[데이터넷] 세계적으로 악명높은 사이버 범죄조직이 사회 중요 인프라와 제조시설을 집중 공격하고 있다. 2017년 이전에는 주로 국가기반 범죄자의 기반시설 공격이 집중됐지만, 2018년부터는 제조기업이 타깃이 되고 있다. 독자적인 프로토콜과 OS, 소프트웨어를 사용하고 폐쇄된 전용망을 이용하는 OT는 외부위협으로부터 안전하다고 인식되어왔다. 그러나 실제 OT 환경은 외부와 연결되는 지점이 점점 많아지고 있으며, IT 기술이 OT에도 적용돼 IT 위협이 OT까지 위협하는 상황이다.

이항로 카스퍼스키코리아 부장은 “OT 보안은 이 분야에 대한 높은 전문성을 반드시 갖추고 있어야 한다. OT를 위한 위협 탐지·대응 기술과 위협 인텔리전스, 침해대응, 교육과 훈련, OT 보안 기술 개발 및 연구, 인력 양성 등을 종합적으로 진행할 수 있는 신뢰할 수 있는 파트너를 갖는 것이 중요하다”며 “카스퍼스키는 오랫동안 전 세계 주요 정부와 산업시설을 위한 전문 보안 기술과 서비스를 제공해 온 가장 신뢰할 수 있는 보안 파트너”라고 소개했다.

가용성이 생명인 OT…전문 보안 기술 필수

이항로 부장은 17일 <데이터넷TV> 웨비나 ‘피해사례로 알아보는 OT/ICS 보안 해법 제시와 카스퍼스키가 제공하는 KICS’에서 OT/ICS 보안위협과 해결 방안에 대해 자세히 소개했다. 이 행사는 카스퍼스키코리아와 국내 총판인 쿠도커뮤니케이션이 함께 진행했다.

행사는 박진성 쿠도커뮤니케이션 전무의 ‘IT 보안과 OT 보안의 차이점 및 OT/ICS 보안 동향’ 주제의 세션으로 시작됐다.

박 전무는 IT와 OT 환경의 결정적 차이로 “보안 우선순위가 다르다”고 설명했다. IT는 신뢰성→무결성→가용성을 중시하는 방면, OT는 가용성→무결성→신뢰성을 중시한다. OT는 잠깐의 시설 중단이 막대한 피해를 입힐 수 있기 때문에 가용성을 생명으로 여겨 필수적인 패치 업데이트에도 신중을 기할 수 밖에 없다. 미리 정해진 프로세스 외에는 작동하지 않으며, 비표준 플랫폼과 독점적인 프로토콜을 사용해 IT 보안 기술로는 관리하기 어렵다.

그러나 최근 OT 환경이 외부와의 연결성을 높이면서 외부위협이 높아지고 있는데, 이란 핵시설을 파괴한 스턱스넷, 우크라이나 전력시설을 마비시킨 인더스트로이어, 전 세계 주요 산업제어 시스템에 피해를 입힌 낫페트야, 전 세계 석유화학 시설을 공격한 트라이튼, 노르스크 하이드로를 중단시킨 로커고가 랜섬웨어 등 많은 공격이 발생했다. 국내에서도 OT 보안 공격은 지속적으로 이뤄지고 있다.

박진성 전무는 “센시스라는 검색엔진을 통해 외부와 통신하고 있는 산업장비를 검색한 결과를 살펴보면, SCADA와 한국을 필터로 했을 때 약 2000건이 검색된다. 이는 OT=폐쇄망이라는 기존의 개념이 이제는 유효하지 않다는 점과 OT보안이 필요하다는 점을 보여주고 있다”고 말했다.

그는 “영화 ‘다이하드’는 전력시설을 마비시키는 테러가 발생한 상황을 그렸는데, 이러한 테러가 우리나라에서 발생하지 않는다는 보장이 없다. 이미 우리나라에도 많은 기업과 기관이 피해를 입었으며, 현재도 공격이 진행되고 있다. OT/ICS 보안 대책 마련이 시급하다”고 강조했다.

위협 차단된 ICS 컴퓨터 40%, 스마트팩토리

두번째 세션을 맡은 이항로 카스퍼스키코리아 부장은 OT/ICS를 위한 필수 보안 기술과 서비스를 안내하고 카스퍼스키 산업용 보안 포트폴리오 ‘KICS’를 소개했다. 이항로 부장은 카스퍼스키 ICS CERT의 연구 활동을 소개하면서 세션을 시작했다.

이 연구는 카스퍼스키 제품으로 보호받는 20만개 이상 ICS 컴퓨터로 수신된 데이터를 분석했으며, 이 정보는 SCADA 서버, 히스토리안 서버, OPC, 운영자·엔지니어링 용 워크스테이션, 랩톱, HMI 관리서버 등에서 수집한 것이다.

분석 결과에 따르면 악의적 위협이 차단된 ICS 컴퓨터 중 39.9%가 스마트팩토리였으며, 오일·가스 분야 산업시스템 컴퓨터에서 새로운 웜이 가장 많이 발견됐다. ICS 컴퓨터는 일반 악성코드에 의해서도 공격 당했는데, 이 컴퓨터는 보안 수준이 낮아 공격자가 쉽게 침투할 수 있다. OT 네트워크가 IT와 분리되어있지 않아 웹이나 회사 네트워크를 통해 OT로 이동할 수 있으며, 이동식 저장장치, 이메일 클라이언트 등을 통해서도 위협이 도달할 수 있다.

이처럼 위험도가 높은 OT/ICS를 보호하기 위해 카스퍼스키는 기술과 서비스를 종합적으로 제공하고 있으며, 21개 국가 100개 이상 프로젝트를 통해 OT/ICS 위협을 예측하고 예방하며 탐지, 대응하고 있다.

카스퍼스키의 산업용 보안 포트폴리오 중 엔드포인트 보안을 위한 ‘KICS for Nodes’는 가장 다양한 OT/ICS 기기와 OS를 지원하며, 기기에 미치는 영향을 최소화하면서 위협을 탐지하고 기기를 보호한다. 네트워크 보안 솔루션인 ‘KICS for Networks’는 네트워크에 영향을 전혀 주지 않으면서 OT 네트워크에 연결된 모든 자산을 식별하고 딥 패킷검사로 통신을 분석하며 네트워크 무결성 제어, 침입탐지, 머신러닝 기반 이상징후 탐지 등을 제공한다.

카스퍼스키 산업용 보안 솔루션은 ‘카스퍼스키 시큐리티 센터’를 통해 중앙에서 관리할 수 있으며, 단일 콘솔에서 시스템 관리, 정책관리, 대시보드 통합, 리포트와 알림, SIEM 통합 등의 관리 편의성을 제공한다.

다양한 산업보안 연구 지원에도 나서

카스퍼스키는 산업 트레이닝과 전문가 서비스를 통해 OT/ICS에 대한 종합 보호를 제공한다. OT 사고 대응과 분석, 전문가를 위한 교육, 침투테스트, 사이버 보안 평가, 침해대응 서비스를 제공한다. 또한 산업 보안에 특화된 보안 인텔리전스를 제공, 산업에 영향을 미치는 취약점 파악하고 관리할 수 있도록 한다.

더불어 매년 산업보안 전문 컨퍼런스를 진행하면서 ICS 취약점에 대한 연구를 깊이 있게 진행하는 한편, 대학교, 연구소 등과 협력해 산업 사이버 보안 위협 이해와 대응을 위한 연구를 진행한다. ‘KICS for College/Labs’는 교육기관인 산업제어기술 연구소, SOC, CERT를 갖추고 있는 공공·민간기업이면 함께할 수 있으며, 카스퍼스키의 전문 솔루션을 이용해 새로운 위협을 찾고 대응 방안을 모색할 수 있다.

이항로 부장은 “카스퍼스키는 전 세계 중요 산업군에서 OT/ICS 보호 솔루션과 서비스의 성공사례를 다수 갖고 있으며, 가트너, ICS, 포레스터 등 세계적인 기관으로부터 전문성을 인정받았다. 2019년 가트너의 ‘피어 인사이트’에서 참여한 고객들로부터 가장 높은 평가를 받은 기술을 확보하고 있다”고 설명했다.

이어 그는 “카스퍼스키는 글로벌 최고 수준의 엔드포인트 보안 전문기업으로 시작해 IT·OT 전 분야를 아우르는 방대한 보안 솔루션과 서비스를 제공하고 있다. 또한 업계 최고의 전문가로 구성된 ‘글로벌 연구 및 분석 팀(GReAT Team)’을 통해 최첨단 사이버 위협을 지속적으로 탐색하고 대응한다. IT-OT 융합 환경을 위한 가장 완성된 보안 포트폴리오를 갖춘 카스퍼스키와 함께 IT 및 OT 보안 수준을 높이고 비즈니스 경쟁력을 높일 수 있기를 바란다”고 말했다.

김선애 기자 다른기사 보기