[데이터넷] OT가 공격자들의 ‘주 수입원’이 되고 있다. 보안을 고려하지 않고 설계·운영되어온 OT가 외부와 연결되면서 침입이 쉬워지고 있으며, 시스템 중단·파괴 시 막대한 피해를 입기 때문에 공격자와 쉽게 협상할 수 있다. OT 공격은 금전적인 피해뿐만 아니라 사람들의 생명과 국가 안보까지 위협할 수 있어 더욱 위험하다. OT 보안 현황과 보호 방법을 알아본다.<편집자>

강화되는 OT 보안 규제

OT 보안에 있어 반드시 고려해야 할 점이 규제다. 많은 국가 정부가 중요 인프라를 보호하기 위해 사이버 보안 규제를 강화하고 있으며, 이를 위한 지침과 프레임워크를 발표하고 있다. 최근 가장 주목받는 규제가 유럽연합의 NIS2로, 올해 1월 발효됐다. EU 회원국은 내년 10월까지 이 조치를 국내법으로 전환할 수 있다.

NIS2는 EU 내에서 운영되고 있으며, 최소 50명의 직원을 고용하거나 수익이 1000만 유로를 초과하며, 사회에 중요한 것으로 간주되는 모든 기업과 기관에 적용된다. 에너지, 의료, 운송, 물류, 제조, 식품, 폐기물 관리, 우편 서비스 등 광범위한 산업군이 포함된다.

NIS2에서는 대상 시스템의 위험·취약성 관리, 공급망 보안, 사고 대응, 보안 관리 등을 포함하는 사이버 리스크 관리를 의무화했으며, 기업의 회복력과 연속성을 보장하도록 했다. 규정을 준수하지 못할 경우 경영진이 법적 책임을 지게 되며 기업은 징벌적 과징금을 받게 된다.

이외에도 NIST SP 800-82, MITRE, IEC-62443, HIPAA, ISO 2700x, NERC CIP, HITRUST, CIS 20, TSA SD 2021-02, FDA 21 CFR 등의 규제와 보안 프레임워크가 OT 조직이 반드시 점검해야 할 내용이다.

미국 증권거래위원회(SEC)가 사베인스옥슬리(SOX) 모델과 유사한 사이버 보안 규칙 제정을 추진하고 있어 여기에도 많은 관심이 쏠리고 있다. 10월경 공개될 것으로 알려지는 SEC 사이버 보안 규칙은 상장기업이 침해 발생 후 4일 내에 관계기관에 통보해야 하며, 사이버 보안 위협 식별과 관리를 위한 정책·절차, 사이버 보안 정책·절차를 구현하기 위한 경영진의 역할, 사이버 보안 전문지식이 있는 이사회, 사이버 보안 위험 감독과 이전에 보고된 중요한 보안 사건 업데이트 등을 의무화하는 내용을 담을 것으로 알려진다. OT 운영 조직 중 상장사는 이 규칙이 최종적으로 어떤 내용을 담게 될지 주의 깊게 살펴보고 있다.

또한 미국에서는 내년부터 스마트기기를 위한 사이버 보안 라벨링 프로그램을 시작할 계획이라고 밝혔는데, 강력한 기본 암호, 데이터 보호 조치, 소프트웨어 업데이트와 사고 감지 기능 등이 장치에 의무적으로 포함돼 있어야 한다는 내용을 담고 있다. 대상이 되는 기기는 스마트가전기기, 스마트 건강관리 추적기 등 다양한 소비자 제품이다.

우리나라에서는 주요정보통신기반시설에 대해 보안 책임자를 두고, 매년 취약점 분석·평가를 시행하도록 하고 있다. 국가표준 KS X IEC 62443-4-1, KS X IEC 62443-4-2를 마련하고 OT/ICS 보안을 강화하기 위해 노력하고 있다.

또한 IoT 보안인증이 시행되고 있으며, 가전, 교통, 금융, 스마트시티, 의료, 제조·생산, 주택, 통신 등 8대 융합분야에서 사용되는 IoT 기기에 대한 보안 인증을 받도록 하고 있다. 더불어 기존 인증 기준에 부합하지 않는 새로운 모델도 인증을 받을 수 있도록 파생모델 제도를 도입하고 있다.

급성장하는 OT 보안 시장

OT 보안 경고가 잇따르면서 관련 시장도 크게 성장하고 있다.

가트너는 6월 발표한 ‘CPS 보호 플랫폼을 위한 시장 안내서’에서 “5년 전 CPS 보안 분야에 10개의 공급업체가 있었지만, 지금은 (가트너가 분석하는 업체가) 45개 이상이다. 그 결과 공급업체가 차별성을 강조하기 위해 새로운 기능을 계속 추가하고 있으며, 네이티브 프로토콜 분석, 위협 인텔리전스, 취약성관리, 플레이북, 경고 등 다양한 기능을 제공하고 있다. 또한 IT 도구에 신속하게 배치해 CPS 보안을 자산 중심 보안으로 통합해 관리할 수 있게 한다”고 설명했다.

OT 보안이 개선되고 있다는 것은 여러 설문조사를 통해서도 입증된다. 포티넷이 OT 전문가를 대상으로 조사한 결과, 76%가 사이버 보안과 유연성을 향상시켜 조직을 안전하게 보호할 수 있다고 답했으며,

트렌드마이크로가 SANS인스티튜트에 의뢰해 350여명의 산업시설 종사자를 대상으로 설문조사한 결과 80%가 ICS 환경 내에서 모니터링 기술을 갖고 있다고 답했다. 또 기업 전체 보안운영센터(SOC)에서 OT 가시성을 확보하고자 노력하고 있으며, SOC에 ICS/OT 가시성을 갖추지 못한 조직의 67%가 계획을 세우고 있다고 답했다.

OT 보안을 위해 필수적인 기술은 OT 자산 식별과 취약점 대응, 모니터링을 통한 위협 탐지와 대응이 기본이며, 네트워크 세분화, 보안 원격 액세스, 공급망 보호, 사이버 기만 기술, 사이버 위협 정량화와 보안 서비스 등이 최근 주목받고 있다

OT 보안의 ‘리눅스 생태계’ 탄생하나

OT 보호를 위한 산업 맞춤형 위협 인텔리전스도 필수로 주목된다. 공격자는 단 하나의 시설만을 노리는 것이 안라 동종 산업군에 대한 공격을 광범위하게 펼친다.

예를 들어 3CX 공급망 공격에 이용된 감염된 엑스트레이더는 미국, 유럽의 에너지 설비에서 탐지돼 서방국가의 에너지 시설을 노리는 것으로 분석됐다. 한 설비에서 악성코드가 탐지됐다면 동종업계 다른 시설에도 악성코드가 유포됐을 수 있으므로 위협에 대한 정보를 적극적으로 공유하면 사고가 확산되는 것을 미연에 방지할 수 있다.

특히 산업별, 국가별 인텔리전스를 이용해 국가기반 공격자, APT 그룹이 어떻게 활동하고 있으며, 어떤 조직을 노리고 있는지 파악하고 선제적으로 대응할 수 있다.

글로벌 OT 설비업체와 보안 기업들이 OT 위협 조기경보 플랫폼 ETHOS(Emerging Threat Open Sharing) 개발에 협력하면서 인텔리전스 공유에 적극 나서고 있다. 1898 & Co, ABS그룹, 슈나이더 일렉트릭, 노조미 네트웍스, 클래로티, 드라고스, 테너블 등이 함께하며, 리눅스와 같은 개방형 생태계 조성을 목표로 한다.

김선애 기자 다른기사 보기