[데이터넷] 2021년 미국 콜로니얼 파이프라인 랜섬웨어는 미국 동부 일대를 일주일 이상 마비시킨 사상 최악의 사이버 보안 사고였다. 이외에도 전 세계에서 전력시설, 정유시설, 의료기관, 자동차 제조사 등이 사이버 공격으로 OT/ICS 설비가 파괴되거나 시스템이 중단되는 피해를 입었다. 시스템 중단으로 인한 직접적인 피해와 주가 폭락, 브랜드 이미지 악화 등의 추가 피해가 발생했다. 그보다 더 중요한 것은 대규모 환경파괴와 유해물질 누출, 원자재 대량 폐기, 시민의 안전 위협, 작업자 인명피해 등 금액으로 환산할 수 없는 피해로 이어진다.

나현식 투씨에스지 매니저는 “OT/ICS 침해사고가 점점 더 빈번해지고 대규모화되고 있다. 그런데 이를 어떻게 보호할지 모르며, 각 조직이 협업하기 어렵다. 게다가 OT/ICS는 난해하고 복잡하다. 그래서 OT/ICS 보안 사고 시 쉽게 해결하지 못하며, 대규모 피해를 입을 수밖에 없다”고 말했다.

OT 보안 근본 문제는 ‘모른다’

나현식 매니저는 9일 열린 ‘제 22회 차세대 보안 비전 2023’에서 올 한 해 딱 하나의 보안 프로젝트만 수행해야 한다면’이라는 주제의 세션을 통해 OT/ICS 보안 문제를 어떻게 해결해야 하는지 대안을 제시했다.

나현식 매니저가 진단한 OT/ICS 보안의 난제는 ‘모른다’는 것이다. 제어시스템 운영사는 실제 현장에서 제어 시스템이 어떻게 구동되는지, 보안 현황이 어떤지 알지 못하며, 보안기업과 컨설팅 기업은 고객사의 개별 환경 특성과 공정 프로세스를 알지 못한다. 생산팀은 생산설비의 사이버 위협 수준과 취약점 현황을 파악하지 못하고, OT/IT 연결 접점을 정확하게 알지 못한다. 보안팀은 공정 운영 스케줄과 과·오탐 여부를 확인하지 못한다.

보안에 책임이 있는 내외부 조직이 OT/ICS 보안 전문성을 갖추지 못한데다가 정보공유도 제대로 되지 않으며, 수많은 종류의 OT/ICS 설비와 기기 현황에 대해 파악하지 못하고 있다. 많은 OT/ICS 설비와 OS, 애플리케이션은 제조사와 제품 버전, 관리주체, 도입 시기를 제대로 기록하고 관리하지 않는다. 그래서 지원이 종료되거나 치명적인 취약점이 공개되어도 조치하지 못한다.

취약점을 해결한다 해도, 자산별 중요도와 시스템 민감도를 판단해 결정해야 하는데, 자산 식별도 제대로 되지 않은 상황에서 민감도를 파악해 대응하는 것이 쉬운 일은 아니다. 자칫 잘못하다가 사이버 공격을 받을 때 보다 더 심각한 운영 중단 사태가 발생할 수 있기 때문이다.

산업제어시설 보안을 위해 우리나라를 포함한 세계 각국 정부가 보안 표준과 가이드를 발표하고 있는데, 이 표준을 지키기 위해서는 OT/ICS의 모든 자산을 가시화하고, 설정오류와 취약점 파악 등의 문제를 해결해야 한다.

나현식 매니저는 “OT/ICS는 가용성이 매우 중요하기 때문에 보안을 염두에 두지 않았다. 최근 대규모 사고로 인한 막대한 피해가 발생하면서 가용성만큼 보안도 중요하다는 인식이 생기고 있다. 그러나 OT/ICS 보안은 운영 설비에 영향을 주지 말아야 하며, 산업용 프로세스와 프로토콜을 이해해야 한다는 전제를 갖고 있기 때문에 쉽게 해결할 수 있는 문제가 아니다. 또한 특정 OT/ICS를 노리는 정교한 위협에 대한 전문성도 필수”라고 말했다.

OT 특화 위협 인텔리전스로 정교한 해킹 탐지

투씨에스지는 글로벌 OT 보안 전문기업 노조미 네트웍스 총판으로, 국내 여러 OT/ICS 운영사와 제조시설에 차별화된 OT 보안 솔루션과 서비스를 공급하고 있다. 특히 OT/ICS 특화 위협 인텔리전스 서비스를 제공, 정교한 해킹공격을 탐지하고 자산에 포함된 취약점을 찾아 대응할 수 있다. AI 보안 분석 기술을 이용해 운영중인 설비의 비정상 행위를 식별하고, 비즈니스 가동을 중단시키는 심각한 위협을 사전에 탐지해 조치를 취할 수 있다.

노조미 네트웍스 보안 솔루션을 사용한 A사는 내부 시스템이 완벽한 폐쇄망으로 운영되고 있어서 안전하다고 믿었으나 노조미 솔루션으로 자산을 파악한 결과 무선NIC, 모바일 라우터를 이용한 외부망 연결 장비가 다수 발견됐다. 이 장비는 출처를 알 수 없는 비인가 장비로, 언제든지 공격에 이용될 수 있었다.

또 다른 기업 B사는 사내 업무망(OA)에서 제어망으로 접근을 시도하는 랜섬웨어를 탐지해 파일이 암호화되기 전에 차단했다. 산업용 프로토콜에 위협 탐지 정책을 적용해 운영중인 C사의 경우, 패킷분석으로 이상 프로토콜을 식별해냈지만, 어떻게 조치해야 할지 알지 못하는 상황이었다. 노조미 네트웍스 솔루션은 이상 프로토콜에 대한 즉각적인 대응 방법을 제안했으며, 지속적인 모니터링으로 정책을 추가하면서 탐지 가능한 상태를 확보할 수 있게 했다.

전문성 있는 파트너와 함께 OT 보호해야

나현식 매니저는 “OT/ICS는 폐쇄망으로 운영되고, 사전에 허가된 프로세스만 허용되며, 특수한 프로토콜을 사용하기 때문에 외부 사이버 위협으로부터 안전하게 보호되고 있다고 믿었다. 그러나 실제 현장에서 테스트를 해 보면, 외부와 무단으로 연결된 수많은 장비, 알 수 없는 무선 접속 장비, 열려있는 포트, 관리되지 않은 예외조치 등 공격자가 악용할 가능성이 있는 도구와 정책이 너무나 많다는 것을 알 수 있다. OT/ICS 환경은 한 번 설정을 변경한 후 다시 관리하지 않기 때문에 많은 보안위협에 노출돼 있다”고 지적했다.

OT/ICS를 보호하기 위해서는 자산 식별과 취약점 파악, OT 네트워크 모니터링, 네트워크 세분화, 위협 인텔리전스, 안전한 제조사 선택과 운용, 복구 계획이 반드시 필요하다. OT/ICS 네트워크에 영향을 주지 않고 가용성을 보장하면서 다양한 사이버 위협에 대응하기 위해서는 이 분야의 전문성을 가진 보안 솔루션 및 전문가 파트너십이 필수다.

나현식 매니저는 “OT/ICS 보안은 모든 사이버 보안 사고 중 가장 큰 피해를 발생시킨다. 그리고 대한민국은 가장 매력적인 공격 대상으로 사이버 범죄자의 수익을 높이고, 안보 불안을 일으키며, 국민의 생명·재산을 위협할 수 있다”며 “이러한 문제를 예방할 수 있는 전문 OT/ICS 솔루션과 잘 준비된 전문 파트너가 필요하다. 노조미네트웍스와 투씨에스지가 그 역할을 충실히 할 것”이라고 말했다.

김선애 기자 다른기사 보기