2021년에는 무려 28.5%였으며, 2020년에는 24.4%를 차지했다. 전 세계적으로도 제조시설을 노리는 공격이 큰 비중을 차지하고 있다. 트렌드마이크로 조사에 따르면 2021년 한 해 동안 글로벌 전기·제조 기업의 89%가 OT 보안 사고를 겪었다고 밝혔다.
제조시설은 공격자가 큰 수익을 얻을 수 있기 때문에 집중 타격을 받고 있다. 제조시설은 찰나의 장애에도 큰 피해를 입는다. 생산시설은 장애시 복구에 상당한 시간을 들여야 하며, 일정 기간 동안 불량이나 장애가 반복적으로 발생할 수 있어 장애가 발생한 순간뿐만 아니라 그 이후에도 피해가 지속될 수 있다.
제조시설은 외부와 단절된 폐쇄망으로 운영되어 왔기 때문에 외부에서 원격으로 침입하는 것이 쉽지 않다. 그런데 인더스트리4.0이 전개되면서 제조설비가 스마트팩토리로 전환, IoT와 클라우드를 받아들이면서 폐쇄망의 설비들이 외부와 연결되기 시작했다. 제조사는 시설에 센서를 설치해 설비의 장애 여부를 미리 파악하고 대응하고자 했으며, ERP와 연동해 제품의 원재료와 부품을 제때 공급하고 소비수요를 예측하고 생산량을 효과적으로 통제하고자 했다.
제조설비를 제공하는 회사들도 폐쇄망 설비에 대한 직접적인 통신을 원했다. 펌웨어 업데이트를 이용한 공급망 공격을 차단하고, 고객사의 실수 혹은 악의를 가진 내부자에 의한 감염을 방지하기 위해 설비 제조사들이 직접 고객 설비에 원격으로 연결해 안전한 업데이트 파일을 설치하고자했다.
이렇게 연결된 포트는 업데이트 종료 후 연결을 끊고 열린 포트를 닫아야 하는데, 연결이 끊어진 상태에서 포트를 열어두고 방치하는 경우가 많다. 쇼단 등의 검색사이트를 이용하면 인터넷에 연결된 ICS 시스템을 쉽게 찾을 수 있다.
우리나라 OT 83%, 한 번 이상 침해사고 겪어
연결성이 높아진 것이 제조설비만은 아니다. 전력, 전기, 발전소, 수도시설 등 사회 중요 인프라와 스마트시티, 지능형 교통시스템, 스마트 공동주택단지, 스마트홈 등 이전에 연결되지 않았던 시설과 기기가 인터넷에 연결되어 스마트해지고있다. 그래서 공격이 잦아지고 심각한 피해를 입게 된다.
포티넷 조사에 따르면 우리나라 OT 조직의 83%가 1년 이내에 한번 이상 침해사고를 겪었으며, 40%는 운영중단으로 인한 생산성 저하를 경험했고, 70%는 서비스를 재개하는데 몇 시간 이상, 14%는 며칠 이상 소요됐다고 밝혔다. 전 세계 조직을 대상으로 한 조사에서는 93%가 한 번 이상 사고를 겪었고, 3건 이상 침입을 경험한 조직이 무려 78%에 이른다.
OT 보안을 해결하기 어려운 문제 중 하나가 공급 망이다. 포티넷 조사에서는 국내 OT 조직의 79%가 100개 이상의 IP 지원 OT 장치를 운영하고 있으며, 대다수의 조직들이 산업용 장치를 보호하기 위해 2~8개의 서로 다른 공급업체를 사용하고 있다. 기업이 여러 OT 보안 도구를 사용하고 있어 보안 복잡성이 가중된다.
복잡한 공급망을 이용하는 공격도 등장하고 있다. 일본 도요타 자동차는 협력사가 랜섬웨어 공격을 받아 일본 내 모든 공장의 가동이 중단되는 피해를 입었으며, TSMC는 소프트웨어 공급망을 이용한 랜섬웨어 공격을 받았다.
코로나19 이후 의료기관 공격 급증
코로나19 이후 의료기관을 노리는 공격이 크게 늘었다. 의료기관도 스마트한 의료 서비스를 위해 IoT를 도입하고 있지만, 의료기관은 보안에 대한 인식이 낮기 때문에 쉽게 감염될 수 있다. 공격자들은 의료설비에 악성코드를 배포해 의료시 설의 핵심 인프라를 제어하고 돈을 요구하며, 블랙마켓에 의료정보를 판매한다. 의료시설에 대한 랜섬웨어 공격으로 환자가 제때 치료를 받지 못해 사망하는 사고도 발생한 바 있다.
코로나19 기간 동안에는 코로나 치료제, 백신을 개발하는 연구시설을 노리는 공격이 성행했다. 지난 7월 국내 의료기관이 사용하는 PACS 서버를 대상으로 한 공격이 발견되기도 했다.
원자력 발전소, 정유공장 등 중요 기반시설은 언제나 공격자들의 목표가 된다. 지난해 발견된 공격 중 키네틱(Kinetic)이 이 시설의 산업제어시설 컨트롤러를 무기화한 것으로, 취약한 시스템에 대한 물리적 손상을 야기한다.
러시아-우크라이나 전쟁으로 OT 위협이 현실화되기도 했다. 러시아는 끊임없이 우크라이나의 핵 시설을 노리면서 압박했다. 이미 러시아는 2015년 우크라이나 전력시설을 파괴해 우크라이나 전역이 한겨울에 전기를 사용하지 못하게 하는 피해를 입혔다.
자율주행차 공격 현실화
자율주행자동차는 공격자가 장악했을 때 ‘거리의 흉기’가 될 수 있다. 공격자가 자율주행차를 원격에서 조정해 인명사고를 내거나 중요 건물 및 시설을 파괴하는 무기로 사용할 수 있다.
실제로 독일의 보안 전문가가 유럽과 북미 13개 국가 25대의 테슬라를 원격으로 해킹했다고 공개한 일도 있었다. 그는 차량의 문과 창문을 열고 카메라를 비활성 화하고 차량 현재 위치를 파악하는 등의 원격조정이 가능하다는 사실을 시연하기도 했다. 이 전문가는 자동차 앱이 클라우드와 연결되는 API 취약점을 이용해 공격했다고 설명했다. 또 커넥티드카 부품을 공급하는 다양한 파트너를 통한 해커의 침입이나 결함있는 소프트웨어를 탑재한 제품이 공급될 수 있다는 문제도 지적했다.
트렌드마이크로는 ‘2023년 위협 전망’보고서에서 “공격자가 수익을 극대화하기 위해 OT와 IIoT로 시선을 돌리고 있다. 경기침체기에 신성장 동력을 만들기 위해 많은 산업이 IIoT로 가는중요한 단계인 5G 네트워크와 AI를 통합하고 있다. 이 과정에서 성숙도가 다른 기술간의 격차, 예상치 못했던 실수와 오류, 장애 등이 발견될 수 있으며, 사각지대를 이용해 공격자들 이 침투할 수 있다”고 경고했다.
스마트시티, 랜섬웨어 감염되면…
스마트시티는 전 세계 모든 도시가 꿈꾸는 이상이지만, 보안이 전제되지 않으면 심각한 재앙이 될 수 있다. 노조미네트웍스의 ‘스마트시티는 프라이버시와 탄력성을 보장하기 위해 사이버 보안을 우선시한다’는 제목의 블로그 게시글을 보면, 스마트시티에서 사생활과 중요정보 유출, 랜섬웨어 공격이 우려된다.
스마트시티는 이기종 네트워크와 시스템으로 연결된 최신 기술로 다양한 서비스를 이용하고 서로 소통한다. 이는 서비스를 다운시키거나 시스템에 랜섬웨어를 주입하려는 해커의 타깃이 된다.
또한 통신 인프라를 대상으로 한 해킹이나 IoT 기기와 네트워크·통신 취약점 공격, 신뢰할 수 없는 통신 사간 로밍, SIM 스와핑, 보호되지 않은 브로드캐스트 와 유니캐스트 메시지, 사용자 위치와 사용 활동을 알 수 있는 제어채널 취약점 등을 이용한 공격을 우려할 수밖에 없다.
스마트시티 사생활 유출 위협은 ‘아파트 월패드 해킹’을 통해 알 수 있다. 월패드 뿐 아니라 가정용 IP 카메라, IPTV, AI 스피커 등을 장악한 공격자가 사생 활 정보를 외부에 생중계 할 수 있고, 홈 네트워크에 연결된 업무용 기기로 침투해 회사의 중요 시스템으로 접근하는 통로를 만들 수 있다.
시큐리온은 스마트폰에 몰래 설치되는 스파이웨어 ‘페가수스’를 예로 들며 악성앱의 위험성을 설명했다. 시큐리온은 코로나19로 인해 원격근무, 클라우드, 모바일 등의 기술이 확산되면서 공격루트가 늘어났고, 불법으로 취약점을 거래하는 시장도 커졌다고 경고했다.
OT 보안 개선되고 있지만 충분하지 않아
OT/ICS, IoT와 스마트시티 보안위협이 현실화되면서 보안 현장에 긍정적인 변화가 있었다. 노조미네트웍스가 후원한 ‘SANS 2022 OT/ICS 사이버 보안 보고서’에 따르면 조사에 응한 조직의 제어 시스템 보안 예산이 증가했다는 답이 66%에 이르렀다. 2021년보 고서에서는 47%가 예산이 증가됐다고 답했다.
또 87.5%의 조직이 최근 1년 동안 OT/ICS 보안감사를 수행했다고 답했으면, 2021년에는 같은 질문에 76%가 보안감사를 수행했다고 답했다.
ICS 교육과 인증에 대한 투자도 개선됐다. 조사대상자의 83%가 전문 제어시스템 인증을 보유했다고 답했는데, 전년 54%보다 증가한 것이다. ICS 운영을 강조하는 역할을 맡고 있다는 응답자는 2021년 50% 에서 2022년 80%로 껑충 뛰었다.
사고를 경험한 조직의 56%가 사건 발생 후 24시간 이내에 타협을 본다고 답했는데, 2021년 51%보다 증가한 수치다. 69%는 사고 후 6~24시간 이내에 감염된 시스템을 격리시키며, 29%는 지속적인 위협 탐지를 수행하고, 83%는 OT 보안 모니터링을 수행, 41%는 전용 OT SOC를 사용한다고 답했다. OT 보안위협이 높거나 심각하다고 평가한 응답자는 2021년 70%에서 2022년 62%로 낮아졌으며, 24%는 사고가 발생하지 않았다고 확신했다.
보안인식이 개선되고 있다고 해서 보안 리스크가 낮아졌다고. 조직의 35%가 보안 침해 여부를 확신하지 못한다고 답했으며, 엔지니어링 워크스테이션 공격은 12개월 동안 2배 증가했다.
경제위기로 OT 보안 투자 미뤄져
OT는 보안 기술을 적용하는 것이 매우 어렵다. OT 보안 솔루션은 최소 200개의 OT 프로토콜을 지원해야 하며, 각 설비가 구축된 현장의 커스터마이징 된 프로토콜까지 지원할 수 있어야 한다. 또한 OT 네트워크는 가용성이 중요하기 때문에 극히 미미한 영향을 미치는 모니터링 시스템이라도 연결을 꺼리게 된다.
OT 네트워크에는 작은 센서부터 거대한 로봇까지 수많은 종류의 기기가 연결된다. 이 기기에는 다양한 종류와 버전의 OS와 전용 애플리케이션이 설치돼 있으며, 상당수는 매우 오래된 것이고 일부는 지원종료된 것이다. OS조차 없는 임베디드 시스템도 많다.
지원 종료된 OS와 애플리케이션은 새로 발견된 취약점의 패치가 지원되지 않기 때문에 취약점에 노출된 상태로 운영해야 한다. 가상패치가 이러한 문제의 대안이 되지만, 이를 지원하지 않는 기기나 애플리케이션도 많다. OT 기기는 리소스가 충분하지 않아 보안 솔루션을 설치하기 어려운 경우가 많다.
가장 큰 문제는 OT 조직의 보안 인식이 충분히 성숙되지 않았다는 점이다. OT 보안사고가 잇따르면서 보안 경고가 나오고 있으며, 실제로 침해를 당한 조직이 늘어나면서 보안 대책을 마련해야 한다는 공감대는 있지만, 실제 투자는 계속 미뤄지는 상황이다.
특히 심각한 경제위기가 다가올 것이라는 전망으로 인해 보안 투자는 더 소극적이 될 수 밖에 없으며, 보안사고는 더욱 극성을 부릴 것으로 보인다.
AI 적용 OT 위협 가시성 확보해야
OT 보안을 시작하려면 가장 먼저 자산을 식별해야 한다. ‘볼 수 없는 것은 보호하지 못한다’는 보안 원칙에 따라 보호해야 할 자산을 파악하고, 성격과 업무, 중요도에 따라 분류하며 보안 정책을 적용한다. 식별된 자산이 갖고 있는 취약점을 파악해 제거하고, 외부에서 검색 가능한 OT 시스템을 찾아 보호 정책을 적용한다.
제로 트러스트 보안 정책을 적용해 OT에 접근하는 모든 시도를 검증하고, 행위를 모니터링한다. OT 기기는 보안을 위해 사용할 수 있는 리소스가 제한적이기 때문에 최소한의 리소스만 사용하는 보안 기술을 적용하며, 네트워크에 영향이 없는 미러링 방식으로 이상행위를 분석한다.
IT와 연결되는 지점이나 클라우드 및 외부와 연결되는 구간의 검역 시스템을 정비해 악성코드가 연결구간을 통해 접근하지 못하도록 하며, 필요하다면 물리적 일방향 통신을 사용해 보안수준이 낮은 망에서 높은 망으로의 접근은 차단한다.
클라우드·IoT를 적용해 스마트한 OT를 운영하기 위해서는 외부 연결이 필수다. 연결은 가능하면 최소화하며, 강력한 통제하에 외부와 연결하고, 최소 권한 원칙과 마이크로 세그멘테이션을 적용해 한 번 감염된 시스템이 다른 시스템에 영향을 미치지 못하도록 한다.
IT, 클라우드, IoT와 통합된 보안관제센터를 운영해 전체 위협을 가시화하고 통제·관리할 수 있게 하며, 산업 전문 인텔리전스와 위협 탐지·대응 기술을 적용해 지능적인 공격 위험으로부터 OT 시스템을 지능적으로 보호해야 한다.
OT/ICS 가시성 높이는 전문 보안 솔루션
이러한 요건을 맞출 수 있는 솔루션 제공 기업으로 노조미 네트웍스와 클래로티가 있다. 둘 다 OT 자산 가시성 확보와 취약점 제거, OT 네트워크 이상행위 탐지, SaaS 기반 OT 보안 서비스를 제공한다.
노조미 네트웍스는 하드웨어 OT 보안 솔루션도 서비스로 제공하는 모델을 공개하고 초기 보안 투자 부담을 줄였으며, OT 산업 전문 인텔리전스를 제공해 새로운 위협에 즉각 대응할 수 있게 한다.
노조미 네트웍스의 주력 제품인 ‘가디언(Guardian)’은 네트워크의 모든 OT/ICS 및 IoT 자산과 행동을 확인해 정보를 제공하며, 사이버 위협, 취약점, 이상행위 등을 탐지해 신속하게 대응할 수 있게 한다. 모든 자산에 대한 보안, 가시성, 모니터링을 통합해 회복력을 높일 수 있게 한다.
SaaS로 제공되는 ‘밴티지(Vantage)는 가디언의 모든 기능을 퍼블릭 클라우드 인프라를 통해 제공하며, OT/ICS, IoT, IT 등 네트워크 전반의 보안과 사시성을 제공한다. 단말의 수량과 상관없이 사용중인 단말을 기준으로 서비스 과금 하기 때문에 기업은 합리적인 서비스 모델을 채택할 수 있다.
또한 퍼블릭 클라우드의 자원을 바탕으로 플레이북과 워크북을 제공할 수 있으며, 식별 된 자산에 대해서도 실제 제품의 이미지를 보여줘 제품 가시성을 높일 수 있다. 세분화 된 RBAC가 가능해, 여러 다양한 목적과 역할을 가진 담당자들에게 적정한 권한을 부여할 수 있으며, 지역적 구분없이 누구나 접근할 수 있다.
클래로티는 XIoT를 강조하면서 OT/IoT 보안 기술을 한층 확대하고 있다. XIoT는 기존 OT, IoT와 스마트 빌딩의 각종 시설과 의료시설, 심지어 시설 내 인터넷 에 연결된 자동판매기까지 모든 것을 포함한다.
클래로티가 XIoT의 원활한 지원을 위해 2022년 새롭게 출시한 모듈식 SaaS 플랫폼 ‘엑스돔(xDome)’은 ▲자산 식별 ▲취약점·위험 관리 ▲네트워크 보호 ▲위협 탐지 ▲자산 관리 ▲변경 관리 등의 기능을 통해 XIoT 전략을 구현하는 산업조직의 성장과 보안을 지원한다.
엑스돔은 클래로티의 보안 연구조직 ‘팀82(Team82)’가 수행하는 도메인별 연구와 광범위하고 깊이 있는 XIoT 프로토콜 포트폴리오를 활용해 상세한 중앙 집중식 XIoT 자산 인벤토리를 제공한다. 클래로티 팀82는 각종 수상경력이 있는 업계 최고 전문가 그룹으로, 최신 취약점 탐지와 분석을 수행한다.
엑스돔은 팀82가 찾고 분석한 신규 취약점 정보와 업계에서 가장 포괄적인 CVE 및 기타 취약점 데이터베이스를 모든 XIoT 자산과 자동으로 연결한다. 이를 통해 네트워크 전반의 위험을 관리할 수 있으며, 작업에 대한 맞춤형 위험 점수와 권장사항을 제안한다.
IT 기업, OT 보안 진출 러시
IT 기술 기업도 OT 보안까지 영역을 확장하면서 시장 공략에 나선다. 특히 네트워크 보안 기업들이 적극적인 행보를 보이고 있는데, 산업용 방화벽을 제공하면서 축적한 OT 프로토콜 지원 기능, 열악한 환경에서도 무중단 운영이 가능한 강력한 하드웨어 폼팩터 등을 장점으로 내세운다.
포티넷은 산업용 방화벽과 스위치, 위협 탐지와 관리 기술, OT 네트워크에 특화된 AI NDR과 SIEM 등을 제공하며, 2500개 이상 프로토콜과 다양한 산업용 애플리케이션을 지원한다. 차세대 방화벽에서 스위치와 AP를 직접 관리해 유무선 통합 관리가 가능하며, 마이크로 세그멘테이션으로 공격자의 수평이동을 막는다.
트렌드마이크로는 OT 보안 전문 브랜드 ‘티엑스원 (TXOne)’을 내세우면서 OT 시장 경쟁력을 자신한다. 여기에는 엔드포인트, 네트워크 보안 솔루션이 포함된다. 엔드포인트 보안 솔루션은 안티바이러스와 락다운 기능이 제공되며, 악성 소프트웨어 탐지와 차단, 화이트리스트에 포함되지 않은 파일과 프로세스 접근을 차단하는 기술을 제공한다.
네트워크 보안으로는 ‘티엑스원 엣지 IPS(EdgeIPS)’와 ‘엣지파이어(EdgeFire)’를 제공한다. 이는 IPS, 방화벽 솔루션으로 외부에서 유입되는 취약점 공격을 탐지, 차단하며, 내부 통신 가시성을 확보해 식별되는 자산에 대한 제로 트러스트 정책을 제공한다. 트렌드 마이크로는 XDR 솔루션을 연동해 IT와 OT 융합 환경을 보호하도록 할 계획이다.
국내 환경에 최적화된 OT 보안
안랩도 OT 보안 시장에서 두각을 나타내고 있다. 안랩은 특수목적 시스템 보호를 위한 EPS로 OT 엔드포인트 보안 시장을 이끌고 있으며, 외부와 통신이 불가능한 PC의 정보를 식별하는 EPS 릴레이 제품을 출시했다. 이 제품은 EPS와 연동해 사용할 수 있으며, 네트워크 패킷·프로토콜 분석으로 알지 못했던 폐쇄 망 IT 자산을 관리하고 보호할 수 있게 한다.
또한 안랩은 OT 보안 자회사 나온웍스와 OT 네트 워크 가시성과 위협탐지 모니터링을 제공하는 ‘세레 브로 IDS’를 출시하고 OT 네트워크 보안 시장에도 진출했다. 나온웍스는 폐쇄망을 위한 일방향 망연계 솔루션 전문기업으로, OT 네트워크의 이상행위를 정밀하게 분석하고 대응할 수 있는 기술을 지속적으로 고도화하 고 있다. 나온웍스는 15년간 OT 프로토콜 분석 전문성을 쌓아온 기업으로, OT 프로토콜을 물리적 수준까지 가시화 할 수 있는 레벨의 이상징후 탐지 기술을 공급한다.
OT 보안 시장에는 OT 전용 보안스위치를 제공하는 한드림넷, 물리적 일방향 통신 시스템을 가장 먼저 개 발한 앤앤에스피, 망연계 기술로 일방향 망연계, 양일 방향 망연계 등 다양한 OT 보안시스템을 제공하는 휴 네시온, OT 보안관제 기업 이글루코퍼레이션 등이 시 장 개척을 위해 노력하고 있다.
특히 휴네시온은 한국전력공사의 중소기업 협력연 구개발사업에 참여해 ‘OT 전력망 사이버보안 자산 식별·제어·분석 시스템 개발’ 사업을 완료하고, 시범운영하고 있다.
이 사업은 다수의 네트워크로 구성되어 있는 전력 망 환경에서 제로 트러스트 관점의 보안 검증을 위해 NAC 기술을 기반으로 OT 전용 보안 센서를 개발하 는 사업으로, ‘아이원NAC’에 OT 전력망 특화 기술을 개발해 반영했다.
