[데이터넷] 제조사 A사 베트남 법인에서 생산 라인이 멈추는 사고가 발생했다. 그 원인을 확인한 결과, 특정 파트에서 네트워크에 비인가 장비 연결을 테스트하는 중 대량의 트래픽이 발생한 것으로 드러났다. 공장 내 네트워크와 IT 자산 현황에 대해 관리부서와 현장부서가 파악하고 있는 것이 달라 이러한 사고가 일어나게 된 것이다.

국내 B사는 해안 철책을 위해 국산 장비로 구성한 경비용 CCTV 260대가 사실은 중국산이라는 뉴스를 접하고, 자사 OT 망에서 운영되고 있는 CCTV가 도입 당시 작성된 문서와 실제 운영중인 자산이 동일한지 시스템을 통해 실시간 파악하는 것이 필요하다고 생각했다.

L1, 물리·전기 신호로 식별해야

기술이 발전하고 조직의 규모가 커지면 관리해야 되는 장비와 정보가 많아진다. 조직은 전체 자산을 보호할 수 있는 강력한 자산 장치를 구현해야 한다. 자산 위험을 관리하려면 자산 위치, 사용자 행동, 규정 준수 요구 사항, 장치 접근성, 비즈니스 중요도, 해킹 등 다양한 요소를 고려하는 세분화된 접근 방식이 필요하다. 또한 자산의 장치 다양성, 데이터 과부하, 끊임없이 변화하는 위협 환경에 대한 대비해야 된다.

현재 조직에는 수많은 관리되지 않은 하드웨어가 내외부망에 연결돼 있다. POC, BMT 등 솔루션 테스트 장비로 사용한 후 연결된 상태로 남아있거나, 감가상각이나 내구연한 초과된 장비가 제거되지 않은 채 방치돼 있다. 펌웨어 업데이트, 보안인증 등이 제대로 이뤄지지 않은 기기도 다수 존재하며, 취약점이 패치되지 않은 상태로 운영중인 장비, 무단으로 열려 있는 방화벽, VPN도 어렵지 않게 발견된다. 이러한 기기를 이용해 공격자가 네트워크에 침입해 정보유출, 시스템 파괴 등의 위협 행위를 벌인다.

관리되지 않은 기기로 인한 위협을 해결하기 위해서는 연결된 모든 자산을 식별하고, 불필요한 기기가 연결되어 있는지, 취약점이나 잘못된 설정 혹은 과도하게 권한이 부여되어 있는지 확인하고 조치해야 한다. 특히 어떤 자산이 어떤 네트워크에 연결되어 있는지 확인해야 하며, 이는 제로 트러스트 선행 조치로 이뤄져야 한다.

IT 자산관리 기술로 L1 계층 기기 식별 못 해

취약한 자산으로 인한 위협을 제거하기 위해 엔드포인트 보안 솔루션이 사용되고 있지만, 이 솔루션은 식별되지 않고 관리되지 않은 기기로 인한 문제를 해결하지 못한다. 조직이 관리하는 자산은 ITAM과 CMDB를 사용하지만, 이 시스템이 관리하는 자산 목록과 현장에서 운용되는 자산 목록이 일치하지 않는다는 문제가 있다. 

NAC, IDS, IoT 자산 식별 솔루션이 자산 가시성을 제공할 수 있으며, IT 영역은 물론이고 OT 네트워크의 L2~L3 계층까지 가시화할 수 있다고 주장한다. 이 기술은 대부분 네트워크 트래픽 분석을 통해 자산을 식별하는데, L1 계층의 경우 물리적, 전기적 신호로 자산관리를 해야 하기 때문에 이 기술로는 식별이 불가능하다. L1 계층에 대한 가시성이 부족하면 사각지대를 통해 관리되지 않는 스위치, 수동 탭, 대역 외 자산으로 인해 보안사고가 발생할 수 있다.

에스에스앤씨가 국내에 공급하는 세피오(SEPIO)의 'HAC-1'은 L1 계층 디바이스의 전기적 특성, 진동, 소음 레벨, 파워온 등의 특성을 이용해 장비를 탐지하며, 장비에 대한 고유의 디지털 핑거프린트를 생성한다.

이를 위협 인텔리전스 데이터와 비교하며, ID와 핑거프린트 정보를 기반으로 디바이스를 분류하며, 빅데이터와 머신러닝을 이용해 식별된 기기의 위험도를 평가한다. 세피오는 트래픽 모니터링 없이 신속하게 분석할 수 있어 자산 스캐너의 장애·네트워크 부하 문제를 피할 수 있다.

물리적 레이어 자산 DNA로 정확한 자산 관리

세피오는 네트워크 망에 연동된 스위치를 통해 자산을 가시화하며, 스위치의 개별 포트에 숨어있는 장치와 위치를 파악해 숨어있는 자산도 모두 정확하게 볼 수 있게 한다. 기존 네트워크 상에서 파악하기 어려운 하위 스위치 연결 자산이나 무단으로 연결된 장치, 스푸핑된 장치까지 투명하게 가시화하며, IT, OT, IoT 및 주변 자산까지 포괄적인 가시성을 제공한다.

세피오는 세부적인 자산관리 기능을 제공, 특정 제품의 제조사, 제품명으로 네트워크, 서버, PC 등 자산과 주변장치까지 탐색하고 장치의 기능을 제어한다. 물리적 레이어 기반 자산 DNA 기술을 이용해 장치 유형, 물리적 위치를 파악할 수 있으며 사전에 정의된 특정 장치나 발생 또는 위험 유형을 차단, 허용 또는 알람 등으로 구성할 수 있다.

세피오는 컴플라이언스 대응에도 효과적이다. 예를 들어 2020년 발효된 미국 국방수권법(NDAA) 섹션 889에서는 중국 특정 제조사의 통신장비와 CCTV 사용을 금지하고 있어 생산라인이나 사무실에서 이에 해당하는 제품이 있는지 확인하고 제거해야 한다. 세피오에 이 정책을 설정하면 사용중인 자산을 검색하고 해당하는 제품을 식별하고 조치할 수 있다.

세피오는 완벽한 자산 인벤토리를 제공해 전체 자산의 수명주기 관리가 가능하며, 불필요한 유지보수 예산 절감, 중복투자 절감으로 효과적인 예산 운용이 가능하다. 또 에이전트·에이전트리스 방식, API 등 다양한 배포 옵션을 지원하며, 기존 사용중인 시스템과 쉽게 연동할 수 있어 네트워크 복잡성을 높이지 않고 관리 업무를 증가시키지 않으면서 자산 가시화가 가능하다.

기존 직원 업무 부담 없이 쉽게 운용 가능

세피오를 적용해 자산 가시성을 높인 기관으로 미국 대형 병원 뱁티스트 헬스(Baptist Health)를 들 수 있다. 미국 50개 이상 1차 진료소를 운영하고 있는 뱁티스트는 세피오를 적용해 병원 IoT 장비의 네트워크에서 디바이스가 추가되거나 제거되는 현황에 대해 실시간 가시성을 확보할 수 있었다. 이를 통해 비인가 장비를 확인하고, 장비, 원격 근무 인력을 포함한 네트워크 환경에 탐지된 병원 환경 전반에 대해볼 수 있게 됐다.

마이클 에릭슨(Michael Erickson) 뱁티스트 헬스 CISO는 “세피오는 하드웨어 리소스를 필요로 하지 않으므로 트래픽을 모니터링할 필요가 없다. 네트워킹 인프라를 방해하지 않으며, 빠르고 원활하며 광범위한 배포가 가능한다. 세피오는 사람의 개입을 최소화하는 자율적이고 독립적인 솔루션으로, 사이버 보안 전문가가 아니더라도 쉽게 관리할 수 있다. 유지 관리 요구 사항이 적기 때문에 세피오는 매우 가볍고 설치가 매우 간단하다. 그래서 직원을 새로 채용하거나 기존 직원의 업무 부담 없이 병원 네트워크에 연결된 33만개 이상 기기를 식별하고 관리할 수 있게 됐다”고 밝혔다.