[데이터넷] OT가 공격자들의 ‘주 수입원’이 되고 있다. 보안을 고려하지 않고 설계·운영되어온 OT가 외부와 연결되면서 침입이 쉬워지고 있으며, 시스템 중단·파괴 시 막대한 피해를 입기 때문에 공격자와 쉽게 협상할 수 있다. OT 공격은 금전적인 피해뿐만 아니라 사람들의 생명과 국가 안보까지 위협할 수 있어 더욱 위험하다. OT 보안 현황과 보호 방법을 알아본다.<편집자>

OT 보안 자회사와 함께 시장 공략

국내 보안 기업들도 OT 보안 시장에 경쟁적으로 뛰어들고 있다. 국내 보안 기업들은 국내 환경에 최적화된 기술을 제공한다는 점을 강조한다. 또 IT-OT 통합 보안을 위해 여러 기술과 서비스가 필요하다는 사실을 강조하면서 여러 전문기업과 파트너십을 통해 다양한 활용사례를 만들고 있다.

안랩은 자회사 나온웍스와 함께 OT와 IT 융합 보안 전략을 강화한다. 양사의 OT 보안 전용 솔루션 ‘세레브로-XTD(CEREBRO-XTD)’는 OT 가시성과 위협 모니터링을 지원하며, 안랩의 특수목적 시스템과 연동해 엔드포인트 가시성, 악성코드 검사·치료까지 제공한다. DP 분석이 가능한 다수의 OT 시스템 프로토콜을 추가해 다양한 종류의 설비 식별과 이상 징후를 탐지할 수 있다.

나온웍스는 물리적 일방향 데이터 전송 솔루션 ‘세레브로 DD’, OT 프로토콜 변환과 표준화 솔루션 ‘세레브로 C’, OT 통합보안·관제 솔루션 ‘세레브로 CNC’, PLC/RTU/IoT 센서 데이터 수집·연동을 위한 프로토콜 게이트웨이 ‘세레브로 C’ 등의 OT 보안·커넥티비티 솔루션을 제공하는 전문기업이다.

휴네시온은 OT 보안 자회사를 통해 OT 보안 전문성을 강화한다. 더불어 자회사 시큐어시스템즈와 함께 OT 보안 통합관제로도 진출한다. 휴네시온의 ‘아이원NAC’, 물리적 일방향 망연계 ‘아이원넷 DD’와 시큐어시스템즈 ‘시큐어SOAR’를 연동해 OT 보안 관제를 제공한다. 휴네시온은 양일방향 망연계 ‘아이원넷 DX’로 보안 수준이 다른 망 간 일방향 데이터 전송을 한층 안전하게 돕는다.

국내 OT 보안 시장을 만들고 개척해 온 앤앤에스피의 확장력도 매우 높다. 앤앤에스피는 물리적 일방향 솔루션 ‘엔넷다이오드’를 가장 먼저 개발해 시장을 만들어왔으며, 이후 지속적으로 제품 포트폴리오를 확장하면서 OT 보안 시장 전반에서 인지도를 높이고 있다.

OT 시스템 패치 관리를 위한 ‘엔넷트러스트’, 산업용 방화벽 ‘엔넷가드’, OT 보안 솔루션 ‘엔넷NDR’ 등을 개발, 국내 다양한 기관·기업에 솔루션을 제공하고 있다.

화이트리스트 보안스위치로 OT 보안 시장을 공략하고 있는 한드림넷이 자회사 에이치디엔닷을 설립하고 기업용 솔루션과 OT보안 솔루션 공급에 적극 나선다. 에이치디엔닷은 공급망 관리, 비즈니스 인텔리전스, 그리고 OT 전용 보안 솔루션 화이트리스트 보안 스위치를 제공한다. 또 한드림넷의 네트워크 보안스위치 기술과 20여 년간 국내, 해외의 고객 경험을 바탕으로 연내 차세대 산업용 보안 스위치와 통합 관리 솔루션을 출시할 예정이다. 산업용 제어 시스템과 연결된 네트워크 및 장비들의 보안을 강화하려는 기업을 위해 생산 시설과 시스템을 더욱 안전하게 운영할 수 있도록 지원할 계획이다.

인증 솔루션 기업 센스톤이 LS일렉트릭과 함께 강력하지만 쉬운 PLC 보안인증을 선보여 주목된다 센스톤의 일회용 인증코드(OTAC)를 LS일렉트릭 PLC 제품에 탑재해 PLC 무단 변경과 침입을 원천 봉쇄하고 주요 인프라 해킹을 방지한다. 기존의 PLC 인증 프로세스나 인프라를 바꾸지 않고 OTAC를 적용할 수 있어 PLC 타깃 공격에 효과적으로 대응할 수 있다.

현장에 맞는 보안 솔루션·서비스 도입해야

OT 보안 시장 성장세가 높을 것으로 기대되면서 많은 보안 솔루션이 경쟁적으로 등장하고 있으며, 다양한 보안 방법론이 제안되고 있다. 그런데 자칫 잘못하면 막대한 예산을 사용하지만 위협은 더 높아지는 결과로 이어질 수 있으며, 잘못 설치된 보안 솔루션으로 인해 서비스 중단을 일으킬 수도 있다. 특히 업계 모범사례를 따랐지만, 자사 환경에 맞지 않는 솔루션과 구축 방법을 적용해 오히려 문제를 일으키게 될 수도 있다.

OT 보안은 IT 보안보다 훨씬 더 장기적인 계획으로 진행해야 한다. OT는 가용성에 민감하기 때문에 미세한 센싱 작업에도 큰 피해를 입을 수 있다. 심각한 취약점이 발견된다 해도 운영중 시스템에 영향을 미칠 수 있기 때문에 즉시 패치할 수 없으며, 보안 솔루션을 설치하느라 리소스를 소비해 시스템 속도를 느리게 할 수 있다. 보안 솔루션을 설치·운영할 수 있는 리소스가 없거나 너무 적은 시스템도 많아 보안을 적용하지 못할 수도 있다.

새로 구축되는 OT 설비라면 처음부터 보안을 고려해 설계할 수 있지만, 레거시 OT 환경은 한번에 보안 기술을 적용하지 못하며, 조심스럽게 단계적으로 적용-검증하면서 확장해야 한다.

처음부터 OT 전반의 보안 문제를 세세하게 검토해 해결하려고 하면 아무것도 할 수 없으므로, 가장 큰 위협을 식별하고 완화하는 위험기반 접근 방식을 택한다. 가장 큰 원칙으로 ‘제로 트러스트’를 정하고, 확실하게 허용된 프로세스만 허용하고, 지속적으로 신뢰를 평가할 수 있도록 한다.

이사회·임직원 보안 인식 제고 가장 중요

OT 보안을 위해 가장 먼저 해야 할 일은 이를 전담할 조직을 정하는 것이다. OT 보안 전문가로 구성된 전문조직이 이상적이지만, OT 보안 전문가를 충분히 고용하는 것이 쉽지 않으므로 IT 보안조직을 중심으로 OT 보안을 결합시키는 것이 현실적이다.

▲향후 12개월 내 CISO가 OT 보안을 책임지게 될 것인가/ 포티넷

OT 보안 전담조직은 OT 현황을 파악하고 자사 환경에 맞는 정책을 수립해야 한다. 특히 규제준수 요건을 살펴보고 준비하며, 파트너·공급망 전반에서도 규제준수 위반 사항이나 정책 사각지대가 없는지 확인한다.

OT 전반의 자산 식별과 취약점 파악, 잘못된 구성을 확인해 제거하며, 필요한 보안 솔루션과 서비스 도입을 검토한다. 자사 환경에 맞는지 확인하는 한편, 자체적으로 운영 가능한지도 확인해야 한다. IT와 OT의 통합을 염두에 두고 솔루션 도입 전략을 수립하는 것이 바람직하며, 자체 역량으로 운영이 어려울 경우 매니지드 서비스를 이용하면 안정적인 보안 운영이 가능하다.

OT 보안 솔루션을 한 번 구축했다고 해서 자동으로 위협을 차단할 것이라고 믿어서는 안되며, 지속적으로 이벤트를 확인하고 오탐·미탐을 걸러내고 정책을 개선하면서 보안을 강화해야 한다. 더불어 보안으로 인해 OT 운영이 장애가 되지 않도록 해야 한다.

OT 보안 솔루션·서비스를 도입할 때 벤더의 마케팅 메시지만 믿어서는 안되며, 자사 환경에서 약속한 성능과 기능이 발휘되는지 반드시 확인해야 한다. OT는 수명주기가 길기 때문에 보안 솔루션도 한 번 구축되면 바꾸기가 쉽지 않다. 그리고 다양한 제조업체 자산이 혼합 구성돼 특정 보안솔루션으로 인해 장애가 발생할 수도 있으므로 반드시 운영환경에서 테스트하면서 확장해나가야 한다.

모든 보안사고에는 ‘인적 오류’가 있다. 실수, 혹은 고의로, 공급망과 파트너, 계약직 직원에 의한 보안사고가 일어날 수 있으므로 인력에 대한 안 교육이 반드시 필요하다. 특히 이사회의 보안 인식이 필수다. 최고경영자와 임원진이 보안 투자에 소극적이면 보안을 강화할 수 없다.

이 모든 노력을 다 한다해서 완벽한 보안이 완성되는 것은 아니다. 공격자는 새로운 기술을 우회하는 기발한 방법을 반드시 찾아낸다. 따라서 지속적으로 보안 관행을 점검하고 강화하며, 사고 시 즉각적인 대응이 가능한 사이버 복원 계획을 수립, 이행해야 한다.