[데이터넷] 코로나19는 사이버 범죄자들에게 좋은 기회를 주고 있다. 대면 활동과 이동이 제한되면서 원격지 시설 관리를 비대면으로 진행하게 돼 기존의 경계기반 보안 정책이 소용 없게 됐다. 국가 주요 시설, 제조공장 등에서 특히 더 심각한 문제에 직면하게 됐다.
외부 연결이 제한되었던 운영기술(OT), 산업제어시스템(ICS)의 원격 연결이 잦아지면서 공격자에게 노출될 가능성이 높아졌다. 이전에도 OT·ICS 보안 심각성에 대한 경고가 있었지만 코로나19로 인해 더욱 더 높은 위험을 갖게 됐다. 특히 국가기반 공격자들이 이 틈을 노려 경쟁국의 혼란을 일으키거나 정치자금 마련을 위한 공격을 이어가고 있다.
OT·ICS 보안 대책 마련을 위해 정부는 산업제어시스템 보안 기준 ‘KS X IEC 62443-4-2:2019(산업제어시스템 보안 제4-2부: 산업제어시스템 컴포넌트의 기술적 보안 요구사항)’를 발표했다. 이 표준에서는 ▲임베디드 장치 ▲네트워크 장치 ▲호스트 장치 ▲소프트웨어 애플리케이션 등 4종의 산업제어시스템 구성요소에 대해 총 4단계의 보안 등급을 나누고 보안 요구사항을 제시한다.
표준을 준수한다 해서 보안 위협을 막을 수 있는 것은 아니지만, 적어도 알려진 공격으로 인한 피해는 막을 수 있다. 클래로티 조사에 따르면 ICS에서 발견된 취약점 70% 이상이 원격에서 악용될 수 있는 원격코드실행(RCE) 취약점이 포함돼 있었다. 이러한 취약점을 제거할 수 있는 패치도 이미 발표됐지만 ICS 가용성을 해치게 될 것을 우려해 취약점 패치를 적용하지 않는 경우가 부지기수다.
OT 보안 전문가 턱없이 부족
OT 보안의 심각성을 이야기할 때 전문가가 없고 IT와 OT 조직의 갈등이 발생한다고 주장한다. IT 보안 전문가는 OT를 모르고, OT 운영자는 보안을 모른다. OT 보안 전문가는 턱없이 부족한데다가 최근 공격은 IT와 OT를 아우르는 공격방식을 사용하기 때문에 IT와 OT 전문성과 IT·OT 보안 전문성을 두루 갖춘 사람이 필요하다.
서로 전문성을 인정하지 않아 IT와 OT 조직의 갈등이 발생하거나 R&R을 제대로 정립하지 못해 서로에게 떠넘기면서 책임을 회피할 수도 있다. 혹은 자신의 자리가 위협받는다고 생각해 지나치게 방어적인 입장을 취할 수도 있다.
조직 문화가 만들어지지 않았다는 점 때문에 OT 보안을 미룰 수는 없다. 그래서 최근 OT·ICS 운영 조직들이 보안 대책 마련과 전문성 강화, 솔루션 도입을 늘려가고 있다. 특히 노르스크 하이드로, TSMC 등이 랜섬웨어 공격으로 심각한 피해를 입자, 사이버 보안이 비즈니스 성패를 좌우할 수 있다는 사실을 인지한 제조사들이 적극적으로 OT·ICS 보안 사업을 전개하고 있다.
OT 보안 기업 본격 영업 시작
OT·ICS 보안 시장은 올해 본격적인 성장 가도에 올랐다. 지난해 글로벌 제조사의 해외 공장에 OT 네트워크 모니터링 솔루션을 도입하고 효과를 본 이후 다른 그룹사들도 OT 보안 사업에 적극 나서기 시작했다. 국내 세계적인 반도체 기업들과 가전 기업들이 OT 보안 프로젝트를 진행하고 있으며, 이 시장을 선점하기 위해 클래로티, 노조미네트웍스, 사이버엑스 등 OT 보안 전문기업이 공격적인 공략에 나섰다.
클래로티는 OT 보안 전문기업 중 유일하게 한국지사를 뒀다는 점에서 신뢰를 얻고 있다. 클래로티 한국지사에는 OT 전문가가 활동하고 있으며, 제품 유통을 위한 파트너 뿐 아니라 OT 보안 전문성을 인정받은 기술 파트너도 확보하고 있어 고도의 전문성을 요구하는 OT 보안 사업을 수행할 능력이 충분하다고 인정받고 있다.
클래로티의 최대 장점은 ‘가시성’이다. OT 네트워크 뿐 아니라 엔드포인트까지 가시성을 제공해주며 자산관리 기능까지 제공해 관리되지 않은 사각지대를 제거한다. 또한 OT 보안 전문성을 축적한 인텔리전스를 제공해 방대한 OT 네트워크 내에서 발생하는 위협을 자동으로 제어한다. 이 같은 장점에 힘입어 국내 굴지의 제조사, 에너지, 식품 등 다양한 산업군에서 성장하고 있다.
클래로티 기술총판인 쿤텍은 OT 보안 기술지원과 OT 보안 전문가 교육, 컨설팅, 모의해킹 등의 서비스도 함께 제공한다. 또한 미국 보안 기업 트랩엑스의 사이버 기만 기술 기반 해커유인시스템 ‘디셉션그리드’를 산업제어시설, 국방 분야에 공급했다.
노조미네트웍스는 OT 보안 3사 중 가장 처음으로 글로벌 기업의 해외 공장에 대규모 공급사례를 기록하면서 주목을 받아온 기업이다. 노조미네트웍스는 글로벌 총판인 태그섹의 CEO 엔리케 아수아라(Enrique Azuara)를 중심으로 국내 기술지원 조직 이케이시큐리티코리아를 설립하고 국내 시장을 공략하고 있다. 이케이시큐리티는 노조미 솔루션 공급과 컨설팅 및 구축, 서비스까지 제공하며, 관련 교육과 훈련 사업을 진행한다.
사이버엑스도 주목받는 OT 보안 솔루션 기업으로, 마이크로소프트에 인수됐다. 애저 IoT 보안 영역에 적용되어 스마트팩토리·스마트시티 보안에 사용될 수 있을 것으로 기대되는 기업이기도 하다. 국내에서는 쿠도커뮤니케이션이 총판을 맡아 공급하고 있는데, 뛰어난 기기 가시성과 보안 기술이 탁월하다는 평가를 받고 있다. 쿠도커뮤니케이션은 사이버엑스 솔루션 공급뿐 아니라 컨설팅, 유지관리, 교육, 보안관제 등 종합 서비스를 결합해 제공한다는 계획이다.
IT 보안 기술로 OT 보안 공략
OT 보안 시장 성장세가 본격화되면서 IT 보안 기업도 진출 속도를 높이고 있다. 대표적으로 카스퍼스키는 OT 환경을 위한 엔드포인트 보안 뿐 아니라 네트워크 보안, 위협 인텔리전스, 침해대응, 보안관제와 교육, 컨설팅 등을 포함한 포괄적인 OT 보안 포트폴리오를 갖추고 있다.
OT 전용 엔드포인트 보안 솔루션 ‘KICS 포 노드’는 ICS/SCADA 서버, HMI, 엔지니어링 워크스테이션을 보호하는 제품으로, 애플리케이션 화이트리스트, 매체제어, 호스트 기반 방화벽, PLC 무결성 검사, 와이파이 네트워크 제어, 파일 무결성 모니터링 등의 기능을 제공한다.
네트워크 보안 솔루션 ‘KICS 포 네트웍스’는 산업용 프로토콜에서 작동하며 고급 DPI, 기술로 이상 트래픽을 분석하고, 네트워크 무결성 제어와 IDS 기능을 제공한다. 더불어 카스퍼스키의 위협 인텔리전스 ‘카스퍼스키 시큐리티 네트워크(KSN)’와 프라이빗 인텔리전스 ‘카스퍼스키 프라이빗 시큐리티 네트워크(KPSM)’를 통해 수집한 인텔리전스를 OT 환경까지 확장해 최신 사이버 위협에 대응하도록 한다.
포티넷은 이미 오래전부터 러기지 방화벽을 비롯한 산업제어시스템을 위한 보안 솔루션을 다양한 산업군에 공급하고 있었다는 점을 강조하며 적극적으로 시장 공략에 나섰다. 또한 지멘스가 자사 스위치에 노조미 보안 모듈과 포티넷 방화벽 모듈을 통합시켜 공급하는 등 설비 전문기업과의 긴밀한 통합 작업도 진행하고 있다.
포티넷은 다양한 OT 프로토콜을 지원하는 네트워크 보안 솔루션과 모니터링 시스템을 제공하고 있으며, 한국지사에 OT 데모룸을 만들어 OT 보안을 찾는 고객에게 실제 운영 현황을 보여주고 있다.
AI 전문기업 다크트레이스는 AI 분석으로 OT 보안까지 수행할 수 있다고 설명한다. 다크트레이스는 학습 없이 네트워크 트래픽에서 이상행위를 찾아낼 수 있는 비지도학습 기반 머신러닝을 사용한다. 이를 통해 오탐을 줄이고 정탐을 높일 수 있다고 주장한다.
OT는 설비마다 각각 다른 프로토콜을 갖고 있으며, 커스텀 프로토콜도 있기 때문에 이를 모두 다 지원하는 것은 쉽지 않은 일이다. OT 네트워크 보안 솔루션은 주요 설비제조사 장비의 프로토콜을 지원하며, 커스텀 프로토콜은 AI로 학습해 빠르게 지원한다. 이때 프로토콜의 유사성 때문에 오·미탐이 과도하게 발생할 수 있다.
다크트레이스는 아무것도 학습하지 않은 상태로 네트워크 트래픽을 모니터링하기 때문에 알려진 프로토콜과 커스텀 프로토콜을 완전히 다른 프로토콜로 인식한다. 프로토콜간의 유사성으로 인한 오·미탐 우려가 낮다는 것이 다크트레이스의 주장이다.
IT·OT 협력해 시장 공략
체크포인트와 트렌드마이크로는 OT 전문기업과 협력으로 시장을 공략한다.
체크포인트가 클래로티와 협력하는 사례를 예로 들어 보면, 체크포인트 방화벽으로 OT 네트워크를 마이크로 세그멘테이션하고, 그 내부에서 발생하는 이상행위는 클래로티가 탐지한다. 탐지된 이상행위는 체크포인트 방화벽을 통해 수집하고 IT와 통합 운영 가능한 OT 보안관제 시스템으로 전송한다. 여러 소스에서 수집한 데이터를 분석해 전체 공격을 가시화하고 적절한 대응책을 빠르게 만든다. 이를 방화벽으로 다시 보내 공격 행위를 차단하고 확산을 방지하며 감염된 시스테을 격리해 치료한다.
트렌드마이크로는 제조설비기업 모싸와 합작법인 티엑스원 네트웍스를 설립하고 OT 보안 솔루션을 개발하고 있다. 산업용 IPS와 방화벽, USB 형태의 OT·ICS 악성코드 대응 시스템, 화이트리스트 보안 솔루션, 랜섬웨어 방어 솔루션 등을 공급한다.
OT 보안 시장이 본격 개화하면서 국내 기업도 경쟁을 시작했다. 한드림넷은 OT 보안 스위치와 화이트리스트 보안 스위치를 출시하고 시장 공략에 나섰다. OT 보안 스위치는 영하 40도~영상 75도에 이르는 극한 환경에서도 정상 작동하고, 서비스 연속성 보장을 위한 전문 서비스를 제공한다. 도스/디도스 공격 차단, 유해 트래픽 실시간 차단, ARP 스푸핑 공격 차단, 개인정보·중요정보 유출 방지, 케이블 루핑 자동 탐지 및 차단 등의 기능을 제공한다.
화이트리스트 보안스위치는 허가된 기기만 네트워크 접속을 허가하는 강력한 보안 정책으로 내부 네트워크를 보호한다. 유해 트래픽 차단과 네트워크 장애 예방, 네트워크 가시성 확보, 내부 단말의 통신 경로 제어 등의 기능을 제공하며, OS 구분 없이 IP를 사용하는 모든 디바이스를 통제할 수 있다. 정책 서버, 에이전트 없이 네트워크 스위치에서 통신 차단과 제어를 수행한다.
단방향 전송 시스템으로 스마트 팩토리 보호
OT 환경이 스마트해지면서 내부의 데이터가 외부로 전송돼야 하는 경우가 많아진다. 스마트공장의 경우 공장의 생산 정보를 본사 MES, ERP, 클라우드 등으로 보낸다. 발전소의 경우 호기별 운영 정보를 통합운영망으로 보낸다. 외부와 데이터 통신 과정에서 악성코드가 유입될 가능성이 있기 때문에 주요 시설은 내부 데이터가 외부로만 전송되고 외부에서는 내부로 통신하지 못하도록 하는 단방향 전송 시스템이 필요하다.
이 시장은 앤앤에스피가 가장 먼저 솔루션을 출시하고 시장 개척에 나서왔으며, 휴네시온이 그 뒤를 바짝 쫓고 있다. 앤앤에스피는 가장 오랫동안, 가장 다양한 환경에서 제품을 공급하면서 높은 전문성이 축적돼 있다는 것을 강조한다. 또한 AI 기반 이상징후 탐지기술을 적용해 OT 네트워크 모니터링 기능도 수행한다.
앤앤에스피는 단방향 전송 시스템 뿐 아니라 다양한 OT 보안 솔루션과 서비스를 준비하고 시장 개척에 나섰다. OT 네트워크 모니터링 솔루션과 화이트리스트 기반 엔드포인트 보안 솔루션, OT 자격증명 관리와 원격 로그인 차단과 제한, 패치 업데이트 관리와 테스트, 네트워크 포트 이중화, 원격 모니터링과 유지보수, ICS 통합 관제와 대응체계로 구성된 다계층 보안 체계를 완성했다.
휴네시온은 국내 망연계 솔루션 1위 제품인 ‘아이원넷’ 기술을 기반으로 한 단방향 전송 시스템 ‘아이원넷 디디’로 시장을 공략한다. 자체 개발한 전용 프로토콜을 이용해 통신하며, 국정원 검증필 암호모듈을 적용해 암호화 데이터를 전송한다. 산업·제조시설에서 사용하는 다양한 표준/비표준 프로토콜을 지원하며, 이중화 구성과 유연한 확장성을 제공한다. 아이원넷 디디는 국방, 교통, 전력, 철도, 수자원 등 국가기반시설을 비롯해 에너지산업분야 공공기관 및 민간 기업의 다양한 제어시스템에 공급됐다.
복잡한 OT 엔드포인트, 가시성 솔루션 주목
OT 엔드포인트 보안은 결코 쉽지 않다. 일단 OT에 사용되는 엔드포인트 기기 종류가 많고 OS와 소프트웨어가 다양하며, 엔드포인트에 가용 리소스가 충분하지 않아 보안 솔루션을 설치하는데 제약이 있다. 오래된 OS와 애플리케이션을 사용하며 벤더의 지원이 중단된 것도 많으며, 취약점 관리도 제대로 되지 않았고, 전체 자산 중 어떤 엔드포인트가 연결됐는지 파악하기도 어렵다.
포어스카우트는 가장 포괄적인 IoT 가시성을 제공하는 보안 플랫폼을 제공하는 기업으로, OT 보안 전문기업 시큐리티매터스를 인수한 후 IoT-OT 통합 보안 기술 영역으로 진출했다. 포어스카우트 솔루션은 워크로드, 데이터, 사용자, 자산에 대한 제로트러스트 보안을 완성할 수 있도록 해 OT 전반의 보안과 가시성을 높일 수 있다.
국내 기업인 지니언스는 가장 많은 종류의 엔드포인트를 지원한다고 강조하면서 OT 보안 시장에 진출했다. 지니안 NAC는 이미 국내 대형 제조사에 공급돼 안정적으로 운영되고 있으며, 포괄적인 엔드포인트 가시성과 무결성 검증 지원으로 제조사 보안에 기여하고 있다.
국내 스타트업이 AI 기반 안드로이드 보안 솔루션으로 OT·IoT 영역까지 보호할 수 있다고 선언하고 나섰다. 시큐리온은 안드로이드 멀웨어 탐지·대응 기술을 가진 스타트업으로, AI를 이용해 시그니처 없이 멀웨어를 지능적으로 차단한다.
글로벌 안티바이러스 테스트 기관 AV 테스트, AV 컴패러티브스, MRG 에피타스 등에서 연속해서 높은 탐지 성능을 기록한 시큐리온 ‘온백신’은 안드로이드 기반 기기를 보호하는데 탁월하다. 웨어러블 디바이스, TV, 차량 등을 위한 제품을 출시했으며, 지속적으로 지원 범위를 확장해나갈 방침이다.
공급망 보안·외주인력 보안 솔루션 등장
OT 환경의 보안위협 중 공급망 공격은 이미 다수의 대형 피해사례가 있으며, 여전히 가장 빈번하게 발생하는 것으로 나타난다. 공급망 공격의 대표 사례는 패치 배포서버를 감염시켜 악성코드에 감염된 패치파일이 배포되도록 하는 것이다. 공격자는 패치 업그레이드 서버에서 코드사인 인증서를 훔쳐 악성코드가 포함된 업데이트 파일에 정상 서명을 기록해 감염된 배치파일을 정상인 것처럼 속여 배포하도록 한다.
이 같은 공급망 공격을 막기 위해 코드사인 인증서 관리를 철저히 해야 하는데, 관리만으로 완전한 것은 아닌 만큼, 패치파일의 안전성을 보장할 수 있는 솔루션을 도입하는 것도 권장할만하다.
소프트캠프의 게이트 엑스캐너는 패치파일에 악성코드가 있는지 살펴보고 무결성이 검증된 것만 CD로 제작해주는 키오스크 제품으로 국가정보원 가이드라인을 만족해 여러 발전소 등에 공급하고 있다. 관련 규제 대상이 아닌 기업에 대해서는 패치파일 무결성 검사 후 USB나 기타 다른 방법으로 안전하게 파일을 배포할 수 있도록 도와준다. 소프트캠프는 USB 메모리와 노트북의 무결성을 검사하는 솔루션도 출시할 계획이다. 아무것도 설치하지 않고 노트북이나 외부저장매체에 악성코드가 있는지 검사해 사용자의 거부감을 줄인다.
OT 보안 컨설팅·관제 시장도 ‘들썩’
OT 보안은 전문인력을 갖추기 어렵기 때문에 보안관제와 컨설팅 전문가에 의존하는 경향이 있다. 이에 IT 보안 기업들이 이 분야의 전문성을 앞세워 시장 진출에 나섰다.
안랩은 OT환경 보안관리 위한 ‘OT 보안관제 서비스’를 출시하고 OT 보안 사업에 시동을 걸었다. 이 서비스는 OT환경에 대해서 실시간 보안 위협 모니터링, 고객사 환경별 맞춤형 보안 설정 등 OT환경 전문 보안 관리 서비스를 제공한다.
안랩 보안관제센터(SOC) 전문 인력이 원격으로 고객 OT환경 자산의 보안설정 관리 및 외부 위협 모니터링을 제공한다. 더불어 포스코ICT와 함께 스마트팩토리 보안 사업을 전개하고 있다.
SK인포섹은 ‘OT/ICS 사이버 방역 서비스 모델’을 이용해 스마트팩토리 대상 OT/ICS 보안 사업에 나선다. 이 서비스는 스마트팩토리의 생산 효율과 연속성을 보장하면서 주요 생산·제조 설비인 OT와 ICS를 중심으로 사이버 공격을 예방, 대응하기 위한 일련의 보안 서비스를 제공한다.
