OT 보안, 자산 가시화·네트워크 세분화 우선
상태바
OT 보안, 자산 가시화·네트워크 세분화 우선
  • 데이터넷
  • 승인 2023.01.23 15:32
  • 댓글 0
이 기사를 공유합니다

OT 60%, 보안 솔루션 없어…공격 차단률 40% 불과
OT 전용 네트워크·엔드포인트 보안과 IT 융합보안 필수
<남궁석 한국 트렌드마이크로 수석>

[데이터넷] 폐쇄망으로 운영되던 OT 환경이 4차 산업혁명의 물결에 올라타면서 IT와 융합되고 있다. 디지털 트랜스포메이션으로 OT를 스마트하게 운영하기 위해 외부와 통신을 확대하고 있으며, 그 결과 보안 대책이 부족한 OT가 사이버 공격에 무방비 상태로 노출되고 있다. 전 세계 전기·제조 기업의 89%가 보안사고를 경험했다고 조사됐는데, 보안 대책 없이 IT 통합을 시도한 결과라고 할 수 있다.

2010년 이란 핵시설을 공격한 스턱스넷을 시작으로 ICS-CERT 권고 건수와 CVE 취약점 식별 건수는 지속적으로 증가하고 있다. 최근 10년간 20배 이상의 보안사고가 발생한 것으로 집계되며, 2016년 이터널블루 SMB 취약점, 워너크라이 랜섬웨어가 사이버 위협의 첫번째 변곡점이라고 할 수 있다. 2020년을 계기로 두 번째 변곡점을 지나고 있는데, 코로나19로 인한 클라우드 전환 가속화, 서비스형 랜섬웨어로 활개를 치는 랜섬웨어, 러시아-우크라이나 전쟁과 함께 전개되는 사이버전 등이 이 기간 동안 OT 보안 위협을 심각하게 만들고 있다.

OT 환경에서 보안 대책을 수립하기 위해서는 그 환경의 특성을 이해할 수 있어야 한다. IT와 달리 OT는 가용성을 최우선 과제로 생각하기 때문에 상시 운영모드를 유지할 수 있어야 하고, 다운타임을 허용할 수 없다.

OT 설비 시스템은 HTTP, SMB, FTP 등 IT 환경에서 사용되는 프로토콜 이외의 특화된 고유의 프로토콜을 사용한다. 보호해야할 대부분의 자산은 레거시 OS와 애플리케이션 형태로, 패치나 업그레이드가 쉽지 않으며, 기 운영중인 솔루션의 호환성으로 인해 신규 프로그램 설치 또한 쉽지 않다.

이러한 사유로 IT 보안 솔루션을 그대로 OS 환경에 적용하기란 쉽지가 않다. 적용한다 해도 반쪽짜리 보안 대책으로 전락할 가능성이 높다. IT 보안 솔루션을 억지로 OT 환경에 맞추기 보다는 OT 전용 보안 솔루션을 통해 좀 더 실질적인 보안 강화를 할 수 있는 방안을 마련해야 한다.

자산 가시화·네트워크 세분화 필수

OT 환경은 폐쇄망으로 구성, 운영되어 왔기 때문에 보안을 고려하지 않았다. 대부분의 자산은 중앙 네트워크에 연결돼 있지만, 어떤 자산이 연결돼 있는지 정확하게 파악되고 관리되지 않았다. 공격자가 중앙 네트워크에 침투하면 모든 시스템을 파괴할 수 있는 취약한 구성이다.

그래서 IT와 마찬가지로 OT도 네트워크를 세분화해야 한다. 외부 공격자가 침투해도 세분화된 네트워크 영역만 영향을 받도록 하고, 다른 네트워크로 확장되지 못하도록 해 외부 위협의 범위를 감소시키고 공격 탐지와 대응 시간을 확보할 수 있도록 한다.

내부 자산 가시성을 확보해 프로토콜과 기능 등을 파악하고, 취약한 자산을 식별하며, 보안 우선순위를 정해야 하는데, 폐쇄망의 OT 환경에서는 이러한 기본적인 보안도 쉽지 않은 상황이다. OT는 환경 변화에 매우 민감하기 때문에 어떤 이유에서든 한 번 연결된 자산을 제거하는 것을 꺼린다. 어떤 장애가 발생할지 알 수 없기 때문이다. 이렇게 연결된 자산이 제대로 관리되지 않고 방치돼 있기 때문에 취약한 자산이 연결된 상태로 운영된다.

OT 엔드포인트의 보안 취약성도 심각하다. OT에 연결되는 기기의 OS와 애플리케이션은 오래되어 지원 종료된 것이 많은데, 운영중인 시스템과 서비스가 새로운 OS, 애플리케이션을 지원하지 않으면 업그레이드 할 수 없다. 취약점이 발견된다 해도 패치했다가 어떤 영향을 미칠지 모르기 때문에 쉽게 패치하지도 못한다. 일부 OT 운영 시스템이 환경 보안 대책을 마련하고 있지만, 60% 이상은 보안 솔루션을 구축한 경험이 없으며, 공격 초기 차단율은 40% 이하로 매우 취약한 상태이다.

▲OT 보안 전략 수립 단계
▲OT 보안 전략 수립 단계

제로 트러스트 적용 용이한 OT

변화에 민감한 OT의 특성 때문에 보안을 적용하기가 어려운 것은 사실이지만, 관점을 달리하면 제로 트러스트 원칙의 보안을 적용하기에 수월하다고 볼 수 있다. OT의 설비와 기기의 통신은 단순한 패턴이 반복되며 예외처리가 거의 없기 때문에 사전에 정의된 정책대로만 운영하면 된다. 화이트리스트 정책을 적용해 허가된 기기만 접근을 허용하고, 정의된 행위 외에는 차단하는 단순한 보안 정책 적용이 가능하다.

IT와 OT의 보안 위협의 성격과 대응 방법은 다르다. 그러나 보안을 적용하는 기준과 개념은 동일선상에서 출발할 수 있다. IT 보안이 방화벽, IPS, 백신으로 시작해서 현재까지 발전해 온 것 처럼, OT 보안도 방화벽의 접근제어와 네트워크 분리, IPS의 취약점 대응, 엔드포인트 위협 차단을 시작하는 것이 좋다. 제로 트러스트 보안 원칙을 단계적으로 적용해 초기 접근부터 검증하고 지속적인 모니터링으로 확장해 나가는 것이 바람직하다.

트렌드마이크로의 경우, ‘티엑스원 엣지(TXOne Edge)’를 이용해 네트워크를 분리하고 가시성을 확보하며, 가상패치 기술을 이용해 패치하지 못하는 엔드포인트와 시스템의 취약성 문제를 해결한다. 네트워크 영향 없는 인라인 혹은 미러링 구성으로 OT 프로토콜을 식별하며 위협을 탐지하고 취약점 악용 공격 패킷을 차단해 패치되지 않은 자산을 보호한다.

트렌드마이크로는 제로데이 이니셔티브(ZDI)를 통해 새로운 취약점을 발견하고 업데이트한다. 50여개의 OT 프로토콜과 산업 부문별 카테고리를 지원한다. 바이패스 기능으로 민감한 시스템을 보호하며, 팬이 아닌 방열판 쿨러로 제작돼 고온이나 극한 환경에서도 견딜 수 있게 한다. 랙이 아닌 캐비닛에 설치할 수 있는 작은 크기로 제작돼 보안 설비를 추가할 수 없는 환경에도 쉽게 구축할 수 있게 한다.

OT 엔드포인트 보호를 위해 제안하는 ‘스텔라(Stellar)’는 락다운(Lockdown) 기술을 이용해 신뢰할 수 있는 자산 리스트를 만들고 이외의 접근과 실행을 차단한다. 완전 폐쇄망으로 동작하는 자산의 경우, 안티 바이러스 소프트웨어와 USB 형태의 장치를 이용해 악성 소프트웨어 유무, 가시성을 확보를 지원한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.