OT 전문 인텔리전스 통해 타깃공격 효과적으로 완화
[데이터넷] OT 타깃 공격이 급증하면서 세계 각국 정부가 강력한 규제를 마련하고 있다. 국가안보와 국민들의 생명·안전과 직결된 주요 인프라와 기관을 보호하기 위한 규제가 등장하고 있으며, 공급망까지 규제의무 대상에 포함시키면서 국내 기업의 대응책 마련이 시급해졌다. OT 조직의 보안전략 수립에 도움이 될 수 있는 OT와 관련된 보안규제와 OT 위협 동향을 살펴보고, 대응 기술과 모범사례를 소개한다. <편집자>
가시성 확보해야 OT 보호 가능
OT 보안도 당연히 제로 트러스트 원칙을 적용해야 하다. 보호해야 할 자산을 파악하고, 지속적인 검증과 모니터링으로 실시간 안전성을 확보해야 중요한 인프라와 시설에 침투하는 위협을 사전에 막을 수 있다.
OT 보안 솔루션을 도입할 때 가장 먼저 선택하는 것이 가시성 솔루션이다. OT 네트워크에 연결된 자산의 속성과 취약점 여부를 확인하고, 미인가 자산은 격리·제거하거나 해당 자산의 역할을 파악해 보호조치 후 인가한다. 인가 자산에 설정된 권한과 접근정책을 확인하고 적절하게 조정하며, 취약점은 제거한다. 각 자산의 연결과 데이터 흐름을 시각화 해 이상행위가 발생하지 않도록 한다.
취약점은 OT 공격에 가장 많이 악용되기 때문에 반드시 관리해야 한다. 그러나 즉시 제거 가능한 취약점이 있는가하면, 그렇지 못한 취약점도 있기 때문에 취약점 조치로 인한 영향을 파악하면서 진행해야 한다. 즉시 해결할 수 없는 크리티컬한 취약점은 가상패치 기능을 이용해 공격자의 접근을 막는다.
마이크로 세그멘테이션으로 공격 확산을 막아야 하는데, 이 때 사용되는 방화벽은 OT 프로토콜을 인식하는 OT 전용 방화벽이어야 한다. 또 접근권한과 차단 정책을 자동으로 운영해 관리자의 업무를 줄이면서 정책 설정 오류로 인한 위협을 차단해야 한다.
세분화된 영역과 OT 기기, 네트워크에 대한 적절한 접근권한을 설정한다. OT는 사람의 개입 없이 머신간(M2M) 통신하는 경우가 많기 때문에 복잡한 인증 과정을 거치도록 할 수 없다. 간단하지만 강력한 인증·접근정책을 적용하며, 예외적용을 없애거나 최소화해 예외로 인한 문제가 발생하지 않도록 한다.
권한부여는 최소권한원칙으로 하며, 복잡성을 제거할 수 있도록 자동화된 권한 부여와 운영이 가능하도록 조치한다. 원격에서 접속해야 하는 경우는 원격보안에 대한 추가 보호 조치가 필요하다. RDP·VPN을 사용할 때 취약성 우려를 제거해야 하며, 안전한 계정과 권한 관리로 계정탈취 공격자의 접근을 막아야 한다. 원격접속은 필요할 때만 연결하고, 업무가 끝나면 해당 세션은 반드시 끊어야 하며, 해당 세션 인증정보로 다시 연결되지 못하게 해야 한다.
OT 인텔리전스로 새로운 위협까지 대응
OT에서 사용되는 엔드포인트에 대한 보호도 필요하다. 오래된 OT 장비는 20년 이상 전에 사용하던 윈도우·리눅스 기반 기기가 많아 현재 엔드포인트 보호 솔루션으로 보호하기 어려운 경우가 많다. 트렌드마이크로는 트러스트 리스트 기반 락다운(Lockdown) 기능, 산업용 애플리케이션 변조 차단 기능, 고도화된 행위 기반 공격 차단 기능을 가진 솔루션을 선택해야 한다고 조언했다.
위협 인텔리전스는 OT 환경에도 필요하다. 공격자들은 산업별로 유사한 공격 행위를 벌이기 때문이다. 예를 들어 우크라이나 전력망을 공격한 인더스트로이어는 이후에도 변종 공격이 등장해 전 세계 전력·에너지 시설을 공격하고 있다. 전력·에너지 조직에서 인더스트로이어에 대한 인텔리전스를 갖고 있다면 이와 유사한 침입이 감지됐을 때 조기에 조치할 수 있다.
OT 인텔리전스는 사이버 위협 인텔리전스(CTI)와 마찬가지로, 즉시 활용할 수 있으며, 최신 위협 정보를 제공할 수 있고, 산업별, 지역별 맞춤형 정보를 제공할 수 있어야 한다. 외부와 연결이 극히 제한되는 경우, 구축형 제품으로 사용할 수 있게 하되, 중요한 업데이트만 인텔리전스 기업으로부터 받을 수 있도록 하고, 그 외에는 외부 연결을 차단하는 방식으로 구성 가능해야 한다.
OT 위협 방어를 위해 놓치지 말아야 할 것이 공급망이다. 전 세계가 연결된 상황에서 공급망 위협은 매우 크다. 공격자들은 보안이 잘 된 본사가 아니라 보안 수준이 낮은 지점·지사, 파트너를 이용해 공격한다. 유지보수 업체가 사용하는 USB나 노트북을 감염시켜 본사를 공격하는 고전적인 수법도 여전히 유효하게 작동한다.
규제준수 요건도 반드시 지켜져야 한다. 보안은 대표적인 규제산업이며, OT 보안은 특히 더 규제에 민감하다. OT가 국가안보와 직결되는 보안 문제를 갖고 있는 만큼, OT 보안은 정부에서 강력한 의지를 갖고 현실적이면서 체계적인 규제를 제정하고 관련 조직이 준수하도록 해야 한다.
박지용 노조미네트웍스코리아 지사장은 “선진국 정부가 나서서 OT 보안 규제를 강화하고 있는데, 그 이유는 OT 위협이 사회적으로 큰 피해를 입히고 있는데, OT 조직은 이에 어떻게 대응해야 할지 모르기 때문”이라며 “정부의 강력한 의지로 중요 인프라와 시설, 설비를 보호할 수 있는 규제 마련에 나서야 한다. 또한 시장 수요 변화에 대응할 OT 보안 전문가 육성도 시급하다”고 말했다.
높은 성장 이어가는 OT 보안
많은 조직에서 사이버 리스크가 비즈니스 리스크라는 것을 알고 있으며, OT 분야에서도 이러한 인식이 빠르게 확산되고 있다. 그러면서 OT 보안 투자 계획도 점차 늘어나고 있다. SANS의 2022년 OT/ICS 사이버보안 보고서에서는 OT·IT보안 임원 66%가 제어시스템 보안 예산이 지난 2년간 증가했다고 답했는데, 이는 전년 47%에서 크게 늘어난 것이다. OT 보안 산업 분석 전문기업 웨스트랜즈는 2027년까지 OT 보안 연평균 성장률 21%, 사이버 보안은 16%에 이를 것이라며 OT 보안 시장의 높은 성장을 전망했다.
가트너는 5년 전 CPS 보호 플랫폼 공급업체로 분석한 업체가 10개였는데, 2023년 보고서에서는 45개에 달한다며, 이 시장의 높은 성장세를 보여준다고 소개했다. 그러면서 새로운 공급업체는 구축형, 프라이빗 혹은 퍼블릭 클라우드, 하이브리드 등 다양한 옵션을 제공하며, 가상·컨테이너 기반 센서 배포도 지원한다고 소개했다.
더 세분화된 자산 검색과 가시성, 직관적인 자산 토폴로지와 데이터 흐름 매핑, 네트워크 분할, 취약성 관리, 위협 인텔리전스, 프로페셔널 서비스, 다양한 고객을 위한 유연한 가격 모델, 여러 산업군에서 요구하는 보안 프레임워크 등이 추가되면서 OT 보안 기술 시장이 고도화되고 있다고 소개했다.
글로벌 OT 설비업체와 보안 기업들이 OT 위협 조기경보 플랫폼 ETHOS(Emerging Threat Open Sharing) 개발에 협력하면서 인텔리전스 공유에 나서 주목받고 있다. 1898 & Co, ABS그룹, 슈나이더 일렉트릭, 노조미 네트웍스, 클래로티, 드라고스, 테너블 등이 함께하며, 리눅스와 같은 개방형 생태계 조성을 목표로 한다.
