IT-OT 통합 가시성 확보해야 OT 타깃 공격 방어
[데이터넷] 산업시설 운영조직의 80%는 ICS/IT 환경 내에서 모니터링 능력을 갖고 있지만, 산업시설 전반의 보안 가시성은 상당히 부족한 것으로 나타났으며, SOC에서 탐지 목적의 데이터를 제공하는 조직도 53%에 불과하다.
트렌드마이크로의 의뢰로 SANS 인스티튜트가 전 세계 ICS/OT 전문가 350명을 대상으로 진행한 ‘ICS/OT 가시성을 통한 IT/OT 사일로 해소’ 보고서에 따르면 응답자의 50%는 기업 SOC에 어느 정도의 ICS/OT 가시성이 포함돼 있으며, 기업 SOC 여부에 관계없이 37%의 응답자는 ICS/OT에 대한 특정 SOC를 보유하고 있다고 밝혔다. 또한 SOC에 ICS/OT 가시성이 없거나 OT를 위한 특정 SOC를 운영하는 조직의 67%는 SOC에 가시성을 확장하겠다고 밝혔다.
이러한 응답 결과에 따르면 산업시설에서 OT 가시성을 상당수준 확보한 것으로 보이지만, 실제 운영 환경에서는 그렇지 않은 것으로 보인다. OT 가시성을 위해서는 IT와 OT 통합, ICS/OT 장비 공급업체의 지원이 필요한데, IT 직원이 OT 운영에 대응할 수 있는 조직은 40%에 불과하며, 6%는 OT 사건 대응 계획이 없다고 밝혔다. OT 보안은 IT와 OT 전문지식을 조합해야 하는데, IT와 OT운영 통합이 이뤄지지 않은 상황에서는 OT에 대한 사이버 보안 계획을 세울 수 없다.
IT 기술로 OT 위협 완화
OT 환경을 노리는 공격자의 사이버 킬체인은 ▲공격 대상 식별과 취약성 조사 ▲공격 도구와 기술, 피싱 이메일 등을 이용한 침투 시도 ▲취약점 혹은 도난당한 자격증명 이용 접근과 확장 ▲수평이동과 지속성 유지, 탐지 회피 ▲데이터 도난, 운영 중단, 랜섬웨어 등의 단계를 거친다. 이는 IT를 노리는 공격과 동일한 전개 방식일 뿐만 아니라, IT를 통해 침투한 공격자가 OT로 확장하기 위해서도 같은 공격 방식을 사용한다. 따라서 IT-OT 통합은 OT 전반의 운영 지속성을 위해 필수다.
문제는 OT 보안 프로그램이 IT에 비해 성숙도가 낮으며, OT 보안을 위한 전문가도 부족하다. OT는 특수한 프로토콜과 운영환경으로 인해 IT 보안 지식만으로 OT를 보호할 수 없다. 예를 들어 IT 인력이 일정 수준의 OT 교육을 받고 초급 수준의 OT 보안 기술을 확보하게 됐다면, 사전에 정의된 플레이북과 워크플로우를 사용해 경보를 조사할 것이다. 추가 조사가 필요하면 더 높은 수준의 전문가에게 맡기겠지만, 일반적인 경보는 초급 인력이 처리하게 될 것이다.
그런데 만일 초급 분석가가 의심스러운 엔드포인트와 파일을 격리, 삭제, 재이미징 시, 산업 공정에 영향을 줄 수 있다. 그래서 고급 전문가가 초급 분석가의 업무를 모니터링 해야 하는데, 이로 인해 고급 전문가의 업무가 더 많아져 OT 보안 운영을 방해할 수 있다.
IT와 OT 보안 위협을 연계·통합 분석할 수 있는 기술로 초급 분석가의 실수를 미연에 차단할 수 있으며, 사이버 이벤트 탐지(63%), 자산 인벤토리(57%)와 ID와 액세스 관리(57%)가 IT-OT 전반의 이벤트 탐지와 보안운영 효율화에 도움이 된다고 판단된다.
OT 위협 탐지에 EDR·NSM 필수
그러나 이 기술만으로는 사이버 위협을 빠르게 식별하기는 어려우며, 엔드포인트 탐지 및 대응(EDR)과 네트워크 보안 모니터링(NSM)이 필수로 요구된다. 이 조사에서는 엔지니어링과 운영 자산에 EDR을 배포한 기업은 30%에 불과했으며, 심층 OT 환경 내 물리적 프로세스와 기본 제어 레벨에서 NSM을 배포하는 경우는 10%가 되지 않았다.
게다가 EDR은 윈도우, 리눅스, 유닉스 등 상용 OS 서버에 배포됐으며, OT 환경에서 사용되는 워크스테이션, 계측용 노트북, 보정, 테스트 장비 등에는 배포되는 사례가 높지 않았다. 실제로 제조업 서버 68%에 EDR이 배포됐지만, 엔지니어링 자산에는 30%에 불과했다. 화학 부문 자산에는 10%만이 설치됐다.
NSM을 배포한 사례는 더 적었다. 평균 응답자의 30%가 IT 네트워크 모니터링을 수행하고 있으며, OT 네트워크로 들어갈수록 가시성이 줄어서 20% 미만이 퍼듀 모델 2단계에서 기기 모니터링을 수행, 0/1단계에서는 10% 미만이 모니터링했다.
OT 보안 기술이 부족하다는 점 외에도 인력과 프로세스의 성숙도 부족 역시 OT 보안을 위험하게 하는 요인이다. OT 보안 장애물로 응답자들은 ▲OT 보안에 대한 IT 직원 교육(54%) ▲관련 부서 간의 커뮤니케이션 사일로(39%) ▲사이버 보안을 이해하는 직원의 채용 및 유지(38%) ▲IT 부서의 OT 직원 교육(38%) ▲IT 및 OT 도메인 전반의 위험 가시성 부족(38%)으로, 5개 중 4개가 직원과 관련된 문제였다.
레거시 기술 또한 OT 보안운영 가시성을 확장하는 데 있어 주요 장애물로 지목됐다. 레거시 디바이스와 네트워크의 한계(45%)와 OT 환경에 맞게 설계되지 않은 IT 기술(37%)이 IT 직원의 OT 지식 부족(40%)과 함께 3대 과제로 꼽혔다.
“IT-OT 보안운영 통합 노력 2배 강화”
보고서는 ICS/OT 환경이 원격접속, 엣지 클라우드를 받아들이면서 공급업체 관리, 비즈니스 분석 역량을 향상시키고 있지만, IT-OT에 대한 통합 가시성을 통한 안전한 운영 환경을 구축하지는 못하고 있다고 설명했다.
IT 보안만으로는 급증하는 OT 타깃 공격을 방어할 수 없으며, 보안 전문가, 엔지니어, 운영자들 간의 협력적인 노력이 필요하다고 강조했다. 보안 운영을 위한 팀의 교육 및 교육, 사이버 사건이 IT와 OT 경계를 넘나드는 방식의 이해, 이 조사에서 나열된 장애물을 줄이기 위한 노력은 어떤 ICS/OT 보안 프로그램에도 성공의 기반이 될 것이다.
이 보고서에서는 긍정적인 결론을 내리고 있는데, 응답자들이 IT와 OT 보안 운영을 통합하고 OT 위협에 대한 가시성을 높이기 위한 노력을 두 배로 강화할 계획이라고 밝혔다는 점이다. 전체 응답자의 3분의 2(67%)는 SOC를 확장할 계획이라고 답했으며, 이미 EDR을 배포한 응답자의 76%는 향후 24개월 동안 ICS/OT에서 이러한 배포를 확장할 계획이라고 답했다. 또한, 이미 NSM 기능을 추가한 응답자의 70%는 같은 기간 내에 이러한 배포를 확장할 계획이다.
더불어 트렌드마이크로 ‘비전 원(Vision One)’이 OT/ICS 전용 보안 솔루션 ‘티엑스원(TXOne)’을 연동시켜 IT영역 뿐만 아니라 OT/ICS 영역을 포함하는 XDR, 제로 트러스트, 공격표면위험관리(ASRM) 기능을 제공한다고 설명했다. 보안운영센터(SOC)는 단일 보안운영 플랫폼인 비전 원을 통해 IT-OT간 통합된 탐지·대응의 가시성을 확보하고 최적화된 리스크 관리를 수행할 수 있다.
빌 말릭(Bill Malik) 트렌드마이크로 인프라 전략 부문 부사장은 “IT와 OT의 융합은 이미 많은 산업 조직에서 디지털 혁신을 주도하고 있지만, 이러한 환경에서 리스크를 효과적으로 관리하기 위해서는 IT와 OT 보안운영(SecOps)도 함께 융합돼야 한다. OT 보안 프로그램이 뒤처져 있더라도 트렌드 비전 원과 같은 단일 보안운영 플랫폼으로 통합하면 가시성과 기술 격차를 좁힐 수 있다”고 말했다.
