[데이터넷] OT 보안에 대한 흔한 오해는 ‘OT 네트워크는 폐쇄망이어서 안전하다’, ‘IT 위협은 OT에서 활동하지 못한다’이지만, 실제로 완전한 폐쇄망 환경은 거의 없으며, IT 위협도 OT에서 활동한다. IT와 OT가 완전히 다른 영역을 퍼듀모델 0~2 레벨 수준이며, 레벨 3도 IT 기술을 기반으로 한 OT 기술이 많아 IT 보안기술로 보호할 수 있다. 진정한 OT 보안을 위해서는 IT-OT에서 사용하는 분석 기술과 네트워크·자산 파악과 모니터링 등 여러 기술이 함께 사용되어야 한다. |이준희 테너블 코리아 상무|

보안업계에는 OT 관련 오래된 오해가 있다. 첫째는 ‘OT 네트워크는 격리돼 있어 외부에서 들어올 수 없기 때문에 보안이 필요없다’, 둘째는 ‘OT 환경은 IT와 다르기 때문에 IT 방식으로 보안 시스템을 구성하게 되면 서비스에 장애가 발생할 수 있다’는 것이다. 일부는 맞고 일부는 틀렸다.

첫번째는 격리 환경(Air-gap)을 통한 안전성을 강조하고 있지만, 여러 OT 보안 사고를 보면 격리 환경에서도 공격이 발생하고 있다는 것을 알 수 있다. 완전한 에어갭 환경은 거의 찾아보기 어려우며, 어떤 방식이든 연결돼 있다.

두번째는 IT 보안이 OT 환경에 대한 이해가 낮아서 생긴 오해다. IT와 OT는 대한 경계를 재설정할 필요가 있으며, IT와 OT 환경이 완전히 다르지 않다는 것을 이해하는 것이 OT 보안의 출발점이다.

완벽한 폐쇄망은 없다

OT는 망분리를 통해 안전성을 확보해왔다. 하지만 인더스트리 4.0으로 진화하면서 OT 시스템은 망 안에서 다른 보안 영역과 연결되는 것을 넘어 외부와 연결되면서 통합관리, 버전관리, 유지보수가 수행되기 시작했다.

다이오드(Diode)라고 부르는 일방향 전송장비를 사용하는 이유도, 통신하고 관리하기 위해 구성되는 것이다. 즉 OT 네트워크가 단독으로 존재하며 연결점이 없기 때문에 안전하다는 주장은 더이상 유효하지 않다. OT 취약점도 계속 증가하고 있는데, 외부와 연결되는 접점이 늘어나고, 관리가 소홀하면 외부 공격자가 쉽게 침투할 수 있다.

OT와 IT가 다르다는 주장도 현재 OT 환경에서는 맞지 않다. OT 망 내 모든 시스템이 OT 시스템은 아니다. OT 네트워크를 이해하기 위해 가장 많이 참조하는 퍼듀모델은 OT 환경을 다음의 6개 층위로 나눠 설명한다.

• 모터, 펌프, 센서 등이 직접 작동하는 물리적 프로세스를 담당하는 0레벨
• PCL, RTU 제어 네트워크를 담당하는 1레벨
• HMI, 엔지니어링 워크스테이션 등 사이트 모니터링을 담당하는 2레벨
• 히스토리안, DNS, PLC 프로그램 저장소, 방화벽 등 사이트 운영을 담당하는 3레벨
• 스케줄러, IT 서비스, 웹·앱, SIEM, 인벤토리 등 기업 내부망에 포함되는 서비스를 담당하는 4레벨
• 직원 IT, 컨테이너, 클라우드 등과 연결하는 기업 관리 네트워크를 담당하는 5레벨

일반적으로 퍼듀모델의 0~3.5 레벨을 OT 망이라고 생각하고, 4~5레벨을 IT 망이라고 생각한다. 그런데 2~3.5단계를 보면 주로 사용 OS는 윈도우, 리눅스이며, 그 위에 OT 운영에 필요한 서비스를 올려서 사용하는 것을 알 수 있다.

이 영역은 IT 기반 운영환경에 OT 기술을 탑재한 것이라고 말하는 것이 더 정확하다. 보안의 관점에서 OT 망은 0~1 레벨, 나머지 층위는 IT 혹은 IT 기술을 이용한 OT라고 보는 것이 정확하다.

하이브리드 분석으로 OT 보호

OT 환경에 대한 오해로 인해 OT 조직은 OT 시스템의 에이전트 설치, 취약점 점검 등에 부정적인 입장을 보여왔다. 그래서 OT를 보호하기 위해 내부 시스템에 영향을 주지 않는 네트워크 미러링 방식으로 위협을 탐지하고 있다. 산업용IDS(Industrial IDS)라고도 불리는 이 방식은 IT 환경의 IDS와 마찬가지로 많은 한계를 갖는다.

첫번째는 모든 네트워크의 트래픽을 수집하지 못한다는 것이다. 한곳에서 집중적으로 관리하는 IT 환경에서도 트래픽을 수집하는 것은 넘어야 할 장벽이 많다. 여러 도시나 해외 등 여러 지역에 분산된 공장의 네트워크 트래픽을 중앙관리시스템으로 모아서 위협을 분석하는 것은 구성상 어렵다.

두번째는 순수 OT라고 할 수 있는 0-1단계에서는 IT 시스템과 달리 지속적으로 통신이 발생지 않는다는 점이다. OT 보안 업체들마다 경쟁적으로 얼마나 많은 프로토콜을 지원하는지 강조하고 있으며, 모든 프로토콜을 지원할 수 있어야만 분석이 가능하다고 주장한다. 그래서 지원 프로토콜의 개수가 적으면 분석 능력이 현저히 떨어지는 것으로 인식하게 한다.

OT 운영조직은 넓은 공장에 산재돼 있는 자산을 찾아 관리하는데 어려움을 겪고 있기 때문에 자산 확인을 위한 특별한 조회 방식을 개발했다. 내부 네트워크에 자산 정보를 질의하면 동일 벤더 솔루션이 회신하는 방식이다. OT 운영조직은 이 방식으로 운영중인 시스템의 버전정보, PLC 구성 정보 등을 확인한다.

이 방식을 OT 보안에서도 활용할 수 있다. 통신이 자주 발생하지 않는 시스템의 종류와 구성 정보를 확인하고, 이상행위 발생시 해당 시스템의 설정 변경 사항을 확인해 보는 것이다. 이 방식으로 보안 입장에서 훨씬 편리하게 위협을 확인할 수 있다.

테너블은 이 방식과 미러링을 함께 사용하는 하이브리드 방식으로 보안 분석을 진행한다. 순수 OT 시스템과 네트워크 취약점 점검은 쉽지 않다. 그 이외의 단계는 실시간 네트워크 스캐닝을 통한 취약점 점검이 문제가 되지 않는다. IT에서 사용하는 안정성이 검증된 취약점 점검 기술을 이용해 OT 네트워크 내의 IT 시스템 취약점을 점검할 수 있다.

IT-OT, 원활한 의사소통 가능해야

OT 보안은 정확한 자산 식별과 가시성이 가장 중요하다. OT에 연결된 자산의 종류와 OS·애플리케이션 버전, 탑재된 모듈, 설정 상태를 확인하고 변경내역을 추적할 수 있어야 한다. 테너블은 액티브쿼리 기술과 OT 벤더가 제공하는 조회 방식을 업데이트 해 정확한 자산 정보와 설정 정보를 관리할 수 있는 기능을 제공한다.

OT 환경내 모든 취약점을 분석할 수 있는 기능을 제공하며, 네트워크 분석을 통해 실제로 발생하는 위험을 실시간으로 분석해 경보를 생성하며, 위험 경보 시점의 시스템 정보를 다시 요청해 기존 설정과 현재 설정의 차이점을 확인할 수 있도록 지원한다.

네트워크 분석만으로는 OT 가시성을 확보하지 못한다. 전체 가시성을 확보하기 위해서는 상호 보완 방식의 하이브리드 분석이 필수며, 보안팀과 OT 관리팀이 소통할 수 있도록 해야 한다.

‘OT 시스템에 이상 행위가 탐지됐다’가 아니라 ‘PLC 1번 장비의 설정이 변경됐고, (구체적인) 이상행위가 탐지됐다. 확인 부탁드립니다’로 대화를 이어가야 한다.

테너블은 취약점 점검, 설정 점검, 네트워크 분석이라는 세개의 엔진을 기반으로 기업 OT 환경을 보다 안전하게 관리할 수 있도록 지원한다.