위험 평가·솔루션 구축 및 운영·유지보수 과정 순환하며 지속적인 보호
[데이터넷] “OT 보안이 어려운 이유는 위험관리 차원의 접근이 부족하기 때문이다.”
나현식 투씨에스지 OT/ICS 보안기술부 매니저는 ‘제23회 차세대 보안 비전 2024’의 ‘OT/ICS 사이버보안의 목표와 수행 방법’ 세션에서 OT 보안 수행 단계를 설명하기에 앞서 이 같이 말했다.
OT 보안은 필요하지만, 쉽지 않다는데 이의를 제기할 사람은 아무도 없다. 레거시 시스템과 첨단 시스템이 공존하는 OT는 기존 시스템 환경을 변경하거나, 영향을 미칠 수 있는 정책 적용이 어렵다.
OT 위협은 전 세계적으로도 심각한 문제가 되기 때문에 세계 각국은 OT 보호를 위한 강력한 규제를 만드는 한편, 표준을 통해 일정 수준 이상 보안을 갖추도록 하고 있다. 그 중에서 IEC62443(우리나라 국가 표준 KS X IEC62443)이 모든 산업군에 적용 가능한 일반적인 표준으로, 이를 준수하면 보안위협의 대부분은 보호할 수 있다. 이 표준은 기본적으로 준수해야 할 보호 수준과 패치관리, 보안위험 평가와 시스템 설계, 안전한 제품개발 생명주기 등의 내용을 담고 있다.
나 매니저는 “IEC62443을 준수하는 것 만으로도 상당한 수준의 보안이 갖춰져 있다고 평가받을 수 있다. 물론 충분히 높은 수준이라고 할 수는 없지만, 자산 식별과 보안 생명주기, 지속적인 보호 노력과 위험 평가 등으로 대부분의 보안위협에 대응할 수 있을 것”이라고 설명했다.
OT 설비 공급사부터 유지보수 조직까지 협력해야
나 매니저는 OT 보안 프로젝트를 수행할 때 현장에서 반드시 고려해야 할 사항과 보안 전략 수립 단계에 대해 설명하면서 세션을 이어갔다. 그는 먼저 표준 준수를 위해 국제자동제어협의회(IACS)에서 제안한 사이버 보안 생명주기를 살펴봐야 한다고 설명했다. ▲위험 평가 ▲솔루션 구축과 운영 ▲유지보수로 이뤄지는 생명주기가 반복적으로 이어지면서 OT 보안 수준을 보완·강화해야 한다.
또 소수의 담당자, 혹은 하나의 담당 조직만으로 보호할 수 없으며, 설비 운영사와 유지보수 서비스 공급자, SI 및 솔루션 공급자가 협력해서 보호해야 하며, 장기적이고 체계적인 보안 전략이 마련되어야 한다.
그 전략 중 하나가 영역과 통신(ZC: Zone and Conduit)이다. 영역(Zone)은 유사한 기능을 하나의 그룹으로 묶어내는 기술이며, 통신(Conduit, 도관)은 논리적으로 존 간 프로토콜이 어떻게 통신하는지 파악하고, 제어하는 것을 말한다. ZC를 제대로 설계하면 기능과 권한을 그루핑하고, 통신 내역을 모니터링해 이상상황을 파악하고 조치할 수 있다.
‘감수할 수 있는 위험 수준’ 판단해야
통신 내역 중 이상수준을 판단할 때 정확하게 ‘허용-차단’을 결정하기 어려운 경우가 많다. 따라서 추가 조치 없이 현재 설비와 장비를 보호할 수 있는 수준인지, 최소한의 격리가 필요한지, 혹은 정밀한 분석을 통한 조치가 필요한지 등의 결정을 해야 한다.
나 매니저는 “OT 환경과 특수성에 따라 위협 수준이 다르기 때문에 동일한 유형의 행위라 해도 어떤 영역에서는 완전한 차단이 필요하고, 어떤 영역에서는 추적·모니터링이 필요하다. 행위에 대한 대응 결정이 어렵기 때문에 처음에는 넓은 영역에서 얕은 수준으로 시작해 감수할 수 있는 위험 수준을 객관적으로 지표화하고 대응하는 것이 권고된다”고 설명했다.
그는 “도달하고자 하는 목표 수준을 여러 단계로 나누어, 단순 이상행위 판단 수준에서 결정할 것인지, 정교하고 세밀한 공격 분석과 대응 단계까지 완성할 것인지 생각하는 것도 좋다. 위협이 발생할 가능성과 영향도를 2차원, 3차원으로 분석해 평가하면 보다 정확한 판단 근거가 마련될 수 있을 것”이라고 설명했다.
OT 보안 시작은 ‘자산 확인’
실제로 OT 보안 전략을 수립할때는 ▲1단계 자산 확인 ▲2단계 자산 목록에 따른 영역과 통신(ZC) 구분 ▲3단계 정책 디자인 ▲4단계 유지보수 등의 단계를 설정하게 된다. 이 중 정책 디자인은 IT 업무망과 제어 네트워크 분리 여부, 안전관련 설비의 별도 네트워크 구성 여부, 일시적으로 연결된 자산 확인, 무선 장치와 외부 네트워크 연결 자산 확인 등을 통해 불법적인 침입이 이뤄지지 않게 한다.
그리고 ▲억제(Deter) ▲감지(Detect) ▲공격 지연(Delay) ▲차단(Deny) ▲패배시킴(Defeat) 등의 5D 전략을 적용해 적절한 조치를 취한다. 이를 수행하는 솔루션은 산업용 프로토콜을 탐지할 수 있어야 보다 정확한 탐지와 감지가 가능하다.
나현식 매니저는 “OT 보안 프로젝트를 수행할 때, 특정한 위협을 탐지, 방어하는데 집중하는 경향이 있는데, 그보다는 보안이 잘 지켜지고 있는지 확인하는 것도 중요하다. 이를 위한 솔루션을 선택하는 것도 필요한데, 솔루션마다 각각 다른 기능과 특징을 갖고 있기 때문에 환경에 맞는 제품을 선택할 수 있어야 한다”고 말했다.
한편 투씨에스지는 OT 보안 기업 노조미네트웍스 국내 총판으로, 국내 여러 기업과 기관의 OT 보안 프로젝트 수행과 솔루션 공급 성과를 거두고 있다.
