가시성·거버넌스·모니터링·사고 대응으로 이어지는 OT 보안 필수 기술 소개
[데이터넷] 인더스트리 4.0 시대에 접어들면서 OT 조직도 디지털 트랜스포메이션을 가속화하고 있다. 클라우드와 AI를 이용해 빠르게 발전하고 있는데, OT 조직은 보안은 우선순위에 두지 않고 있다. <네트워크타임즈>와 <데이터넷>의 ‘OT & ICS 보안 인사이트 2023’에서 OT가 직면한 위협을 분석하고 현실에 적용 가능한 보안 전략이 다양하게 소개됐다. ‘OT & ICS 보안 인사이트 2023’의 주요 내용을 소개한다. <편집자>
공격자, 침투 못하는 곳 없다
클래로티 조사에 따르면 OT 환경에서 가장 많은 취약점이 발견되는 곳은 엔터프라이즈 퍼듀모델의 레벨 1에서 3까지에 해당하는 시스템이다. 레벨 3는 IT 영역인 레벨 4~5와 연결되는 가교 역할을 하기 때문에 레벨2 이하로 침입하려는 공격자가 권한을 탈취하거나 잘못된 액세스 룰이 설정된 시스템을 통해 침투할 수 있다. IT 시스템보다 부족한 보안 조치로 인해 공정 데이터와 레시피가 유출될 수 있으며, 서비스 중단, 랜섬웨어 감염 등의 사고가 일어날 수 있다.
공격자가 직접 침투하기 어려운 것으로 알려진 레벨 2도 외부 침투가 가능하다. 유지보수를 위해 원격지에서 연결하거나 업무망으로 연결된 외부 네트워크는 공격자가 얼마든지 잠입할 수 있다. 취약점이나 탈취한 권한, 임의조작 명령어 등을 사용하고, 암호화되지 않은 데이터를 탈취하며, 애플리케이션 취약점을 이용해 레벨1 장지 충단, 디도스 등의 공격이 가능하다.
레벨1이 외부와 직접 연결되는 경우는 별로 없지만, 레벨1 장치를 관리하기 위한 랩톱을 통해 가몀가능하며, ICS 공급망을 통해 공정 데이터가 조작되는 사고도 있다.
레벨 1~3 전반에서 공격 벡터로 자주 사용되는 것이 감염된 USB로, 외부 네트워크와 연결되지 않은 완전 폐쇄망 환경이라도 공격자는 얼마든지 침투할 수 있다. 실제로 발생한 한 사고의 예를 들어보면, 유럽의 한 세미나에 참석한 병원 직원 A가 공동 발표를 맡은 다른 병원 직원 B로부터 발표자료를 USB를 통해 전달받았는데, 이 USB가 비스프라이더 악성코드에 감염돼 있었다. A가 자신의 병원에 돌아와서 랩톱을 네트워크에 연결했을 때 악성코드가 병원 네트워크로 퍼져 사고를 당하게 됐다.
유종원 클래로티 코리아 수석은 “OT는 완전한 폐쇄망으로 운영된다 해도 감염된 USB 하나로 전체 네트워크가 감염될 수 있다. 설비의 보안 패치 업데이트를 위해 사용한 USB가 설비 전체를 중단시킬 수도 있다”며 “외부와 연결되지 않은 OT 네트워크가 없으며, 설령 있다 해도 안전하지 않않다는 사실은 이미 오래 전부터 사고를 통해 입증된 것이다”라고 말했다.
OT 보안, 가시성·거버넌스·사고대응 필수
유종원 수석은 ‘OT/XIoT 관련 새로운 규제 동향’ 세션을 통해 OT 환경 보안위협과 국내와 표준안에 대해 자세히 설명했다. OT 보안을 위해 관련 조직이 살펴봐야 할 국제 표준은 IEC 61508-1, NERC-CIP, NIST SP 800-32, IEC 62443, SEMI E187·E188, IACS UR 26·27, NIS2 등이 있으며, 국내에서는 국가정보보안 기본 지침, 정보통신기반 보호법 등이 있다.
대부분의 규제는 가시성과 거버넌스, 모니터링, 사고 대응을 핵심 요구사항으로 안내하고 있으며, 일부 규제는 따르지 않을 경우 막대한 벌금과 과태료를 부과한다. 또 해당 설비를 직접 운영하는 조직뿐 아니라 공급망에 속한 기업도 규제준수 의무 대상이 될 수 있기 때문에 주의해야 한다.
규제준수를 위해서는 OT 자산을 식별하고 지속적으로 모니터링하며, 취약점을 찾아 제거하는 등의 적극적인 노력이 필요하다. 그런데 현장에서 이를 완벽하게 수행하는 것이 불가능에 가깝다. OT 조직의 실수나 보안 이해 부족으로 인해 발생하는 사고도 있지만, 설비 제조사의 실수로 인한 사고도 있다.
새로운 보안 취약점에 대한 패치를 배포하면서 제조사는 패치의 안정성을 입증했다면 즉시 패치를 적용할 것을 권고하는데, 패치 적용 후 장애가 발생하는 경우도 비일비재하다. 무단으로 연결된 자산을 검색하기 위해 스캐닝했다가 네트워크 장애로 시스템이 중단되는 사고도 간혹 일어난다.
유 수석은 “OT 보안을 강화하기 위해 OT 조직이 적극적으로 노력했다가 오히려 문제가 발생하는 경우가 있다. 그래서 OT 조직이 보안 프로세스 이행에 소극적일 수밖에 없다”며 “OT 타깃 공격을 대부분 알려진 악성코드와 취약점을 이용하기 때문에 제대로 된 모니터링·관제 시스템을 이용하면 막을 수 있는데, 현실적으로 쉽지 않은 문제가 있다”고 밝혔다.
유 수석은 OT 보안위협을 제어하면서 규제준수 요건을 만족하기 위한 방법을 설명하면서 안정성이 검증된 자산 식별, 취약점 관리, 일방향 전송, 보안관제·모니터링을 선택할 것을 권장했다. 클래로티는 OT 보안 산업을 리딩하는 전문기업으로, OT 보안을 위한 다양한 솔루션과 전 산업별 성공사례를 갖고 있으며, 국내에서도 업계에서 가장 많은 고객을 확보하고 있다.
유 수석은 “OT는 이전에 없던 새로운 공격보다, 잘 알려진 공격을 사용하는 추세를 보인다. 따라서 성공적으로 OT를 보호한 모범사례를 참고하면 보안으로 인한 OT 가용성 문제를 최소화하면서 안전한 OT 보안을 유지할 수 있다”며 “OT 보안을 주저하면 더 큰 피해를 입을 수 있다는 사실을 고려해 안전한 OT 보안 프로세스를 시작하길 바란다”고 말했다.
