[데이터넷] OT가 공격자들의 ‘주 수입원’이 되고 있다. 보안을 고려하지 않고 설계·운영되어온 OT가 외부와 연결되면서 침입이 쉬워지고 있으며, 시스템 중단·파괴 시 막대한 피해를 입기 때문에 공격자와 쉽게 협상할 수 있다. OT 공격은 금전적인 피해뿐만 아니라 사람들의 생명과 국가 안보까지 위협할 수 있어 더욱 위험하다. OT 보안 현황과 보호 방법을 알아본다.<편집자>

IT-OT 전반의 위협 탐지 능력 중요

OT는 그동안 폐쇄망에서 운영돼 공격이 쉽지 않았지만, 불가능한 것도 아니었다. 최근에는 클라우드와 IoT가 OT에 적용되면서 IT-OT를 이동하는 공격 위협이 더 높아졌다. IT는 물론이고 OT 환경도 공격표면이 증가하고 있어 OT로 침투해 IT로 이동하는 공격까지 나타나고 있다.

그래서 OT와 IT의 통합보안은 필수이며, 보안운영센터(SOC)가 IT-OT 전반의 위협을 감지하고 관리할 수 있어야 한다. 가트너는 CPS 보호 플랫폼 공급업체가 CMDB, NAC, 방화벽·스위치, SIEM, SOAR, XDR, 사이버 자산 공격 표면 관리(CAASM) 솔루션 등 IT 보안·관리 기술과 파트너십을 맺거나 API 피드를 구축했다는 사실을 언급하면서 SOC는 IT-OT의 통합관제 능력을 갖춰야 한다고 설명한다.

실제로 IT와 OT 통합은 빠르게 이뤄지고 있으며, 통합에 대한 요구도 매우 높다. SANS 인스티튜트 조사에서는 통합이 가장 요구되는 분야로 사이버 이벤트 탐지(63%), 자산 인벤토리(57%), ID와 액세스 관리(57%) 등이 꼽혔으며, 위협의 근본 원인을 파악하고 잠재적인 리스크를 예방하기 위해서는 IT와 OT 환경 전반에서 이벤트를 탐지할 수 있는 역량이 중요하다고 설명했다.

제로 트러스트 원칙으로 OT 보호

IT와 OT의 통합을 완성도 있게 구현하는 벤더로 트렌드마이크로가 꼽힌다. 트렌드마이크로는 OT 보안 전문회사 티엑스원네트웍스를 자회사로 두고 있으며, 양사 솔루션을 긴밀하게 연동시켜 OT-IT 통합 보호가 가능하도록 한다.

특히트렌드마이크로 XDR 솔루션 ‘비전 원(Vision One)’과 OT/ICS 전용 보안 솔루션 ‘티엑스원(TXOne)’을 연동해 IT-OT-ICS 환경 전체에 제로 트러스트 원칙을 적용한 XDR, 공격표면 위험관리(ASRM)을 제공할 수 있다. SOC는 비전 원을 통해 통합 탐지·대응 가시성을 확보하고 최적화된 리스크 관리를 수행할 수 있다.

한편 티엑스원네트웍스는 OT 제로 트러스트 방법론으로 ICS/OT 환경의 신뢰성과 안전성을 보장하는 보안 솔루션을 제공한다. SC 어워드 유럽 2023 ‘올해의 신인상’, 포트레스 사이버 시큐리티 어워드 수상, 웨스트랜드 어드바이저리 최고 혁신상 등 여러 전문기관으로부터 기술력을 인정받았으며, 모싸, 노조미 네트웍스, 요코가와, 미쯔비시 등 여러 IT·OT 및 설비제조사와 파트너십을 맺고 산업 보안 분야의 전문성을 높이고 있다.

트렌드마이크로는 의료 서비스, 제조, 석유·가스, 전기 유틸리티, 자동차, 5G 네트워크 등에 최적화된 보안 솔루션을 제공하고 있으며, 특히 프라이빗 5G 네트워크 보안을 위한 자회사 ‘씨티원(CTOne)’을 설립하고 이 분야의 전문성 역량을 향상시키고 있다.

OT로 확장되는 XDR

XDR이 IT 뿐만 아니라 OT에서도 핵심 솔루션으로 부상하고 있다. XDR 솔루션 기업들이 OT 보안 솔루션과 협력하거나 자체 개발 기술로 OT에 대한 확장된 탐지·대응 기술을 선보이고 있는 것이다.

스텔라사이버가 오픈XDR 개념을 OT 영역까지 확장시키면서 OT 보안의 새로운 사업 모델을 만들고 있다. 스텔라사이버는 OT의 HMI, PLC 등이 IT 환경과 동일해지고 있는 등 OT 환경에도 IT 기술이 적용되고 있다는 점을 강조하면서 OT의 상당부분을 XDR로 가시화하고 탐지·대응할 수 있다고 강조한다.

스텔라사이버는 수년전부터 다양한 OT망 보안위협 탐지·대응 시스템을 구축했으며, 제조망에 대한 보안 위협을 정확히 찾아내고 제거해 OT 보안에 새로운 대안을 제시하고 있다. 특히 IT와 OT를 연계한 탁월한 탐지·대응 능력으로 전사 보안 수준을 한층 높일 수 있다고 강조한다.

취약점 관리 전문기업 테너블이 국내 진출을 선언하면서 OT 보안 시장에서 두각을 보이겠다고 강조해 주목되고 있다. ‘테너블 OT 시큐리티’는 OT 환경에서 자산을 식별하고 위협을 평가하며, 조치 우선순위를 정하며, IT-OT 협력을 지원한다.

에이전트 없이 작동하는 OT 시큐리티는 하드웨어에 VM 이미지를 설치하거나 물리적인 어플라이언스로 배포돼 에이전트 설치·운영 부담을 줄인다. 탁월한 취약점 관리 기능과 AI/ML 사용 취약성 우선순위 제안, 간단하고 직관적인 UX를 제공한다.

보안 시장에서 ‘파괴자(Disruptor)’로 불리는 마이크로소프트가 OT 시장에서도 시장 질서를 위협하는 혁신가로 부상하고 있다. 마이크로소프트의 ‘디펜더 포 IoT’는 마이크로소프트의 광범위한 IT 보안 포트폴리오와 통합돼 IT-OT 전반의 위협을 관리할 수 있게 한다.

디펜더 포 IoT는 온프레미스, 클라우드로 배포할 수 있으며, 네트워크 센서·디펜더 포 엔드포인트를 통한 DPI, 행동 프로파일링, 프로토콜 액티브 쿼리 등을 통해 위협 정보를 수집한다. 애저를 통해 셀프 서비스로 배포되며, 취약점 기반 자동화된 위협 평가, 공격표면 감소 기능을 제공한다. 플레이북, 헌팅 쿼리, 워크북을 통한 사용자 정의 가능한 탬플릿도 지원해 OT 보안 전문성이 낮은 운영자도 OT 위협을 효과적으로 완화시킬 수 있게 한다.

통합 플랫폼으로 OT 보안 효율화

OT 보안을 위해 필요한 기술을 나열하면 끝이 없다. 자산 식별과 관리, 취약점·패치 관리, ID·액세스 관리, NAC, 백신과 EDR, NDR, XDR, SIEM, SOAR, 보안성 평가와 관리, 위협 인텔리전스 등이 필수로 요구된다. IT 보안과 마찬가지로 이 모든 기술이 단독으로 운영되어서는 안되며, 통합 플랫폼에서 한 몸처럼 동작하면서 이벤트의 연계분석을 통한 노이즈 감소, 리스크 우선순위 대응이 필요하다.

OT 보안 전문 조직 웨스트랜즈 어드바이저리는 ‘2023 IT/OT 네트워크 보호 플랫폼 내비게이터’에서 OT 보안 리더에게 “사이버 보안에 대한 플랫폼 접근방식으로 전환하여 기업의 자산 전반에서 통합적인 가시성을 확보하고, 전체 OT 환경에 보안 정책과 절차를 구현, 관리해야 한다”고 조언했다.

포티넷 ‘2023 글로벌 운영기술 및 사이버보안 현황 보고서’에서도 OT에 대한 통합 플랫폼을 강조했다. 통합 플랫폼은 복잡성을 줄일 뿐 아니라 탐지 시스템을 우회하는 정교한 공격까지 탐지할 수 있으며, 대응 작업을 효율화 해 OT 환경에 미치는 영향 없이 위협에 대응할 수 있게 한다. 또한 IT-OT 환경에서 보안정책을 일관되게 통합하고 시행할 수 있게 해 기업 전체의 보안위협을 낮출 수 있게 한다.

포티넷은 자사 제품과 파트너 에코시스템을 통합 운영할 수 있게 하는 사이버 보안 메시 아키텍처(CSMA) ‘보안 패브릭’을 산업용 보안 제품에 적용한 ‘OT 인지 통합 보안 패브릭(OT-Aware Security Fabric)’으로 OT 보안을 완성한다.

이 패브릭에 포함되는 포티넷 제품은 산업용 방화벽·스위치 등 산업 보안 솔루션과 포티NAC, OT·IoT 보안서비스와 위협 인텔리전스, 포티PAM 시큐어 원격 액세스, 포티디셉터, 포티 EDR, 포티NDR, 포티 어낼라이저, 전문 보안 서비스 등이 있다. 그리고 개방형 에코시스템을 통한 OT 기술 공급업체와 통합을 지원해 스마트 팩토리, 발전·에너지, 선박 등 다양한 OT 환경을 보호한다.