[데이터넷] OT가 공격자들의 ‘주 수입원’이 되고 있다. 보안을 고려하지 않고 설계·운영되어온 OT가 외부와 연결되면서 침입이 쉬워지고 있으며, 시스템 중단·파괴 시 막대한 피해를 입기 때문에 공격자와 쉽게 협상할 수 있다. OT 공격은 금전적인 피해 뿐만 아니라 사람들의 생명과 국가 안보까지 위협할 수 있어 더욱 위험하다. OT 보안 현황과 보호 방법을 알아본다.<편집자>

진입 장벽 높은 OT 보안 기술

OT 보안 시장이 높은 성장세를 보일 것이라는 예측은 이미 오래 전부터 제기되어왔지만, 예상만큼 빠른 성장을 기록하지는 않았다. 가장 큰 문제는 OT 조직의 보안 인식이 충분히 성숙하지 못했기 때문이다. 최근 몇 년간 랜섬웨어와 국가기반 공격자들의 집요한 침해시도에 OT 환경이 지속적으로 노출되면서 보안 필요성에 대한 공감대가 형성되기 시작했다.

OT 보안은 쉽게 개발하거나 도입할 수 있는 솔루션이 아니다. OT는 가용성이 중요하기 때문에 시스템 장애와 중단, 혹은 네트워크 성능 저하 요인이 있는 기술을 추가하기 어렵다. OT는 기기마다, 현장마다 다른 특수한 프로토콜을 사용하며, OS·애플리케이션도 해당 환경에 최적화해 개발된다. 표준이 부족하고, 통합·연계되지 않는 기술을 사용하기 때문에 범용적인 보안 솔루션을 적용하기 어렵다.

이 문제를 해결하기 위해서는 수백가지에 이르는 OT 프로토콜과 OT 환경의 특수한 OS·애플리케이션을 인지하고 연결된 자산 식별, 이상행위 탐지 기술을 갖춰야 한다. 이 기술이 OT 네트워크와 시스템 영향 없이 동작해야 하며, IT 기술과 연동돼 전체 위협 가시성을 제공할 수 있어야 한다.

가트너는 의료, 방위, 철도, 해상운송 등 산업별로 특화된 시스템과 프로토콜 유형, 규제·안전을 위한 고유한 보안요구사항을 만족할 수 있는 기술도 필요하다고 강조한다. 더불어 산업별 위협 인텔리전스, 플레이북, IT 보안 도구로 피드, 자산과 네트워크, 데이터 흐름을 직관적으로 파악할 수 있는 토폴로지 맵도 필수 기술이라고 설명한다.

이외에도 네트워크 세분화로 수평이동을 차단하며, 역할기반 액세스 제어(RBAC)로 권한없는 사용자의 무단 침입을 방지하고, 리스크 기반 취약점과 패치관리로 공격표면을 효과적으로 제어할 수 있어야 한다. OT 환경도 클라우드나 원격에서 통제·제어하려는 시도도 있기 때문에 다양한 클라우드를 지원하거나 클라우드를 통해 배포되는 모델도 필수로 요구된다.

기가옴은 기만(Deception) 기술과 OT 보안 시스템의 유지관리와 패치 시 에어갭 환경의 문제를 극복하기 위한 랑데부(Rendezvous) 기능, 다이내믹 네트워크 세그멘테이션, 위협 탐지를 위한 AI 기술, 프로토콜과 애플리케이션 디코딩 등이 OT 보안 솔루션 평가하는 주요 기준이라고 밝혔다.

실행 가능한 OT 특화 인텔리전스 제공

OT 보안 전문 기업 중 노조미 네트웍스가 국내 화학, 배터리, 제약, 발전 등 중요 대기업 생산라인에 솔루션을 공급하면서 주목할만한 성과를 거두고 있다.

노조미 네트웍스는 전 세계 주요 국가의 발전, 정부기관, 빌딩 자동화·데이터센터, 의료, 운송·물류, 정부기관 등에 솔루션을 공급하고 있으며, OT 환경에 대한 심층적인 이해로 정확한 위협 탐지·대응, 취약성 평가, 위험관리를 제공한다. AI를 이용해 자산 인벤토리를 지속적으로 업데이트하고 보호할 수 있게 한다.

노조미 네트웍스는 OT 특화 위협 인텔리전스 서비스도 좋은 평가를 받는다. 실행 가능한 인텔리전스를 제공하는 노조미 네트웍스 서비스는 OT 보안 전문성과 가디언 센서를 통해 지속적으로 수집하는 위협정보를 접목해 분석, 제공하는 노조미의 인텔리전스는 새로운 위협을 더 빠르게 탐지하고 대응할 수 있게 한다.

OT·IoT 취약성 평가를 통해 공격위험이 있는 자산을 식별하며, 초기·후기단계의 지능형 위협과 사이버 위협을 탐지한다. OT·IoT 전체를 통합한 인텔리전스로 위협에 대한 가시성을 높이고, 보안 태세를 정확하게 평가할 수 있게 한다.

방화벽, 오케스트레이션 등 타사 보안 플랫폼에서도 사용 가능해 IT-OT 통합 보안관제 역량을 한층 강화시킬 수 있다.

실제 사용 사례를 예로 들어보면 마이크로소프트 애저 센티넬 SIEM과 노조미 인텔리전스를 결합해 IoC를 식별할 수 있게 하며, SOAR 플랫폼이 IoC 기반 격리규칙을 팔로알토 네트웍스 방화벽에 업데이트 해 정확하게 위협에 대응할 수 있게 한다.

노조미 네트웍스는 자산 인텔리전스도 제공해 운영중인 자산을 빠르게 식별하고 취약성을 추적, 관리해 공격표면을 제거하고 공격이 실행되기 전에 차단할 수 있다. 자산 인텔리전스를 통해 이벤트 노이즈를 70% 이상 줄이고 보안팀이 중요한 문제에 집중할 수 있게 한다.

노조미의 핵심 솔루션 ‘가디언(Guardian)’은 가상·물리 센서를 사용해 모든 ICS, OT,IoT, IT, 엣지, 클라우드 자산을 보호하고 모니터링한다. 운영중인 자산을 식별·분류하며, 취약성을 식별·평가하고 대응 우선순위를 지정한다. 가디언의 모든 기능을 SaaS로 제공하는 ‘밴티지(Vantage)’는 SOC/IT와 쉽게 통합될 수 있으며, 지속적으로 위협 탐지 기능을 업데이트 해 새로운 위협에 즉각 대응할 수 있게 한다.

노조미는 중요 인프라의 엔드포인트를 위한 센서 ‘아크(Arc)’도 제공한다. 엔드포인트 취약성 평가와 보호, 트래픽 분석, 진행중인 위협과 이상현상을 진단하며, 멀웨어, 악성 애플리케이션, 승인되지 않은 USB, 의심스러운 사용자 활동을 찾아낸다. 윈도우, 맥OS, 리눅스를 지원하며, 대규모 다중 사이트 네트워크까지 쉽게 확장된다.

XIoT로 확장되는 보안 기술

OT 환경은 IoT로 인해 대대적인 변화를 겪고 있다. 기존에는 산업용IoT(IIoT)를 주로 다뤘지만, 이제는 의료IoT, 물류 IoT 등 다양한 IoT 기기들이 OT와 연결되면서 스마트 혁신을 가속화된다. 이는 공격 가능성을 더 높이는 요인이 되고 있다. 포티넷 조사에서는 OT 운영자 80%가 OT 환경에 100개 이상 IP 지원 OT 디바이스를 보유하고 있다고 답했다.

IoT가 증가하면 클라우드 연결성도 높아진다. IoT를 통해 수집된 정보를 클라우드에서 분석해 OT를 더 효율적으로 운영하고자 하는 추세가 있다. 대표적으로 헬스케어 분야에서는 환자 혹은 사용자의 건강정보를 클라우드에서 수집해 전문의 혹은 AI가 진단하고 질병 징후를 미리 파악해 치료를 받게 하거나 지속적인 모니터링이 필요한 질환에 대한 데이터를 실시간으로 기록해 담당의가 알 수 있도록 한다. 이러한 의료 IoT 기기가 침해당하면 환자 기록을 조작해 환자의 생명을 위험하게 할 수 있다. 사용자의 기록을 조작해 보험료를 올리는데 악용될 수도 있다.

클래로티는 의료 IoT 전문기업 메디게이트를 인수한 후 OT·IoT 보안역량을 한층 넓힌 XIoT 전문기업으로 자리잡고 있다. 의료, 산업, 엔터프라이즈 환경으로 확장되는 XIoT 보안 전문성을 앞세우고 있는 클래로티는 산업, 헬스케어, 커머셜, 공공 분야에 특화된 맞춤형 솔루션을 제공한다.

클래로티는 글로벌 OT 전문기업 중 가장 먼저 한국 지사를 설립하고 시장을 개척해왔다. 특히 지사 설립 초기에 시작된 코로나19 기간 동안 보안 원격 접속 솔루션 SRA로 특수를 누렸다. SRA는 OT를 위한 제로 트러스트 네트워크 액세스(ZTNA) 솔루션으로, VPN의 취약점을 해결하면서 원격지에서 OT 환경을 안전하게 관리할 수 있게 한다.

클래로티 보안 솔루션은 국내 글로벌 제조사, 에너지·발전, 선박 등 다양한 산업군에 공급됐으며, 위협 조사 전문조직 팀82의 산업 보안 특화된 연구 보고서와 위협 인텔리전스를 지원해 신·변종 위협도 정확하게 식별하고 대응할 수 있게 한다.

클래로티는 핵심 솔루션 ‘CDT’와 SaaS 솔루션 ‘엑스돔(xDome), 자산 식별과 취약점 관리, 모니터링을 지원하는 ‘클래로티 엣지’, 보안 원격 액세스 솔루션 ‘SRA’로 구성된 제품군을 보유하고 있으며, 사전 예방적인 자산·장치 보호, 신속한 사고 대응으로 사이버 레질리언스를 강화한다.