[데이터넷] 휴네시온은 2020년 한국전력공사의 중소기업 협력연구개발사업에 선정되어 ‘OT 전력망 사이버보안 자산 식별·제어·분석 시스템 개발’ 사업을 2022년 하반기에 완료했다. 다수의 네트워크로 구성되어 있는 전력망 환경에서 제로 트러스트 관점의 보안 검증을 위해 NAC 기술을 기반으로 OT 전용 보안센서를 개발하는 사업으로 아이원NAC에 OT 전력망 특화 기술을 반영했다.<편집자>

OT+IT 융합 전력망 환경은 다수의 네트워크와 다양한 프로토콜이 표준화나 단일화되어 있지 않아 관리적 복잡성이 높다. 또한 운영되고 있는 OT 장비의 상태 변경 파악 미흡, 운영되지 않은 OT 장비의 자산 관리 미흡 등 OT 운영 장비에 대한 자산 식별과 지속적인 자산 현행화 관리 미흡으로 인해 사이버 보안 위험 노출이 높아지고 있다.

전력망에 연결된 OT 장비의 가시성 확보가 중요하고, 제로 트러스트 관점의 보안 검증을 위해 계층별 경계 보안을 강화하는 접근 방식보다 지속적인 사이버 보안 위험 관리가 보다 적합하다. 이를 위해 기본적으로 OT 정보 자산을 식별하고 목록화 및 현행화해 보안 관점으로 모니터링을 지속해야 한다.

FA망, 제어망 등 서로 다른 특성의 전력망 환경에서 물리 적 망분리를 준수하면서 네트워크 접근제어 솔루션의 구축 비용을 절감하고, 통합 관리의 효율성과 운영 안정성을 향상시킬 수 있는 개선 방안이 현장의 요구사항이었다.

망분리 요건 충족하며 가장 높은 보안성 구현

OT 전력망 환경은 다중 네트워크 연결을 지원하고 물리적인 분리 구조를 가지고 있어 보안성을 확보하면서 시스템 전원 이중화로 안정성을 강화한 네트워크 접근제어 솔루션의 보안 센서 장비가 필요하다.

추가적으로 망분리 운영 위배(망 혼용), 시스템 해킹 장악 등 보안적합성 이슈를 해결할 수 있는 하드웨어 장비의 물리적 구조 형상을 요구한다.

SCADA 네트워크와 IT 업무/관리 네트워크는 물리적 망분리가 필수며, SCADA 이외의 다른 특성 망 간 연결은 한 장비에서 허용하지 않고, 동일 특성 망 간 연결은 한 장비에서 허용하지만 논리적 망분리보다 보안이 더 강화된 방법을 필요로 했다. 또한 디지털변전소(SA 변전소)의 모든 장비는 내부 규정과 서지 피해에 대한 대응 정책에 따라 DC 전원으로 구동돼야 하고, 내부 회선 연결은 광라인으로 구성돼야 한다.

OT 전력망 환경에서 사용하고 있는 네트워크 통신 표준 프로토콜(IEC 61850, DNP3 등) 분석을 통해 OT 운영 자산을 식별하고, OT 운영 자산과 관리자의 등록 자산 간 갭 분석(IP, MAC, GOOSE ID 등)을 통해 주기적으로 자산 정보의 변경사항을 확인하는 방법을 검토했다. 이때 등록되지 않았 거나 등록 정보와 다른 OT 운영 자산을 탐지하면 네트워크 접근제어 시스템의 관리자 설정 보안 정책에 따라 알림 또는 차단으로 대응해야 했다.

휴네시온은 현장 실증 시범 적용을 위해 OT+IT 융합 전력 망 환경을 조사 분석했고, 3가지 대분류 특성망(제어망, FA 망, OA망)으로 구분하고 네트워크 접근제어 솔루션의 보안 센서 중심으로 운용 구성 방안을 검토했다.

각 구성 방식에 대해서 망분리 보안성과 비용 절감 효과성을 비교 분석했고, 각 특성 망별 독립된 물리적 연결로 구성 하는 것이 망분리 요건을 충족하면서 가장 높은 보안성을 갖게 된다.

휴네시온 네트워크 접근제어 솔루션 선택

휴네시온은 IT 디바이스 자산을 식별 및 관리하고 기업의 정보보안 플랜에 따라 취약점 점검을 수행해 진행상황을 모니터링할 수 있는 사이버 보안 자산 관리 기술을 보유하고 있다.

또한 네트워크 접근제어가 IT뿐 아니라 OT 보안을 위해서도 필수 솔루션이라고 판단하고, 한국전력공사 지원 ‘OT 전력망 사이버 보안 자산 식별·제어·분석 시스템 개발’ 사업을 진행하면서 네트워크 접근제어 솔루션을 인수했다. 이 솔루션은 망연계, 시스템 접근제어 등 주력 솔루션의 기술 개발 역량과 체계적인 기술지원 서비스를 바탕으로 A생명서비스, B화재, C도청 등 IT 분야의 다수 네트워크 접근제어 구축 사 업에서 안정적인 성능과 기능 검증을 받았다.

휴네시온은 NAC의 탁월한 가시성과 통제성을 OT 분야 네트워크 접근제어에 적용, OT 전력망 현장의 요구사항을 수 용하면서 다수 네트워크로 구성돼 있는 네트워크 연결 장비의 가시성 확보를 지원하고 있다. 이를 통해 OT 융합 전력망 환경에서 정보자산 관련 모든 장비의 보안 상태를 통합 관리하고 사이버 보안 위험을 최소화할 수 있게 됐다.

물리적 보안성 유지하며 안정적 서비스 제공

휴네시온의 ‘아이원NAC(i-oneNAC)’은 기본적으로 IT 환경에서 내부 사용자 및 단말에 대한 인증을 강화해 비인가 사용자 및 단말의 네트워크 접근을 차단하고 정보자산을 보 호하는 네트워크 접근제어 솔루션이다.

또한 에이전트 드라이버 기반의 접근 통제 기능, 외부 단말 강제 백신 검사 기능, IP/MAC 기준 자산 관리 기능, 중요 장 비 보호를 위한 OUI 관리 기능, 관리자별 쿼리 기반 동적 대시보드 등 보안과 운영 편의성을 높이는 다양한 기능을 제공한다.

휴네시온은 OT 전력망 환경에서 아이원NAC 기반으로 다중 네트워크 연결을 지원하고 독립적으로 동작하는 멀티보드 모듈식 네트워크 접근제어 보안 센서를 구성했다.

이는 물리적 보안성과 안정성을 강화한 구조로 OT 정보 자산의 수집 및 식별, 보안 분석 및 모니터링, 접근제어를 통해 사이버 보안 위험에 대응할 수 있다.

FA망, 제어망 등 OT 전력망의 각 특성 망별 연결 구성 방 식에 따라 물리적으로 분리된 구조의 동일한 보안 센서에서 높은 보안성을 유지하면서 동시에 독립적 운영이 가능하다. 또한 OT 운영 장비의 가용성 보장을 위해 시스템 전원 이중 화를 지원하는 탈장착 가능 모듈로 구성돼 있다.

아이원NAC은 OT 전력망의 운영 자산을 네트워크 트래픽 분석 기반으로 자산 식별 및 현행화하고 비인가/미등록 운영 자산은 네트워크 접근을 통제한다. 심층 패킷 분석(DPI) 기반으로 IEC 61850 프로토콜(GOOSE, MMS 등) 분석을 통해 자산 정보를 수집하고, 등록 자산과 갭 분석으로 비인가 또는 미등록 자산을 탐지하고 보안 정책에 따라 네트워크 접근을 통제한다.

또한 트래픽 통계 정보 분석 시 비정상 트래픽 감지 및 관리자 통지 기능을 통해 순간 트래픽이 높은 경우 차단 기능을 제공한다.

휴네시온은 제품 수준의 정보보호 제품 신뢰성 확보를 위해 네트워크 접근통제 CC 인증(EAL2)과 소프트웨어 품질 GS 인증(1등급)을 획득했다.

아이원NAC은 한국전력공사 C지사와 S변전소의 실망 환경에서 SCADA 제어망의 OT 운영 장비를 대상으로 시범 적용해 운영하고 있다. 또한 OT 제어망(SCADA, DAS)은 물론 FA망(무인보안, 물리출입 등)과 OA망(인터넷, 인트라넷)까 지 다중 네트워크 연결을 지원해 시범 운영함으로써 OT+IT 융합 전력망 환경에서 물리적 보안성을 유지하면서 안정적인 서비스를 제공한다.

보안 모델 최적화로 보안성·안전성 검증

OT 전력망 환경에서 다수의 네트워크 접근제어 솔루션 구축 시 휴네시온의 ‘아이원NAC’은 물리적인 분리 구조로 망 분리 보안성을 유지하고 시스템 전원 이중화 지원으로 안정성도 강화한 네트워크 접근제어 보안 서비스를 제공한다. 또한 OT+IT 융합 전력망 환경에서 서로 다른 특성 망에 다중 네트워크 연결 구성을 지원해 네트워크 접근제어 솔루션의 구축 비용 절감 효과까지 얻을 수 있다.

OT 전력망의 운영 자산은 네트워크 통신 표준 프로토콜 분석 기반으로 자산 식별 및 현행화해 네트워크 연결 장비의 가시성을 확보하고, 비인가 또는 미등록 운영 자산의 네트워크 접근을 통제함으로써 사이버 보안 위험을 최소화시켰다.

휴네시온의 ‘아이원NAC’은 현장 실증 시범 적용을 통해 OT+IT 융합 전력망에 최적화된 보안 모델을 제시하고 보안성과 안전성 검증을 받았다. OT 전력망 환경에서 자산 식별 기반의 사이버 보안 위험 평가(취약성, 위협)와 보안 컴플라이언스 준수를 위한 주요 정보통신 기반 시설 현장 점 검의 실효성을 강화하는 효과를 제공했다. 앞으로 OT 사업 영역 확장과 네트워크 접근제어 보안 시장 점유 확대를 기 대하고 있다.

휴네시온은 향후 OT 전용 보안시스템인 일방향 망연계 솔루션 ‘아이원넷DD(i-oneNet DD)’ 제품과 자회사 시큐어시스템즈의 ‘시큐어SOAR(SecureSOAR)’를 연계한 양방향 OT 보안관제 아키텍처를 선보일 예정이다.

OT전용 단방향 송신장비인 아이원넷DD에서 수집한 OT 망 프로토콜 정보를 통합 보안 모니터링 시스템인 시큐어 SOAR에서 빅데이터 정보를 기반으로 정규화와 전처리를 거쳐 머신러닝을 통한 정규분포를 모델링, 화이트리스트를 구성해 특정된 모델을 기반으로 새로운 값들에 대해 비정상적 인 이상징후를 모니터링할 수 있게 한다. 이를 통해 다양한 프로토콜 정보를 통합, 분석하고, 이상징후를 파악해 보안 사고를 사전에 예방한다.