OT 보안, 진화하는 위협 탐지·규제준수 요건도 만족
[데이터넷]OT가 CPS로 진화하면 외부와 연결되는 지점이 더 많아지고, 시민들의 생명과 안전, 국가 안보와 직결되는 사고가 더 빈번하게 발생하고 있다. 그래서 EU, 미국 등은 사회 중요 분야를 보호하는 강력한 규제를 제정하면서 관련 산업의 보안 대책 마련을 강제하고 있다. 글로벌 주요 규제와 위협 동향을 살펴보며, OT 보안을 위해 필요한 기술을 알아본다.<편집자>
전용 프로토콜과 전용 네트워크를 이용해 연결되는 OT/ICS는 보안 이해가 부족하고, IT는 OT/ICS의 특수한 환경을 이해하지 못한다. 시장조사기업과 IT 기술기업들은 거의 대부분의 보안 사고가 IT 기술을 이용한다는 점을 들어 IT가 OT 보안까지 포괄해야 하며, OT보안은 CISO가 책임져야 한다고 설명한다. 그리고 통합보안관제 서비스 기업들도 IT 관제에 OT 보안을 포함시키고 있다.
그러나 OT 입장에서는 이를 받아들이기 어려운 점이 있다. 스마트 기술이 접목되는 스마트선박, 스마트빌딩, 스마트시티, 자율주행자동차 등에 IT 기술만 사용되는 것은 아니다. 각 환경에 맞게 특수하게 개발된 기술과 인프라, 네트워크와 기기, 애플리케이션이 사용되며, 이를 보호하기 위해서는 각 환경에 특수한 전문성을 가진 인력과 조직이 필요하다.
은성율 클래로티코리아 지사장은 “IT-OT 융합보안이 가장 이상적인 것은 맞지만, 현실에서 구현되려면 상당한 시간이 걸린다. OT는 매우 광범위하며, 사이트마다, 서비스마다 각각 다른 기술이 필요하다. 몇 년 전 OT 보안 솔루션은 100여개의 프로토콜을 지원했는데, 지금은 500개가 넘는 특수 프로토콜을 지원해야 한다. XIoT로 확장되면 상상할 수 없을 만큼 복잡해진다”며 “IT 보안 기술이 OT를 보호하는데 사용될 수 있지만, 이것만으로 OT를 보호할 수 없으며, OT가 IT의 통제를 받아야 한다는 것도 현실적인 접근은 아니다. IT와 OT 각각의 전문성을 갖고 협업하는 것이 가장 좋다”고 말했다.
OT 보안 기술로 전문가 부족 문제 보완
OT 보안 전문성을 가진 사람과 조직이 OT를 가장 잘 보호한다는데 이견을 달 사람은 아무도 없다. 문제는 OT 보안전문가가 없다는 것이다. OT 보안 전문가를 양성하는 교육과정이 매우 드물다. 대학교·대학원에서 관련 학과를 개설하기 위해 매년 검토하는데, 학생들을 가르칠 교수진을 구성하는 것도 쉽지 않다.
세계적인 OT 보안 전문교육도 있는데, 한국어 교육은 찾기 어려우며 교육비용도 매우 높아 개인이 부담하기에 현실적인 어려움이 있다. 기업·기관에서 교육비용을 지원하고 직원들이 교육을 통해 역량을 높이도록 독려해야 한다. 그러나 OT 조직은 적은 인력으로 광범위한 OT 환경을 관리해야 하기 때문에 교육에 시간을 내는 것이 쉽지 않으며, 부족한 예산으로 인해 교육은 우선순위에 밀릴 수밖에 없다.
OT 보안 전문가를 양성시켜 현장에 투입하기까지 오랜 시간과 많은 비용이 투자되어야 한다. 당장 직면한 OT 위협에 대응하기 위해 이미 여러 고객사를 통해 검증된 OT 보안 솔루션을 이용하는 것이 좋다. 범용적인 OT 보안 솔루션은 네트워크에 연결된 자산 현황을 파악하는 것이지만, 이제는 취약점 관리, 위협 인텔리전스, 시각화, 플레이북 등을 추가해 OT 타깃 위협에 종합적으로 대응하고 있다.
OT 보안, 위협 탐지와 대응·규제준수 지원해야
가트너는 OT 환경의 진화한 모델인 사이버물리시스템(CPS) 사이트가 크게 늘고 있다고 전제하며, CPS 보호 플랫폼이 ▲지능적인 위협 대응 ▲증가하는 취약점 관리 ▲특화된 보안 기술 ▲규정, 지침, 프레임워크 요구사항 등을 만족하고 있다고 설명했다. 그러면서 CPS 운영 조직이 자산탐지와 보안, 거버넌스를 지원하며, 생산·엔지니어링 팀을 연결하는 풍부한 기술을 가진 보호 플랫폼을 도입하고 있다고 설명했다.
OT 보호 플랫폼 도입 시 가장 먼저 검토하는 것이 가시성 솔루션이다. 가트너는 초기 CPS 보안 솔루션이 패시브 포트 미러링, 딥 패킷 인스펙션(DPI)로 시작했지만, 이제는 원천 산업 프로토콜을 사용하는 활성 쿼리, HMI, PLC 등 자산 분석, CMBD, 디렉토리, 백업·복구 등 풍부한 정보를 활용해 더 정확한 자산 가시성을 확보하고 있다고 설명한다.
제공하는 자산 속성은 기본 정보 외에 장치 소유자와 지리적 정보, USB 장치와 상태, 물리 프로세스 변수, 사용자 정의 속성 등도 제공하며, 온프레미스와 프라이빗·퍼블릭 클라우드 등 다양한배포 옵션을 제공한다. 더불어 자산간 연결과 데이터 흐름을 시각화하고, 네트워크 분할과 일방향 전송 기능을 서드파티 파트너십을 통해 제공할 수 있다.
OT에서 가장 공격당하기 쉽지만 해결하기 어려운 취약점 관리도 한층 진화하고 있다. 대부분의 CPS 보안 솔루션은 제조사나 CVE를 통해 취약점 정보를 수집하고, 알려진 취약점에 대한 우선순위와 적용 방법을 안내한다. 직접 패치가 어려운 환경이면 가상으로 패치가 완료된 것처럼 보이도록 해 공격자의 접근을 막는 기술도 사용한다.
산업별 위협 인텔리전스도 중요하게 검토되는 기술이다. OT 보안 기업은 물론이고 사이버 위협 인텔리전스(CTI) 기업들도 산업별로 즉시 사용 가능한 인텔리전스를 제공하고 있다. 더불어 보안관제 전문기업, 매지니드 서비스 사업자와 파트너십을 통해 통합보안관제 서비스를 제공할 수 있게 한다.
OT 보안을 위한 4가지 필수 사항
정책과 제어 개발: IT(정보기술) 시스템이 손상된 경우에도 OT(운영기술) 시스템이 계속해서 안전하게 작동할 수 있도록 네트워크 분할 정책 및 제어를 개발해야 한다. 반대의 경우도 마찬가지입니다.
보안과 예방 조치: 중요한 사이버 시스템에 대한 무단 액세스를 보호하고 방지하기 위한 액세스 제어 조치를 만들어야 한다.
모니터링과 탐지: 중요한 사이버 시스템 운영에 영향을 미칠 수 있는 사이버 보안 위협, 비이상적인 행위를 방어, 탐지, 대응하기 위한 지속적인 모니터링, 탐지에 대한 정책과 절차를 구현해야 한다.
시스템 업데이트: 위험 기반 방법론을 사용해 핵심 사이버 시스템에 대해 운영 체제, 응용 프로그램, 드라이버, 펌웨어의 보안 패치, 업데이트를 적시에 적용해 미패치 된 시스템의 악용 위험을 감소시켜야 한다.
(자료: 클래로티코리아)
