[데이터넷] OT 타깃 공격이 급증하면서 세계 각국 정부가 강력한 규제를 마련하고 있다. 국가안보와 국민들의 생명·안전과 직결된 주요 인프라와 기관을 보호하기 위한 규제가 등장하고 있으며, 공급망까지 규제의무 대상에 포함시키면서 국내 기업의 대응책 마련이 시급해졌다. OT 조직의 보안전략 수립에 도움이 될 수 있는 OT와 관련된 보안규제와 OT 위협 동향을 살펴보고, 대응 기술과 모범사례를 소개한다. <편집자>

취약점 관리·프로토콜 분석 어려운 OT

OT는 가용성이 중요해 패치했다가 가동중단 등의 사고가 생길것을 우려해 패치하지 않는 경우가 대다수다. 가상패치 기능을 이용해 공격자에게 취약점을 노출시키지 않을 수 있지만, 이는 임시방편일 뿐이며, 패치 안정성이 검증된 후에는 반드시 패치를 실시해 취약점을 제거해야 한다.

연결되는 OT가 증가하면서 공개되는 취약점의 숫자가 늘어나 취약점 관리가 점점 어려워지고 있다. 올해 상반기 CISA는 OT 분야 62개 공급업체의 제품에 영향을 미치는 641개의 취약점을 공개했으며, 320개가 여러 산업군에 영향을 미칠 수 있는 것이고, 그 다음으로 많은 188개가 제조업, 138개가 에너지 산업을 노리는 것이었다.

가트너는 OT/CPS 취약점 관리의 문제를 설명하면서, 공급업체들이 취약점 문제에 투명하게 대응하고 있지 않다고 지적하기도 했다. 공급업체들은 취약점이 발견되고 패치를 발표했을 때, 고객에게 즉시 알리고 조치하도록 권고하고 있지만, 정확하게 이 취약점이 어떤 영향을 미치는지, 패치는 어떤 기능을 하는지 투명하게 알려주지 않아 OT 조직이 패치 적용에 대한 우려를 갖게 된다고 지적했다.

취약점 패치를 하지 않는 것 보다 더 위험한 것이 지원 종료된 구식 시스템을 사용하는 것이다. 맥킨지는 30년 이상 된 레거시 시스템이 여전히 사용되고 있어 보안제어가 어렵다는 점을 지적했다. 이러한 시스템 중에서는 관리체계가 수립되기 전에 연결된 것도 많아 OT 보안제어 시스템이 적용되지 않는 것도 있다.

OT에서만 사용되는 전용 프로토콜의 문제도 있다. OT 네트워크 이상행위를 검사하기 위해서는 프로토콜에 대한 이해가 있어야 하는데, 현재 OT 네트워크 프로토콜은 500종 이상이며, 각 사이트마다 커스터마이징되는 경우도 있어 표준 프로토콜 분석 기술로는 분석할 수 없다.

부족한 OT 보안 전문가

OT 보안에 대한 인식이 부족하다는 것이 가장 심각한 문제다. “OT는 폐쇄망으로 운영되기 때문에 안전하다”, “독자적인 프로토콜과 OS, 애플리케이션을 이용하기 때문에 악성코드가 활동하지 못한다”는 오해가 여전히 존재한다. 트렌드마이크로 조사에서는 60% 이상 OT 조직이 보안 솔루션 구축 경험이 없으며, 공격 차단율 40% 이하인 것으로 나타났다.

OT 망 내에서도 레이어 3까지는 IT 기기가 많이 사용되기 때문에 IT 환경에서 활동하는 악성코드가 3까지 영향을 미칠 수 있다. 폐쇄망의 기기들도 데이터 전송을 위해 외부와 연결되기 때문에 안전하지 않다. 관리되지 않은 OT 기기가 외부와 연결된 채 방치되는 경우도 많은데, 장애조치, 유지보수 등을 위해 임시로 연결했다가 제거하지 않아서 사고가 발생하는 일이 많다.

OT 보안 전문가가 없어 OT 보안의 위험성을 제대로 파악하지 못한다는 점도 문제다. 포브스 조사에 따르면 전 세계 OT 보안 전문가 340만여명이 부족한 것으로 파악되며, 더 숙련된 전문가를 찾는 조직이 늘어나 OT 보안 전문가 부족은 앞으로 더 심해질 것으로 보인다.

OT와 IT가 융합되면서 IT 보안이 OT 보안까지 통제해야 한다는 주장이 일반적으로 받아들여진다. OT도 IT 기술을 받아들이고 있으며, 클라우드와 연결이 늘어날수록 OT 망 내에서 IT 기술을 활용하는 범위가 넓어지기 때문이다. 또 비즈니스 전반의 위협을 관리하기 위해서는 IT-OT 통합보안관제가 필요하며, IT 보안이 OT 보안까지 포함해야 한다는 주장이 힘을 얻고 있다.

노조미네트웍스가 유럽의 IT 보안 의사결정자를 대상으로 OT·IoT에 대한 책임을 누가 지고 있는지 물어본 결과 35%가 CISO, 24%가 IT 조직이 맡는다고 답했으며, OT가 담당한다는 답은 18%에 그쳤다.

OT 보안-IT 보안 동등한 관계서 협력해야

전형적인 OT 환경에서의 보안위협만을 생각하면 IT 보안이 OT보안까지 통제하는 것이 합리적이라고 생각할 수 있다. OT 망 상당범위에 IT 기술이 사용되고 있으며, 사이버 공격의 대부분이 IT 공격 방식을 채택하고 있기 때문이다.

그런데 이를 CPS로 넓혀보면, IT 보안이 통제하기 어려운 영역까지 확장될 수 있다. 스마트시티, 스마트 선박과 해상물류, 지능형 교통·운송 시스템, 스마트그리드 등에서 IT 기술은 극히 일부일 뿐이며, 각 산업에 특화된 기술이 적용되어서 그에 맞는 보안 정책과 전문성이 필요하다. 또한 공격자는 타깃 맞춤형 공격 도구와 전술·전략을 펼치기 때문에 IT 보안 분석 기술로 OT 타깃 공격을 모두 알아내기 어렵고, 해당 분야의 전문성이 필수로 요구된다.

은성율 클래로티코리아 지사장은 “가장 이상적인 것은 각 산업분야 전문성과 보안 지식, 그리고 IT 보안 지식이 결합돼 통합보안을 수행하는 것이다. 그리고 해당산업분야에서 오랫동안 활동한 전문기업과 함께 리스크를 분석하고 대응하며, 점점 더 강화되는 규제준수 요건도 맞출 수 있어야 한다. 그러면서 비즈니스 속도와 민첩성에 영향을 주지 않는 정책을 수립하고 이행할 수 있어야 한다”며 “OT 보안은 이제 시작단계인 만큼, 고객 환경에 맞는 체계적인 이행계획을 수립하고 실천해야 한다”고 말했다.

OT 보안 기능 수준 확인 후 결정해야

OT 보안을 시작하려면 가장 먼저 전담조직을 구성하고 역할을 정의한다. 보호 범위를 살펴보고 규제준수 요건을 확인하며 KISA ‘스마트공장 사이버보안 가이드’와 같은 관련 업계를 위한 가이드와 모범사례를 참고해 OT 보안 전략과 체계, 필요한 기술과 솔루션을 생각한다.

보호해야 할 범위를 정하고 어떻게 보호할 것인지 고민하며, 보안을 위한 프로세스를 결정하고 필요한 솔루션을 선택한다. 솔루션 선택 시 업계 최고라고 홍보하는 제품만 검토해야 할 필요는 없다. 각 조직 환경에 따라 최적의 솔루션은 다를 수 있으며, 공급업체에서 홍보하는 내용도 실제로는 과장된 내용일 수 있으므로 다른 사이트의 적용 사례를 참고하면서 선택하는 것이 좋다.

고급 기술을 가진 고가의 보안 솔루션을 도입했지만, 조직 내에서 이를 운영할 수 있는 전문성이 없어 사용하지 못한다면 예산낭비로 지적 받을 수 있으며, 꼭 필요한 다음 사업의 예산을 확보하기 어려워질 수 있기 때문에 조직이 운영할 수 있는 범위 내의 솔루션이거나 아니면 매니지드 서비스를 통해 운영할 수 있는지도 확인해야 한다.

기가옴의 ‘OT 보안용 기가옴 레이더’에서는 “OT 보안 솔루션을 결정할 때 필요한 기능의 수준을 결정해야 한다. 다른 솔루션과 중복되지 않으면서 원활하게 연동될 수 있어야 한다. 기술적으로 성숙한 공급업체 제품은 안정적인 운영이 가능하지만 새로운 기능 추가 속도가 느릴 수 있다. 혁신적인 공급업체는 현재 필요한 기능을 빠르게 추가할 수 있지만 취약성이나 잘못된 설정 등으로 인한 문제를 겪게 될 수 있다”고 조언했다.