DCS 등 OT 내부에서부터 보안 강화 움직임...고객도 보안 필요성 인정
실제 OT 산업 담당자들에게 물어본 OT 보안 솔루션 인식조사 결과
국내외 대표 OT 보안 솔루션 : 포티넷, 휴네시온, 안랩, 나온웍스, 클래로티, 앤앤에스피, 이글루코퍼레이션, 노조미 네트웍스, 카스퍼스키랩, 한드림넷
[보안뉴스 원병철 기자] 우리가 알고 있는 OT/ICS 보안은 언제부터 시작됐을까? 일반적으로 2010년 이란의 핵시설을 공격해 무려 원심분리기 1,000여대를 파괴한 악성코드 ‘스턱스넷(Stuxnet)’의 등장 이후 본격적으로 국가기반시설의 제어시스템을 중심으로 OT/ICS 보안이 강화된 것으로 보고 있다. 이후 2015년 우크라이나 전력망 해킹이나 2021년 미국 콜로니얼 파이프라인 사건 등 전 세계를 뒤흔든 사건이 발생하면서 OT/ICS 분야에서도 보안은 필수로 자리 잡기 시작했다.
일반적으로 말하는 OT 혹은 ICS는 우리 생각보다 더 방대하게 사용되고 있다. Operation Technology(운영 기술)의 줄임말인 OT와 Industry Control System(산업 제어 시스템)의 줄임말인 ICS는 주로 산업분야에서 사용되는 기술과 시스템으로 각종 제조 공장은 물론 국가주요시설인 에너지 분야에서 사용하고 있다. 여기에 최근 자동운전 이슈의 선두에 선 선박과 자동차도 OT/ICS에 포함된다.
스턱스넷 이전 OT/ICS(이하 OT로 통일)에서 발생하는 문제는 대부분 인력문제나 불량장비에 의한 사고가 대부분이었다. 하지만 IT를 위협하던 사이버 공격이 스턱스넷을 시작으로 OT에도 악영향을 끼칠 수 있다는 것이 알려지면서 이에 대한 위험성이 높아졌다. 하지만 OT는 IT와 달리 오직 생산성에만 초점을 맞추며 발전했고, 특히 외부 네트워크에 연결된다는 사실 자체를 인정하지 않아 사이버 공격에 대한 대비를 전혀 하지 않았다.
위기가 곧 기회? 스턱스넷 등장 이후 OT 보안 강화
하지만 스턱스넷 이후 OT를 노린 공격은 점점 발전하고 늘어나고 있다. 포티넷이 2023년 6월 발표한 ‘2023 글로벌 운영기술 및 사이버보안 현황 보고서’에 따르면, 전 세계 570명의 OT 전문가 중 3/4이 2022년 최소 1번 이상의 침해 사고를 경험했으며, 1/3은 랜섬웨어 공격을 받았다고 한다. 카스퍼스키가 운영하는 ‘Kaspersky ICS CERT’도 2023년 상반기 기준 전체 ICS 시스템 중 33.12%에 서 악성코드가 탐지됐으며, 월평균 15.48%에 달했다고 발표한바 있다. 이는 2022년 하반기 월평균 15.25%보다 0.23% 증가한 수치다. 즉 OT망 전체 시스템의 1/3에서 악성코드가 탐지됐고, 이 중 10%의 시스템은 계속 중복으로 감염되고 있다는 것이다. 또한 2023년 10월 기준 한국 ICS 시스템의 31.54%에서 멀웨어가 감지됐으며, 이는 중국 40.55%, 몽골 39.04%, 대만 34.58%, 마카오 31.73%에 이어 5번째 순위다.
보안업체 드라고스(Dragos)는 각종 산업 시설에 설치된 ICS를 노리는 랜섬웨어 그룹의 기술력과 전술이 보다 정교해지고 활동도 왕성해지고 있다고 주장했다. 2022년 ICS를 노린 랜섬웨어 공격이 231건에서 2023년 204건으로 줄었지만, 이는 공격의 효율이 높아졌기 때문이며 전체 공격 자체가 줄어든 것은 아니라고 봤다.
심지어 2010년 등장한 스턱스넷은 아직까지도 문제가 되고 있다. 2018년 이란은 스턱스넷 변종이 자국 원거리 통신망과 관련 기반 시설을 공격했다고 주장했고, 다행히 방어에 성공해 아무런 피해도 입지 않았다고 덧붙였다. 2020년에는 슈나이더 일렉트릭의 소프트웨어에서 스턱스넷 공격을 연상케 하는 취약점이 발견됐으며, 2022년 4월에는 로크웰 오토메이션 PLC에서 스턱스넷 공격을 가능하게 하는 취약점이 발견되기도 했다.
이처럼 산업별 OT 환경에서 발생한 대형 사건·사고로 인해 보안에 대한 관심은 충분히 높아졌다. 스턱스넷의 등장 이후 각 정부는 국가기반 제어시스템 보안을 강화하기 시작했고, 2018년 대만 파운드리 기업 TSMC가 랜섬웨어 감염으로 큰 피해를 입자 전 세계 반도체 기업들은 앞다퉈 OT 보안 솔루션을 도입하기 시작했다. 아울러 2021년 콜로니얼 파이프라인 사건은 사이버 공격으로 국가적 위기 상황이 초래될 수 있다는 사실을 알게 했다.
2022년 열린 블랙햇(Black Hat)의 기조연설자였던 킴 제터(Kim Zetter)는 “2010년 발생한 스턱스넷 사건은 아무도 몰랐던 사회 기반 시설들의 취약점을 알게 해줬으며, 코로니얼 파이프라인 사건은 바이든 미국 대통령이 긴급한 보안 강화를 위한 행정명령에 서명하면서 다양한 보안 강화 대책이 시행되도록 했다”고 설명했다.
국가기반시설 제어시스템에 관한 연구로 한국 OT 보안 태동
그렇다면 우리나라는 어떨까? 우리나라는 초기 ‘제어시스템(SCADA)’이란 용어를 중심으로 국가기반시설 제어시스템에 관한 연구가 이뤄졌으며, 이후 스마트 공장 등 민간분야 공장자동화 시스템 등으로 확대됐다. 특히 공공기관과 연구기관, 학계와 산업계의 OT 보안 전문가들은 한국정보보호학회 산하 CPS보안연구회에서 많은 연구를 지속해왔다.
물론 쉬운 일은 아니었다. 한국정보보호학회 CPS보안연구회의 서정택 위원장은 “CPS 보안 연구를 시작한 2008년만 해도 정부 부처 담당자들은 이 분야 시스템의 특성 및 보안의 중요성을 이해하지 못했다”면서, “스턱스넷 이후 우리나라는 물론 전 세계 국가기반시설의 제어시스템 보안이 주목받았다”고 설명했다.
스턱스넷 이후 한국전력공사 등을 중심으로 제어시스템에 대한 보안강화가 진행됐다. 특히 정부 과제로 연구가 진행됐고, 정부기관과 관련 기업들이 연구 및 제품 개발에 나섰다. 민간영역에서는 대만 TSMC 사건 이후 반도체 기업을 중심으로 OT 보안 솔루션을 도입하는 등 움직임이 활발했으나 현장에서의 반응 때문인지 최근에는 주춤한 모양새다.
이와 관련 국내 OT 보안 리딩기업 중 한 곳의 담당자는 “국책과제로 많은 연구와 제품 개발이 이뤄지기는 했지만, 실제 도입은 많지 않았다”면서, “국가기반시설을 중심으로 시범사업은 계속 진행되고는 있지만, 생각만큼 고객의 반응이 활발하지는 않은 것 같다”고 아쉬워했다.
공정제어 시스템의 사이버보안 위협
전통적인 OT 분야에서 사이버보안 위협이 가해진 것은 여러 이유가 있지만, 대표적인 것 중 하나가 DCS(Distributed Control System, 분산 제어 시스템)의 등장이다. 바로 컴퓨터 기반의 공정운전을 위한 자동 제어시스템 중 하나로 DCS가 공급되면서 윈도우 기반의 장비가 OT, 특히 우리나라는 석유화학산업을 중심으로 활용되기 시작했다. 물론 초기에는 윈도우 3.0을 외면한 DCS 관련 기업들이 자체 운영 체제와 하드웨어를 사용했지만, 1995년 윈도우 95가 나온 후 산업제어 시스템 영역 중 공정 제어 시스템을 통한 데이터 통합, 분석 및 가공에 대한 필요성이 확대되면서 윈도우 기반의 솔루션들이 개발됐고, 현장에 본격적으로 적용되기 시작됐다. 특히 업계에 따르면 2002년 윈도우 XP가 나오면서 공정제어 시스템의 많은 부분이 윈도우 기반 솔루션으로 개발됐고, 이때부터 윈도우가 가진 취약점을 통해 공정제어 시스템을 노리는 사이버 공격이 활발해졌다고 한다.
이후 코로나 펜데믹이 발생하고 비대면 환경이 일상화되면서 공정제어 시스템에도 비대면을 위한 원격제어 솔루션의 니즈가 발생했고, 이와 관련된 솔루션이 현장에 적용되며 또 다른 사이버보안 홀이 생겼다는 것이 문제가 되고 있다.
이에 국내 석유화학산업의 DCS를 70% 이상 공급하는 하니웰과 요꼬가와전기, 슈나이더 일렉트릭 등 3사는 공동으로 국내에서 사용 중인 DCS 중 윈도우 플랫폼으로 운영되는 635개를 조사해 현재 사용하는 윈도우의 버전을 확인하고 관련 논문을 발표했다(‘공정제어시스템의 사이버보안 위험 노출 현황 및 대응방안 연구’ 숭실대학교 안전보건융합대학원 김영세 등 6인 공저).
언뜻 보기에 DCS 분야를 리딩하는 3사가 모여 한 것이 겨우 윈도우의 버전을 확인하는 것인가? 하는 의문을 가질 수 있겠지만, 사실 현장에서 사이버보안 위협에 노출될 수 있는 문제로 꼽는 부분이 바로 DCS의 윈도우 버전이다. 이게 무슨 말인가 하면, 마이크로소프트는 새로운 버전의 윈도우가 나오면 오래된 윈도우는 기술지원, 즉 패치를 중지한다. 패치는 새롭게 등장한 보안위협, 취약점 등을 막아주는데, 이러한 패치가 없다면 해당 윈도우는 보안위협과 취약점으로부터 무방비해진다. 마이크로소프트는 2021년 발표한 취약점 보고서에서 윈도우 10의 적용을 통해 2020년 발견된 치명적인 취약점 132건 중 70%를 완화할 수 있었다고 밝힌 적이 있다.
논문에 참여한 한국하니웰 김영세 상무(공학박사)는 “사실 IT 환경에서의 사용자들은 실시간으로 윈도우 패치를 실행하지만, OT 환경에서는 몇 년에 1번씩 하는 턴어라운드(Turn Around, 정비작업) 기간에만 이러한 패치가 가능하며, OS를 변경하는 것은 더욱 어려운 것이 사실”이라고 설명했다. 참고로 석유화학산업에서는 이러한 턴어라운드가 4년에 1번 정도 진행되며, 대략 6주 전후 기간 동안 이어진다.
DCS 시스템 77.5%는 단종된 윈도우 사용
실제로 산업제어 시스템이 윈도우 플랫폼으로 전환되면서 2010년 이후 보안 취약점이 늘어났고, 현재도 보안 취약점을 노리는 해커들의 침투가 이뤄지고 있다. 특히 산업제어 시스템에 침투할 수 있는 다양한 도구와 기술들이 개발돼 누구나 쉽게 침투를 시도할 수 있는 환경이 조성되면서 더 힘들어지고 있다.
그렇다면 공격이 성공하면 어떤 위험이 발생할까? OT 환경은 IT 환경과 달리 단순히 내부 정보를 암호화하거나 탈취하는 것보다 현장을 제어하지 못하는 것을 더 위험하게 생각한다. 대표적인 현상 중 하나가 ‘Loss of View’, 즉 감시 불능 상태다.
공정운전 화면이 갑자기 블랙아웃되는 현상으로 운전자들이 공황상태에 빠져들어 신속한 조치를 하지 못하게 되면 더 큰 문제로 확대될 가능성이 크다. 이러한 상황에서의 조치사항인 SOP(Standard Operating Procedure)가 준비되지 않았을 경우 비정상적인 셧다운(Shutdown)이 발생해 물리적인 피해는 물론 인적, 환경적인 피해도 입을 수 있다.
두 번째 문제는 이보다 더 심각할 수 있는 ‘Loss of Control’ 즉 제어 불능 상태다. 제어 불능 상태는 공정운전의 통제권을 상실한 상태를 말하며, 특히 운전자에게 보이는 화면은 정상적이지만 실제로는 공격자가 현장의 제어권을 뺏어가 마음대로 조작할 수 있는 점이 제일 심각하다.
그렇다면 실제 산업제어 시스템이 사용 중인 윈도우의 버전은 어떨까? 하니웰, 요꼬가와전기, 슈나이더 일렉트릭 3사가 참여한 ‘635개의 DCS 시스템의 스테이션과 서버의 버전 확인’ 결과 총 4,418대의 워크스테이션과 서버 중 현재 마이크로소프트가 서비스를 제공하는 버전으로 운영 중인 스테이션은 18.8%인 832대, 서버는 3.6%인 163대였다. 2008년 단종된 윈도우 XP를 사용하는 스테이션은 16.5%, 2020년 1월 단종된 윈도우 7을 사용하는 스테이션은 48.8%로 확인됐다. 즉, DCS 시스템 중 22.5%만이 현재 윈도우 버전으로 운영하고 있었고, 77.5%는 단종된 버전에서 운영 중인 것이다.
DCS를 중심으로 OT 보안에 대한 필요성 인식
실제 산업현장에서의 보안은 이러한 수준이다. 77.5%의 DCS가 단종된 윈도우를 사용하고 있는 것이 현실인 것이다. 때문에 아직도 OT 환경에서는 가장 기본적인 보안은커녕 자산 파악도 제대로 하지 못하는 경우가 많다. 워낙에 연결되는 장비가 다양한 데다 일방향 통신을 하는 장비도 많아서 현장에서 어떤 장비가 얼마나 있는지 확인하기도 쉽지 않다. 자산 파악이 안 되는 만큼 자산관리도 어렵다. 때문에 클래로티나 노조미 네트웍스 같은 OT 보안 전문기업들도 자산관리에 먼저 초점을 맞췄다.
DCS 기업들도 보안에 대한 니즈를 확인한 후 사이버 위협으로부터 OT 자산을 보호하기 위한 움직임에 나섰다. 이미 대부분의 DCS 메이커들이 관련 솔루션을 개발해 DCS에 접목하고 있으며, 미국 국립표준기술기구(NIST)가 제시한 사이버보안 프레임워크(CSF : Cyber Security Framework)의 단계별 다섯 가지 지침(식별, 보호, 탐지, 대응, 복구)에 따라 개발되고 있다.
첫째 보호해야 할 자산을 인식하고 실시간으로 자산의 상태를 인식하는 것. 둘째 자산을 사이버보안으로부터 보호하기 위한 보안위협 정보를 지속적해서 업데이트 받는 것. 셋째 사이버 공격이 감지됐을 때 이를 인지하고 알람을 알리는 것. 넷째 사이버 공격으로 침해 사고가 발생했다면 언제, 어느 경로를 통해 침투했는지를 식별하는 것. 다섯째는 피해를 신속하게 복구할 수 있는 백업 기능을 갖추는 것이다.
물론 DCS 기업들이 보안 솔루션을 만들어 제품에 적용한다 해도, 이미 구축된 사이트에 적용하는 것은 고객의 선택이기 때문에 이 역시 쉬운 일은 아니었다. 보안에 대해 알고 있는 사람들이 많지 않은 것은 물론 이를 담당할 부서와 담당자도 없기 때문에 이해시키는 것 자체가 어렵다는 설명이다.
하지만 현장에서도 보안위협에 대해서는 어느 정도 인식하고 있는 상황이다. 이미 앞서 설명한 것처럼 다양한 OT 환경에서 사이버보안 사고가 발생했기 때문이다. 게다가 사이버 공격으로 터빈 같은 장비가 갑자기 멈추면 수리나 교체까지 최대 1년까지 걸릴 수도 있고, 화재나 폭발도 발생할 수 있다는 점은 이미 충분히 파악하고 있다. 실제로 우리나라의 경우 노후화된 공장단지가 많고, 공장끼리 붙어있는 곳이 적지 않아 만에 하나 폭발이 발생하면 연쇄 폭발이나 연쇄 화재가 발생할 가능성도 있다는 것이 현장 관계자들의 설명이다.
OT, IT에서 바라보는 것과 괴리감 커... 현실 파악이 중요해
OT 분야에서 보안 활동을 하는 것은 사실 너무나도 어려운 일이다. 실제로 중소벤처기업부가 스마트제조혁신 지원사업을 하면서 스마트공장에 대한 활성화를 내세웠지만, 그 계획안에는 보안이 없었고, 스마트공장들 역시 제조 장비 설치나 자동화 등을 위한 소프트웨어 구입에만 집중할 뿐이었다. 기껏 해봐야 안티바이러스나 매체제어 솔루션을 설치하는 것이 전부였다.
물론 앞서 설명한 것처럼 이 두 가지 솔루션을 구축하는 것도 현장에서는 매우 큰 결단을 한 것이었다. 내외부에서 침투한 바이러스에 대응하기 위한 안티바이러스, 공장에서 업데이트나 패치를 할 때 대부분 사용하는 USB를 컨트롤하기 위한 매체제어 솔루션을 구축하는 것만으로도 현재 OT 환경에서는 대단한 노력을 한 셈이기 때문이다. OT 환경의 특성상 셧다운을 해야 업데이트나 패치가 가능한 데다, 여러 공장이나 기기를 갖춘 대형 사이트의 경우 일일이 스케줄을 맞춰서 해야 하기 때문에 이 업데이트를 하는 것도 큰 이벤트가 되기 때문이다.
즉, IT 업계에서는 아무것도 아닌 업데이트가 OT 업계에서는 몇 년 만에 큰맘을 먹고 진행하는 이벤트와 같다. 심지어 보안에 신경을 쓰는 대형 공장에서 이런 어려움이 더욱 크기 때문에 대기업들이 운영하는 공장도 큰 차이가 없다.
또 하나의 어려움 중 하나는 바로 네트워크 구조의 차이, 즉 프로토콜이 IT와 OT가 서로 다르다는 거다. 때문에 처음 보안기업들이 이상징후 탐지를 연구하다 장비들이 보내는 이상 신호를 프로토콜의 상이함 때문에 받지 못하는 경우가 있어 먼저 자산분석부터 시작했다는 말이 있을 정도다. 게다 IT에서는 IP만 있으면 장비 추적이 가능한데, OT는 그게 어렵다. 때문에 이상 신호를 통해 장비가 문제가 있는 것을 알아도 그게 어디에 있는 어떤 장비인지 몰라서 조치를 못 한다는 말이다. 물론 지금은 자산정보 분석을 통해 자산관리 시스템으로 발전하고 있고, 이를 바탕으로 취약점 정보 파악부터 대응까지 진행하고 있다.
하지만 앞서 설명한 것처럼 OT 환경에서도 보안은 이제 더 이상 미룰 수 없는 요소가 됐고, 각 산업별로 중요한 보안 사건·사고가 발생하면서 관련 기업을 중심으로 보안 강화를 위한 활동을 하고 있다. 아울러 DCS 등 OT 분야 장비를 제조하는 기업들도 자사 제품을 중심으로 보안 솔루션을 만들거나 보안기업과의 협업을 통해 보안을 강화하고 있다. 하니웰도 팔로알토나 포티넷과 같은 기업과 협업을 진행하고 있으며, 앤앤에스피는 정부 과제로 연구사업과 실증사업을 진행하면서 LS일렉트릭과 협업을 이어가고 있다. 좀 다른 이야기지만 안랩은 OT 보안 전문기업인 나온웍스를 인수해 OT 보안 연구에 집중하고 있다.
선박과 자동차, 빌딩 등 새로운 OT 환경도 집중
그렇다면 보안기업들은 OT 보안 시장을 어떻게 바라보고 있을까? 대부분의 기업들이 OT 보안 시장이 새로운 도전임에는 분명하지만, 쉬운 곳은 아니라고 보고 있다. 디지털 전환의 가속화와 함께 OT 보안에 대한 인식이 높아지면서 긍정적인 반응이 나오는 것은 분명하지만, 이를 실현하는 것은 다른 이야기라는 것이다. OT 산업은 기존 운영시스템의 가용성이 우선시되고, 이기종의 다양한 레거시 시스템에 대한 호환성을 함께 고려해야 하기 때문에 보안 솔루션 적용 과정은 큰 부담이 되기 때문이다. 휴네시온은 “OT 보안 솔루션이 보안 규제를 준수하면서도 운영자들의 부담을 최소화하는 것이 고객들의 핵심적인 니즈”라고 설명했다.
디행이 OT 보안에 대한 고객들의 관심은 지속적으로 증가하는 것으로 파악된다. 이미 OT 산업에서 다양한 보안 사고사례가 발생한 것도 이를 부추기고 있다. 실제로 2023년 IBM Security가 발표한 X-Force 위협 인텔리전스에 따르면, 최근 5년간(2018~2022) 글로벌 산업별 공격 비율 조사에서 제조업은 10%에서 25%로 뛰어올랐으며, 에너지 산업도 6%에서 11%로 증가했다. 반대로 도소매와 운송 산업은 2018년보다 2022년 비율이 크게 줄었다.
전통적인 OT 산업인 제조 및 국가기반시설 외에도 최근 떠오르는 선박과 자동차 분야에서도 보안은 논란이 되고 있다. 최근 선박 내 각종 시스템이 통합되고 디지털화됨에 따라 외부 사이버 위협도 커지고 있고, 이에 따라 국제선급협회(IACS)는 선박의 안전한 운행을 위해 시스템 중단이나 공격에 대한 복원력을 반드시 확보하도록 의무화하는 등 선박보안 관련 요구사항이 새롭게 대두되고 있다. 실제로 이글루코퍼레이션은 포스텍 고객사인 케이조선에 SPiDER OT for Maritime 솔루션을 공급하는 등 선박통합보안관리 솔루션 사업 확장에 매진하고 있다.
스마트화되는 도시와 빌딩도 떠오르고 있다, BMS(Building Management System)도 ICS로 운영되기 때문이다. 공조제어부터 출입통제, IP 기반 CCTV와 구내방송이 네트워크로 연결돼 있으며, 화재나 엘리베이터도 마찬가지다. 한드림넷은 이렇게 스마트 빌딩과 첨단화된 다세대 주택의 내부 설비 보호를 위한 보안 방안을 준비하고 있다.
한편, 전통적인 보안이 아닌 인증 솔루션을 OT에 도입해 보안을 강화하겠다는 접근도 있었다. 특히 IT와 달리 OT는 네트워크 시스템이 제대로 갖춰져 있지 않은 곳이 많아 쉽지 않았다는 것. 일부 PLC 사용 기업들이 다중인증(MFA) 시스템을 도입하려고 했지만 새로운 인증 기술 적용을 위해 소프트웨어는 물론 하드웨어 및 인프라까지 대거 변경해야 하는 탓에 중단한 사례가 많았다고 한다.
OT는 비밀번호 인증을 기반으로 액세스를 허용하기 때문에 내부에서 문제가 발생할 수 있는 가능성이 높은 만큼 다중인증 시스템을 제대로 도입하기만 해도 보안을 강화할 수 있다고 다중인증 기업들은 말한다.
이와 관련 센스톤은 “대부분의 PLC는 최종 사용자가 선택하기 보다는 자동화 공정 설비를 구축하는 SI에 의해 각종 제어장치가 납품되는 과정에서 결정된다”면서, “때문에 서로 다른 보안기술이 적용된 여러 제조사의 제품을 동시에 사용하고 있으며, 이로 인해 고객사가 PLC를 포함한 다양한 자동화 장치의 접속 인증 관련 솔루션을 지정해 요청하기는 현실적으로 어렵다”고 지적한다.
다만 글로벌 사업을 진행하는 기업들에 따르면 글로벌 시장과 한국 시장의 OT 보안에 대한 니즈는 좀 다른 편이다. 글로벌 국가나 기업은 IT 보안과 OT 보안의 통합 관리에 중점을 두고 있는 반면, 한국 기업들은 아직 이에 대한 인식이 낮은 편이며, OT 보안 솔루션 도입 자체보다는 OT 보안 운영에 대한 전반적인 통찰력을 요구한다는 것이다.
노조미 네트웍스는 “한국은 OT 보안의 전체적인 운영 프로세스, OT 보안 관제 조직 구성, 관리 절차 등에 대한 문의가 많은 편”이라고 평가하면서, “다만 글로벌 추세는 IT와 OT를 구분은 하되, 관리 및 관제는 통합해서 운영하는 것”이라고 말했다.
이와 함께 공통적으로 지적하는 것이 바로 OT 보안 전문가의 부재다. OT 보안의 운영 프로세스를 정확하게 이해하고 있는 전문가나 담당자가 절대적으로 부족하며, 그에 따른 통합적인 관리체계에 대한 이해가 떨어진다는 거다. 반대로 IT 보안 기업들은 OT에 대한 이해가 부족하기 때문에 그 차이를 이해하고 고객의 니즈에 정확하게 대응하는 것이 아쉽다는 관계자들이 많았다.
국내외 대표 OT 보안 솔루션
그렇다면 국내와 해외의 대표적인 OT 보안 솔루션들은 어떤 것들이 있을지 알아보자.
포티넷은 산업 및 중요 인프라 부문을 위한 선두의 IT/OT 사이버보안 솔루션 제공업체로, 모든 산업 분야에서 대규모의 고객 기반과 강력한 커버리지를 보유하고 있다. OT 비즈니스는 OT 전용 제품, 인력, 영업 및 마케팅 운영에 대한 투자 증가로 인해 시장 평균 성장률을 상회하며 견고하게 성장해왔다. 포티넷 ‘OT 인지 통합 보안 패브릭(OT-Aware Security Fabric)’은 보안 네트워킹, 제로-트러스트 액세스, 보안 운영을 지원하는 광범위한 보안 제품으로 구성돼 있으며, OT에 특화된 포티가드 서비스, 3,000개 이상의 OT 애플리케이션 시그니처, 600개의 OT 위협 시그니처 등의 보안 서비스를 통해 지원되고 있다. 포티넷의 네이티브 제품들은 무료 솔루션을 제공하는 테크-얼라이언스 에코시스템 파트너와 함께 대부분의 OT 사이버보안 사용 사례를 강력하게 해결한다.
휴네시온은 국내 망연계 시장 1위 기업으로 OT 보안 환경에 적합한 망연계 솔루션을 보유하고 있다. 아이원넷 디디(i-oneNet DD)는 물리적 일방향 통신 요건을 만족시키면서 해킹, 데이터 유출 등 보안사고로부터 OT 망을 보호할 수 있는 기술을 적용한 솔루션이다. OT 망에서 IT 망으로 데이터를 일방향 전송하며, IT 망에서 OT 망으로의 접근은 물리적으로 원천 차단해 OT 망(제어망) 데이터를 안전하게 활용할 수 있다. 발전소 발전제어 시스템, 지자체 지능형 교통체계(ITS), SCADA 연계, 수도 통합운영 시스템, 상수도 사업소 등 국가 공공분야 정보통신기반시설부터 국방, 방산, 국가 핵심기술기업, 첨단전략 산업공장까지 다양한 영역의 레퍼런스를 보유하고 있다.
안랩의 OT 보안 프레임워크는 안전한 OT 환경 구축을 위한 보안 솔루션과 서비스를 엔드포인트와 네트워크, 그리고 OT 전문 분야가 결합된 ‘통합 프레임워크’ 관점으로 제공된다. 안랩 OT 보안 솔루션(프레임워크)의 차별점은 제품 간 시너지와 위협 탐지/대응 능력이라고 할 수 있다. 제품 간 시너지 측면에서 먼저 뛰어난 가시성을 제공한다. 엔드포인트에서 수집된 상세한 자산정보와 네트워크에서 수집한 다양한 정보를 결합해 폭넓고 깊은 자산 가시성 정보를 제공할 수 있다. 또한, 안랩의 축적된 악성코드 탐지역량이 반영된 자체 안티바이러스 검사/치료 엔진을 탑재해 OT 망 내부의 다양한 보안 위협을 탐지하고, 대응할 수 있다.
나온웍스의 OT 보안 솔루션 ‘세레브로-XTD(CEREBRO-XTD)’는 OT 망 통합 가시성을 제공하며, 보안 위협 및 이상 행위를 실시간으로 탐지한다. 나온웍스가 2021년 안랩의 OT 보안 자회사로 성장한 이래로 양사의 특화 기술력을 결합해 공동 개발한 OT 특화 보안 솔루션이다. 안랩이 보유하고 있는 수백만 이상의 탐지 패턴과 고도화된 진단 기법으로 신변종 악성코드에 대한 정밀 검사를 수행, 악성코드의 침투 및 내부 전파를 탐지한다. 나온웍스의 ICS(산업제어시스템) 프로토콜 DPI(Deep Packet Inspection) 기술을 기반으로 제어 명령 밸류(Value)에 대한 이상 행위를 분석해, 제어시스템 타깃 공격과 휴먼 에러로 인한 오작동 등 설비 안정성과 가용성을 저해하는 위협들을 탐지한다.
산업 사이버보안을 선도하는 글로벌 CPS(가상물리 시스템) 보안기업 클래로티(Claroty)는 산업 분야의 첨단 기업들을 위해 사이버 및 운영 탄력성을 지원하는 새로운 클라우드 기반 산업용 보안 플랫폼인 클래로티 엑스돔(Claroty xDome)을 선보였다. 클래로티 엑스돔은 특히 XIoT(Extended Internet of Things) 전반에 걸쳐 빠르게 확장하는 전체 가상물리 시스템의 보안 여정에 필수적인 가시성, 보호 및 모니터링 제어의 범위나 깊이를 손상하지 않으면서도 SaaS의 용이성과 확장성을 제공하는 업계 최초의 솔루션이다. 클래로티 엑스돔은 운영을 뒷받침하는 가상물리 시스템의 유형이나 현재의 성숙도 또는 네트워크 아키텍처에 상관없이 모든 조직의 완벽한 CPS 보안 여정을 지원한다.
앤앤에스피는 20년 이상의 기술과 노하우를 집약한 ‘앤넷 CPS 프로텍션 플랫폼’은 주요 크리티컬 인프라는 물론 기업까지 OT 망과 IT 망에 신뢰도 높은 연결을 지원한다. 가트너가 OT와 미션 크리티컬 환경의 자산 식별과 보호 기술을 집약한 CPS 보호 플랫폼이 주요 시장 카테고리가 됐다고 설명하면서 CPS 보안 플랫폼의 필요성을 강조했다. CPS는 디지털로 관리하지만 실제 물리 세계와 상호작용하는 시스템이다. 앤앤에스피의 ‘앤넷 CPS 프로텍션 플랫폼’ 솔루션은 △일방향 망연계 솔루션 ‘앤넷다이오드’ △소프트웨어 공급망 보안 솔루션 ‘앤넷트러스트’ △양방향 망간자료전송 솔루션 ‘앤넷CDS’ △OT 자산 가시화와 위협 모니터링 솔루션 ‘앤넷NDR’ 등의 제품군을 갖추고 있다.
이글루코퍼레이션은 2024년부터 의무 적용되는 국제선급협회(IACS)의 선박 사이버 복원력 향상을 위한 공통규칙 UR E26과 UR E27을 충족하면서, 선박·항만·조선소에서 직관적으로 활용할 수 있는 보안관리 솔루션 ‘스파이더 오티 포 마리타임(SPiDER OT for Maritime)’을 개발했다. SPiDER OT for Maritime은 이글루코퍼레이션이 20년 이상 축적한 이기종 보안 이벤트 통합 분석 기술을 토대로 선박 환경에 최적화된 보안 기능을 제공한다. 선박 네트워크 중 비정상 행위에 대한 지표를 수립하고, 이를 토대로 판단한 사이버 위협 정보와 대응 가이드라인을 제공한다. SPiDER OT for Maritime은 선박 네트워크와 보안 정책에 대한 철저한 분석을 기반으로 선박에 특화된 보안성과 안정성, 사용자 편의성을 보장한다.
노조미 네트웍스는 다섯 가지 플랫폼을 선보였다. 첫 번째, Nozomi Vantage는 SaaS의 파워와 간편성을 활용해 OT, IoT, IT 네트워크 전반에 걸쳐 독보적인 보안과 가시성을 제공하는 Cloud 솔루션이다. 두 번째, Nozomi Guardian은 네트워크에서 통신하는 새로운 자산을 식별하고 시각화해 제공한다. 세 번째, Nozomi Arc 엔드포인트 센서는 엔드포인트에 대한 향상된 데이터 수집 및 자산 가시성을 제공한다. 네 번째, Nozomi Central Management Console은 분산된 환경의 여러 Guardian 센서를 중앙에서 통합 관리하는 콘솔이다. 다섯 번째, Nozomi Guardian Air는 Bluetooth와 Wi-Fi뿐만 아니라 여러 주요 무선 주파수를 모니터링해 보안팀이 연결된 센서, 디바이스, 노트북, 휴대폰을 즉시 파악할 수 있도록 한다.
카스퍼스키의 산업 보안 제품인 KICS는 노드용 제품인 ‘KICS for Nodes’와 네트워크용 제품인 ‘KICS for Networks’ 두 가지 구성 요소로 구성돼 있으며, 산업 환경 보호를 위해 서로 긴밀하게 작동한다. 카스퍼스키는 기존의 엔드포인트 기술력과 공격에 대한 대응 방법론 등의 노하우를 통해 산업망에 특화된 엔드포인트인 KICS for Nodes를 제공하며, 무중단 생산망 네트워크 모니터링을 위한 KICS for Networks 두 가지를 구성해 내부의 1,000여명의 R&D 인력을 통해 산업망 보안시장을 선도하기 위해 최선을 다하고 있다. 해외 대형 레퍼런스 외에도 국내에선 반도체, 연구소, 공사 등의 레퍼런스를 구축해 나아가고 있다.
한드림넷 화이트리스트 보안스위치 SG5026GX시리즈는 제로 트러스트 전략 기반의 화이트리스트 보안기술을 적용해, 내부 사용자 또는 단말의 권한에 따라 통신 경로를 제한하고, 허용된 경로 외 모든 통신을 차단해 보안 위협을 예방할 수 있다. 또한, 허가받은 사용자라도 권한과 목적에 따라 ‘안전’이 증명된 것만을 허용해, 폐쇄망, 산업제어 설비망, 보안망 등에 활용될 수 있어, 점차 고도화, 지능화되는 보안 위협에 효율적으로 대처할 수 있는 방안을 제공한다. 또한, 원격지 네트워크에도 동일한 보안 정책 적용이 가능해, 단말의 이동, 부서 변경 등 다양한 환경 변화에도 통합 보안 정책을 유지할 수 있다.
▲OT 보안 인식 및 선택기준에 대한 설문조사[자료=보안뉴스]
OT 보안 인식 및 선택기준에 대한 설문조사
그렇다면 실제 OT 담당자들은 OT 보안 솔루션에 대해 얼마나 인식하고 있으며, 선택기준은 어떻게 잡고 있을까? 보안뉴스는 자매지인 산업 전문 뉴스 미디어 ‘인더스트리뉴스’ 구독자 중 OT 산업 담당자를 대상으로 ‘OT 보안 인식 및 선택기준에 대한 설문조사’를 진행했다.
이번 설문조사에는 OT 산업 담당자 750명(민간 89.3%, 공공 10.7%)이 응답했다. 우선 OT 산업 담당자들은 OT 내부 시스템을 어떻게 관리하느냐는 물음에 28.0%가 IT 정보보안 담당 부서가 맡고 있다고 답했으며, 24.0%는 IT 담당 인력이 IT 보안과 OT 보안을 함께 맡고 있다고 답했다. 심각한 것은 21.3%가 인력 및 예산 부족으로 관리하지 않는다고 답변한 것이다. 또한 생산 또는 시설관리부서에서 전담한다는 답변이 10.7%, 외부 전문기업에 맡겨 운영·관리한다는 답변이 9.3%였다. OT 보안 전담부서에서 관리하고 있다는 답변은 겨우 4.0%였다.
이어 OT 현장 설비에 최신 OS 등 패치 업데이트를 하느냐는 물음에는 38.7%가 일부만 적용해 운영한다고 답했으며, 25.3%는 그렇다고 답해 생각보다는 패치 업데이트가 잘 이뤄지는 것으로 보였다. 다만 24.0%는 설비 운영이 우선이므로 업데이트를 잘 하지 않는다고 답했으며, 12.0%는 공정상 설비를 멈출 수 없어 하지 않는다고 답해 답변자의 1/3은 업데이트를 잘 하지 않는 것으로 조사됐다.
그렇다면, 이들은 사이버 공격에 당한 적이 있을까? 이에 대해 응답자의 73.3%는 없다고 답했으며, 26.7%는 있다고 답했다. 아울러 어떤 피해를 입었는지 묻자 랜섬웨어 10.7%, 공장설비 일부 가동 중단 6.7%, 주요 정보 유출 2.7% 순으로 답했다. 가장 많은 79.9%는 피해가 없었다고 답했다.
응답자들은 OT 보안사고의 원인으로 외부 원격망 침투를 통한 악성코드 감염을 34.7%로 꼽았다. 이어 감염된 노트북과 USB 등 외부 장비 연결 17.3%, 노후 시스템 및 공급망 취약성 14.7%, 관리자의 조작 실수 14.7% 등으로 분석했다. 마지막으로 OT 보안 솔루션을 사용하느냐는 질문에 34.7%는 필요성에 공감하지만, 단기간 내 도입 계획이 없다고 답했다. 아울러 30.7%는 도입을 검토 중이라고 답해, 전체 응답자의 65.4%는 OT 보안 솔루션의 필요성을 느끼고 도입에 대한 고민을 하는 것으로 조사됐다.
이처럼 OT 보안에 대한 필요성은 업계 관계자 대부분 인식하고 있었다. 다만 아직까지 적극적으로 도입하기까지는 결단이 모자란 것으로 보인다. 주로 알려졌던 OT 환경에서의 사이버 사건들도 대부분 외국 사례였고, 한국에서 발생한 사건들은 잘 알려지지 않은 것도 원인으로 분석된다. 다행인 것은 앞서 설명했던 것처럼 DCS 등 OT 내부에서부터 보안의 중요성을 인식하고 관련 솔루션 개발에 나선 점이나 2021년 KISA에서 나온 개정 ‘주요 정보통신기반시설 취약점 분석·평가 기준’으로 주요 정보통신기반 시설의 사이버 공격에 대한 대응능력을 강화하려는 움직임이 보인다는 점이다.
특히 업계에서는 OT 보안을 강화하기 위해서 반드시 정부 차원의 보안강화를 위한 법안이나 강제성 있는 기준 등이 나와야 한다고 말하고 있는데, 지난 2월 1일 발표된 ‘국가사이버안보전략’을 살펴보면 ‘국가 핵심인프라 사이버 복원력 강화’를 강조하면서 ‘국가안보를 위협하는 고도화된 사이버 공격을 방어하기 위해 기반시설 제어 시스템의 위협 탐지 체계를 구축한다’고 밝힌 만큼 후속 대처를 기대하고 있다.
OT는 IT와 달리 외부의 침해를 받았을 때 단순한 재산적 피해를 넘어 생명의 피해까지 입을 수 있는 만큼, 최소한의 보안을 위한 노력이 필요하다. 이제 OT 보안의 중요성과 필요성을 대부분 인식하고 있는 이때 정부와 기업이 함께 OT 보안 강화를 위해 협력하는 자세가 필요하다.
=================================================================
▲강력한 포티넷 OT 보안 플랫폼[자료=포티넷]
[OT 보안 솔루션 집중분석-1]
IT/OT 환경이 함께 운영될 수 있도록 지원하는 ‘OT 인지 통합 보안 패브릭’
포티넷, ‘2023 IT/OT 사이버보안 플랫폼 단독 리더’
포티넷은 OT 보안 산업 분석 및 전략 전문기업인 웨스트랜즈 어드바이저리(Westlands Advisory)가 발표한 ‘2023 IT/OT 사이버보안 플랫폼 내비게이터’에서 단독 리더로 선정되어 OT 솔루션의 우수성을 입증받은 바 있다. IT/OT 사이버보안 플랫폼 시장은 두 종류의 공급업체로 구성되어 있다. 하나는 가시성 및 위협 관리를 제공하는 공급업체이고, 다른 하나는 강력한 네트워크 보안 제품 포트폴리오를 가진 공급업체이다. 포티넷은 가시성 및 위협 관리와 네트워크 보안 솔루션을 동시에 제공하고, OT 시장을 선도하는 사이버보안 플랫폼 리딩업체이다.
포티넷 OT 인지 통합 보안 패브릭
포티넷은 위협 인텔리전스 및 간소화된 관리를 통해 여러 기술이 IT/OT 환경에서 함께 운영될 수 있도록 지원하는 ‘OT 인지 통합 보안 패브릭(OT-Aware Security Fabric)’을 제공하고 있다. OT 사이버보안 플랫폼은 포티넷 보안 패브릭의 일부로서, 고객들이 전체 환경에 대한 심층적인 가시성을 확보하고, IT/OT를 안전하게 융합할 수 있도록 지원한다. 또한, OT 사이버보안 플랫폼을 통해 기업들은 OT 환경 내에서 제로-트러스트 모델을 구현할 수 있어 원격 근무자들을 위한 OT 자산 및 시스템에 대한 안전한 원격 액세스를 제공할 수 있다.
센서에서 클라우드까지 전체 Purdue 모델 전반에서
OT 보호를 위한 모든 솔루션과 서비스를 제공하고 있으며, 자산과 네트워크 가시성 확보, 망 분리, 제로트러스트 액세스를 위한 인증과 권한관리, 위협 탐지와 방어 기술, SOC·NOC 보안운영 간소화 기능을 지원하고 있다. 사이버보안 제품, 솔루션, 보안 서비스로 구성된 이 포트폴리오는 산업 네트워크를 위해 특별히 설계되었으며, 포티넷 통합 보안 패브릭의 기능을 공장, 플랜트, 기반시설, 선박 및 기타 OT 환경의 OT 네트워크로 확장한다.
제조업을 위한 포티넷의 보안 솔루션
제조업체들은 운영 효율성, 운영 연속성, 제품 무결성, 규정 준수와 같은 비즈니스 필수 요건을 유지하면서 시스템을 보호하기 위해 노력하고 있다. 포티넷 보안 패브릭은 모든 제조업의 비즈니스 측면을 포괄하는 광범위하고 자동화된 통합 보안 아키텍처를 제공한다. 포티넷 보안 패브릭은 백 오피스에서 제조 현장까지, 에어 갭 시스템에서 커넥티드 시스템까지, 내부 사용자에서 타사 파트너 연동까지 모든 것을 포괄해 보호한다.
포티넷 솔루션의 차별화된 강점
제조업체들은 포티넷 솔루션을 통해 다양한 OT/IT 네트워크 전반에서 조직을 보호할 수 있다. 제조업체용 포티넷 솔루션은 다음과 같이 차별화된 강점을 제공한다.
- 통합 : 포티넷은 IT/OT, 사이버 및 물리적 보안, 공장 및 본사, 데이터 센터, 멀티 클라우드를 아우르는 엔드-투-엔드 통합된 사이버 보안 아키텍처를 제공한다.
- 모니터링 및 관리 : 포티넷은 제조업체들이 단일 창을 통해 네트워킹, 사이버 보안, 감시 기능을 단일 시스템으로 통합하고 완벽한 가시성과 제어를 확보할 수 있도록 지원한다.
- 러기드 하드웨어 : 포티넷은 모든 환경적 요구사항에 적합하고 비즈니스 연속성을 지원하는 다양한 러기드 어플라이언스를 제공하고 있다.
- 내부자 위협에 대한 선제적 보호 : 포티넷은 내부자 위협 방어를 위해서 인텐트 기반(intent based) 망 분리, 디셉션 기술, UEBA 등의 포괄적인 솔루션을 제공한다.
- OT에 특화된 위협 인텔리전스 : 포티넷 보안 연구소인 ‘포티가드랩(FortiGuard Labs)’은 제조업체들이 더 나은 전략적 결정을 내릴 수 있도록 OT 시스템에 특화된 강력한 위협 인텔리전스를 제공한다.
- 보안 패브릭 에코시스템 : 포티넷 보안 툴의 다양한 포트폴리오 외에도, 포티넷 보안 패브릭 파트너 에코시스템을 통해 특정 OT 솔루션을 포티넷 보안 패브릭에 원활하게 통합할 수 있다.
- IT/OT 및 물리적 보안 : 포티넷 보안 패브릭은 광범위한 가시성과 통합 제어를 통해 IT, OT, 물리적 보안을 위한 최적의 통합 플랫폼을 제공한다.
▲휴네시온 아이원넷 디디(i-oneNet DD)[자료=휴네시온]
[OT 보안 솔루션 집중분석-2]
제어망 보호와 안전한 데이터 전송이 가능한 일방향 망연계로 OT 보안 강화
휴네시온, OT 망 연계 특화 솔루션 ‘i-oneNet DD’로 OT 보안 위협 대응
9년 연속 국내 망연계 시장 1위를 차지하고 있는 휴네시온은 망연계 선도기업으로 OT 산업 현장에서 생산 시설과 운영 환경에 대한 보안위협에 대응할 수 있는 OT 보안 특화 솔루션으로 일방향 망연계 솔루션 아이원넷 디디(i-oneNet DD)를 제시하고 있다.
물리적 매체를 통한 일방향 데이터 전송으로 제어시스템 접근을 원천 차단하는 ‘i-oneNet DD’
i-oneNet DD는 물리적 매체를 적용한 일방향 망연계(망간자료 전송) 솔루션으로 보안수준이 높은 제어망으로의 접근을 원천 차단하면서 보안수준이 낮은 망으로 데이터를 전송하고자 할 때 연동지점에 위치해 데이터를 안전하게 전송한다.
△전용프로토콜 및 국정원 검증필 암호모듈 적용한 암호화 통신 △OSI 7계층 전체 프로토콜 스택에 대해 일방향 기술 적용으로 보안위협 원천차단 △웹UI로 편리한 설치/삭제/업데이트 및 유지보수 지원이 가능한 앱방식 아키텍처 △이기종 프로토콜 및 데이터 연계 △고속 로그조회를 지원해 탁월한 호환성과 유연함을 제공한다. 가상화 환경을 지원해 클라우드, VM 환경에서도 SW 일방향 시스템 구축이 가능하다.
i-oneNet DD는 OT와 IT가 융합된 환경에서 일방향 TCP, UDP, 이기종 DBMS, 파일데이터, CCTV 동영상은 물론 IEC 61850, OPC, Modbus 등 산업용 프로토콜까지 다양한 프로토콜 연계를 지원하여, 발전소 발전제어시스템, 지능형 교통체계(ITS), SCADA 연계, 수도 통합운영 시스템, 상수도 사업소 등 국가공공분야 정보통신기반시설부터 국방, 방산, 국가핵심기술기업, 첨단전략산업공장까지 다양한 산업의 레퍼런스를 보유하고 있다.
OT 보안 전문기업 오투원즈, AI 보안관제기업 시큐어시스템즈와 OT 보안 토탈 프레임워크 제공
최근 휴네시온은 i-oneNet DD 제품의 성장 가능성을 인정받아 2024년 신SW상품대상 과기부 장관상을 수상했다. 휴네시온은 자회사 오투원즈, 시큐어시스템즈와 함께 OT 운영환경 전반에 보안 체계 구축을 목표로 하고 있다. 오투원즈의 제어망용 원격접근제어(RAS) 솔루션과 제어망 가시화·위협관리를 위한 OT 가시성 솔루션, 시큐어시스템즈의 OT환경 보안관제가 가능한 SOAR 솔루션 시큐어오케스트라를 비롯해 휴네시온의 망연계 솔루션을 포함하는 OT 보안 토탈 프레임워크를 제공할 계획이다.
▲AhnLab EPS[자료=안랩]
[OT 보안 솔루션 집중분석-3]
나온웍스와 함께 OT 엔드포인트와 네트워크를 아우르는 통합 OT 보안 제공
안랩, AhnLab EPS를 중심으로 통합 OT 보안 프레임워크 구축
디지털화가 빠르게 진행되고 IT 영역과의 접점이 늘어나면서 OT 환경을 노리는 공격이 증가하고 있고, 피해 규모 역시 커지고 있는 상황이다. 특히, OT 환경은 설비를 10년 혹은 그 이상 운영하고 노후화된 운영체제를 사용하는 경우가 많으며, 패치가 미흡해 취약점이 다수 존재한다. 사이버 공격으로 인한 피해가 쉽게 확산될 수 있는 이유이기도 하다.
OT 엔드포인트 보안을 위한 최적의 솔루션 ‘AhnLab EPS’
AhnLab EPS는 안랩의 대표적인 OT 엔드포인트 보안 솔루션으로, 국내외 반도체, 디스플레이, 자동차 등 다양한 제조 생산 공장에서 사용되고 있다. AhnLab EPS는 변화가 적은 ICS 설비 특성에 최적화된 어플리케이션 및 매체 제어와 초경량 에이전트(AhnLab EPS Agent)를 통해서 보안 위협을 최소화하고 안정적인 설비의 운용을 지원한다. 각 설비에서 사용하는 어플리케이션과 매체에 대한 유연한 관리를 통해서 관리자의 리소스 부담을 줄일 수 있으며, 허용된 목록 이외의 미등록 프로세스와 이동식 매체를 제어함으로써 보안 패치가 어려운 설비의 신·변종 및 Unknown 위협에 대한 원천적인 차단을 제공한다. 또한, 웹 기반의 중앙 관리 서버(AhnLab EPS Server)를 통해서 각 에이전트에 대한 효율적인 정책 관리와 모니터링을 지원하는 것이 특징이다.
나온웍스와 함께 ‘통합 OT 보안 프레임워크’ 고도화
안랩은 지난 2021년 7월, 통합 OT 보안 수요 확대에 대응하기 위해 산업제어 프로토콜 융합 보안 솔루션 전문기업 나온웍스를 인수했다. 기존 탁월한 IT 보안 역량을 갖춘 안랩은 나온웍스를 인수함으로써 자사의 보안위협 탐지 & 대응 및 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합해 통합 OT 보안 프레임워크를 구축했다.
안랩은 엔드포인트와 네트워크 영역에서 OT 환경을 보호하는 다양한 솔루션, 나온웍스는 산업용 프로토콜 표준화 및 분석과 물리적 단방향 데이터 전송 솔루션을 갖추고 있다. 양사는 공동 개발을 바탕으로 상호 간 기술력을 집약하여 통합 OT 보안에 깊이를 더하고 있다.
▲OT 가시성 및 위협 탐지 모니터링 솔루션 CEREBRO-XTD[자료=나온웍스]
[OT 보안 솔루션 집중분석-4]
통합 OT 가시성, 고도화된 위협 탐지와 엔드포인트 연계로 OT 보안 강화
OT 가시성 및 위협 탐지 모니터링 솔루션, 나온웍스 CEREBRO-XTD
OT와 IT가 점점 더 밀접하게 연결되고 AI 및 클라우드 컴퓨팅 등 첨단 기술이 시스템에 접목되면서 OT 환경을 대상으로 하는 보안 위협이 증가하고 있다. 이전보다 더욱 복잡해진 OT 환경에서 안정적인 비즈니스를 운영하려면 위협을 효과적으로 관리하고 대응할 수 있는 모니터링 시스템이 필요하다.
OT 보안 기업 나온웍스는 OT 환경에 최적화된 위협 탐지 및 가시성 모니터링 솔루션 CEREBRO-XTD(세레브로-XTD)를 통해 보안 위협으로부터 자산을 보호하고 가용성을 확보하는 방안을 제공한다.
통합 가시성, 위협 및 이상 징후 실시간 탐지까지, OT/ICS 특화 보안 솔루션
CEREBRO-XTD는 트래픽 분석을 통해 자산 정보를 수집하며, 실시간으로 탐지 자산에 대한 통합 가시성과 상세 정보를 제공한다. 사용자는 자산별로 상세 정보와 함께 탐지 이벤트 히스토리, 머신 러닝 기반의 제어 명령 분석 정보, 자산별 태그 등록 목록 등을 쉽게 확인할 수 있다.
또한, 산업제어 시스템(ICS) 프로토콜에 대한 심층패킷분석(DPI)과 추이 분석을 통해 자산별 프로세스 가시성까지 제공한다. CEREBRO-XTD의 또다른 강점은 다양한 보안 위협과 프로토콜 심층 분석 기반 이상 징후 탐지에 있다. 수백만 건 이상의 탐지 패턴과 고도화된 진단 기술을 보유한 안랩 안티바이러스 엔진과 보안 위협 탐지 패턴이 적용되어 악성코드, 취약점, 스캔 등 유해 트래픽을 탐지한다. ICS 프로토콜 상세 분석과 머신 러닝 기반의 제어 로직 분석을 통해 제어 설비의 설정을 변조하려는 공격이나 사용자 오류를 파악할 수 있다. 탐지된 위협은 이슈 트랙(Issue Track) 기능을 활용하여 그 근원지 및 전파 경로를 추적할 수 있다.
엔드포인트-네트워크 연계 보안으로 빈틈없는 OT 보안 구축
OT를 대상으로 하는 공격은 네트워크부터 엔드포인트까지 그 범위를 확대하고 있다. 이에 나온웍스는 안랩과 함께 보안 위협 탐지 전문성과 OT 기술력을 결합한 ‘통합 OT 보안 프레임워크’를 구축, 양사의 솔루션 간 유연한 연동으로 엔드포인트부터 네트워크까지 아우르는 빈틈없는 OT 보안을 제공하고 있다.
CEREBRO-XTD와 안랩의 엔드포인트 보안 솔루션 AhnLab EPS 간 연동을 통한 엔드포인트 자산 상세 정보 제공, AhnLab Xcanner 연동 기반의 악성코드 원격 검사 등 차별화된 기능을 제공하여 OT 보안 수요에 대응하고 있다.
▲클래로티 위험 평가 프레임워크[자료=클래로티]
[OT 보안 솔루션 집중분석-5]
클래로티, 전반적인 자산 리스크를 기반으로 완화 지침을 더욱 최적화
사이버 물리 시스템(CPS)을 위한 새로운 취약성 우선순위 평가 및 위험 관리 기능 살펴보기
모든 사이버 보안 프로그램의 목표는 위험을 줄이는 것이지만, 사이버 물리 시스템(CPS)에 대한 영향이 국가 보안, 경제 보안 및 공공 안전에 실제로 영향을 미칠 수 있는 자산 집약적 조직에서는 위험이 더 높다. 주요 인프라 자산 소유자 및 운영자에게 과제를 극복할 수 있는 보다 효과적인 기능을 제공하는 것이 바로 클래로티의 SaaS 기반 xDome 및 Medigate 플랫폼의 VRM(취약성 및 위험 관리) 모듈에 대한 최신 개선 사항의 이유가 되었다.
업계에서 가장 세부적이고 유연한 CPS 위험 평가 프레임워크 제공
우리의 새로운 위험 프레임워크는 위험을 증가시킬 수 있는 광범위한 요인과 위험을 상쇄할 수 있는 보완 통제(Compensating Control)를 설명하기 때문에 그 어느 때보다 정확하다. 이러한 기능은 기본적으로 사전 구성되어 제공되기 때문에 이제 막 CPS 보안을 시작한 고객이라도 CPS 위험 상태를 즉시 평가하고 개선하기 위한 조치를 자신 있게 취할 수 있다. 또한 이 위험 평가 프레임워크는 이전보다 훨씬 더 유연하고 사용자 정의가 가능하다. 이제 고객은 CPS 위험 점수에 다양한 요소의 가중치를 적용하는 방식을 더욱 맞춤화할 수 있으므로 CPS 보안 여정을 더욱 진행하고, CPS 위험 계산을 기존 GRC 프로세스와 보다 긴밀하게 조정하고, CPS 위험 평가에서 요소가 가중되는 방식을 보다 잘 제어하고자 하는 고객에게 특히 적합하다.
클래로티의 새롭게 향상된 VRM 솔루션은 CISO와 팀이 다음을 통해 CPS 환경에 영향을 미치는 취약점의 우선순위를 효과적이고 효율적으로 지정할 수 있도록 더욱 강화한다.
악용 가능성에 따라 취약점 우선순위를 자동으로 지정
클래로티의 VRM 제품은 CISA(미국 사이버보안 및 인프라 보안국)의 KEV(공격에 활용된 것으로 보고된 취약성) 카탈로그 및 EPSS(예측 점수제 활용)의 최신 현재 및 예측 악용 가능성 지표를 기반으로 모든 취약점을 강화하고 우선 순위 그룹에 할당하는 업계 최초의 솔루션이다. KEV 카탈로그는 실제로 악용된 모든 취약점을 추적함으로써 이미 무기화되고 있는 취약점에 대한 귀중한 통찰력을 제공한다. 한편 EPSS는 데이터 과학 모델을 사용하여 향후 30일 이내에 어떤 취약점이 악용될 가능성이 있는지 추정한다.
두 데이터베이스의 최신 데이터를 결합하면 고객이 자신의 환경에 가장 큰 위험을 초래하는 취약성의 현재 상태 및 발생 가능성이 있는 초기 상태를 완벽하게 파악할 수 있다. 그 결과 고객은 취약점 위협 요소가 악용될 가능성이 가장 높은 우선 순위를 평균 11배 더 효과적으로 지정할 수 있다.
클래로티의 CPS 보안
클래로티의 위험 평가 프레임워크는 각 고객 CPS의 고유한 보안 및 비즈니스 상황을 반영하도록 사전 구성되어 있으며, 완전히 사용자 정의가 가능하여 기존 GRC 프로세스 또는 위험 정의와 원활하게 조정할 수 있다. CISO와 CPS 사이버 위험을 관리하는 데 있어 새로운 과제가 계속 발생하고 있기 때문에, 클래로티는 CPS의 문제점을 완화할 수 있도록 지원한다. 최근의 VRM 개선 사항은 무엇보다도 고객이 CPS 위험 상황를 이해하고, 이를 개선하기 위해 기존 리소스를 더 잘 할당해, CPS 보안 여정을 가속화하는 것을 목표로 하고 있다.
▲nNet CPS 보호 플랫폼[자료=앤앤에스피]
[OT 보안 솔루션 집중분석-6]
OT 자산 정보의 수집 및 전송에서 공급망 보안까지 CPS 보호 플랫폼 완성
앤앤에스피, OT 보안에서 CPS 보호 플랫폼으로의 발전을 선도
중요 인프라에 대한 보안 위협이 증가함에 따라 운영 기술(OT : Operational Technology) 보안 시장이 사이버 물리시스템 보호 플랫폼(Cyber-Physical System Protection Platforms) 시장으로 빠르게 진화하고 있다.
가트너(Gartner)는 CPS 보호 플랫폼 시장을 산업 프로토콜, 운영 및 생산 네트워크 패킷 또는 트래픽에 대한 메타데이터, 물리적 프로세스 자산 행동에 대한 지식을 사용하여 기업 IT 환경 외부의 운영 및 미션 크리티컬 환경에서 CPS를 검색 분류, 매핑 및 보호하는 제품 및 서비스로 정의하고 있다.
앤앤에스피는 트러스트 컨넥션(Trust Connection)을 통한 자산 데이터 수집 및 전송, CPS 자산에 대한 공급망 보안, CPS 자산 검색 및 가시성, 자산의 범주화, 독점 프로토콜 지원, CPS 네트워크 다이어그램 및 데이터 흐름 분석, 취약성 분석, 위협 인텔리전스 관리, IT 보안 툴과의 통합 등 CPS 보호를 위한 nNet CPS 보호 플랫폼(nNet CPS Protection Platform)을 제시하고 있다.
미션 크리티컬한 환경에서의 CPS 경계망 보호 ‘nNetDiode’
nNetDiode는 2014년 중소벤처기업부 과제로 물리적 일방향 전송장비 국산화 개발에 성공해 2016년 물리적 일방향 전송 솔루션으로 국내 최초로 CC인증을 획득해 ‘K-ICT 소프트웨어상품대상’을 수상했으며, 2023년 nNetDiode V3.0으로 ‘국가용 보안요구사항 V3.0’ 기반으로 ‘보안기능확인서’ 인증을 획득했다.
nNetDiode는 일방향 전송장비의 국제 기준에 따른 물리적 일방향 전용보드를 탑재하고 있으며 오류 및 장애 대응이 가능한 물리적 일방향 전용보드 기술에 대한 한국 및 미국 특허를 획득하고 한국발명진흥회로부터 우수발명품 우선구매선정 제품으로 지정되어 있다.
기존 일방향 전송 방식에서는 UDP를 이용한 암호화 방식을 사용하였으나 nNetDiode V3.0에서는 Non-IP/MAC를 이용한 암호화 방식을 제공함으로써 TCP(UDP)/IP 스택에 의한 전송 지연시간을 줄이고 10Gbps 일방향을 지원함으로써 고성능 전송이 가능하며 완벽한 Non-Routable 프로토콜을 지원함으로써 보안성을 향상시키고 있다.
nNetDiode는 원자력, 발전소, 수자원, 항공, 교통 등 국내 주요정보통신 기반시설에서 가장 많이 사용되고 있는 물리적 일방향 전송솔루션으로 최근 OT 분야뿐만 아니라 미션 크리티컬한 IT 환경으로도 시장을 넓히고 있다.
OT 이상징후 탐지에서 CPS 자산 중심 보안까지 ‘nNetNDR’
앤앤에스피는 2018년 과학기술정보통신부 ‘사이버공격으로 인한 스마트공장 운영중단 문제해결을 위한 선제적인 제조공정 이상징후 인지’ 과제를 통해 OT 네트워크 이상징후 탐지시스템인 nNetNDR을 개발했다.
빅데이터, 클라우드 기술의 발전은 기업의 기존 자산과 새로운 자산의 연계를 요구함으로써 복잡성과 다양성이 현실화되고 있으며 OT 네트워크 보안에서 CPS 자산 중심 보안으로 무게 중심이 이동하면서 nNetNDR도 CPS 보호 플랫폼으로 발전하고 있다.
nNetNDR V2.0은 패시브 모니터링과 액티브 스캔 기술을 이용해 CPS 자산 정보를 수집·분석하고 CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System) 등과 연계해 보안취약점을 분석한다. 또한 자산의 연결맵을 구성하고 가상 네트워크 세그먼트를 통해 네트워크를 모니터링하고 자산의 변경을 탐지하며, snort 시그니처와 Streamdefender 시그니처를 이용해 침입과 악성코드를 탐지하며, 제어프로토콜 명령어 기반으로 이상징후를 탐지해 위협 인텔리전스를 관리한다.
앤앤에스피는 LS ELECTRIC과 협력해 LS ELECTRIC 산업제어프로토콜인 RAPIEnet에 대한 상세 분석 기능을 제공하며 IEC62443-3-3 기반의 보안참조모델을 구성하고 있다.
공급망 보안을 위한 ‘nNetTrust’
앤앤에스피는 패치, 업데이트, 오픈 소스 등 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사하고 업무망 등으로 검증된 정보를 전달하는 nNetTrust V2.0을 출시하고 국가용 보안요구사항 V3.0에 기반하여 ‘보안기능확인서’ 인증을 획득했다. nNetTrust는 외부망 등 비보안영역에서 패치, 업데이트, 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사하고 업무망 등 보안영역으로 검증된 수집 정보를 일방향으로 안전하게 전달함으로써 업무의 효율성을 높인다.
nNetTrust는 패치, 업데이트에만 활용되는 것은 아니다. 개발자가 인터넷 등 외부망에서 오픈 소스를 가져와 개발에 활용할 경우 개발망 공급보안을 위해 사용되기도 한다. OOO 부대의 경우 기존에는 오픈소스를 다운로드하면 수동으로 악성코드 검사와 보안취약성 검사를 수행하고 별도의 검증 시스템에서 안전성이 검증되면 이를 품의해 내부에서 개발에 사용하기까지 많은 시간이 소요되었다.
앤넷트러스트를 도입한 후 외부에서 다운로드받은 오픈소스에 대해 자동으로 악성코드 및 무결성 검사를 수행하고 다른 검증 시스템과도 연계해 검증이 완료되면 관리자는 결과를 확인하고 승인함에 따라 자동으로 내부망으로 전달함으로써 업무 효율성과 보안성을 동시에 높인 사례도 있다. nNetTrust는 유명 소프트웨어 기업의 패치 파일도 신뢰하지 않고 한번 더 무결성을 검증하는 ‘제로 트러스트’ 아키텍처를 지원함으로써 CPS 보안을 완성하고 있다.
▲SPiDER OT for Maritime[로고=이글루코퍼레이션]
[OT 보안 솔루션 집중분석-7]
OT 환경 보안 컨설팅부터 진단, 구축, 관제 서비스까지
이글루코퍼레이션 선박통합관리 솔루션 SPiDER OT for Maritime
디지털 전환 가속화에 발맞춰 IT 네트워크와 운영기술(OT)의 접점이 넓어지면서, 스마트 선박·팩토리·빌딩 등 설비 제어와 관련된 OT 보안의 중요성이 대두되고 있다. 특히 해사업계는 자율운항 등과 같은 최신 IT 기술이 적용된 선박을 노리는 사이버 위협이 증가하고 있다. 이에 이글루코퍼레이션은 2024년부터 의무 적용되는 국제선급협회(IACS)의 선박 사이버 복원력을 위한 공통 규칙 UR E26과 UR E27을 충족하면서 선박·항만·조선소에서 직관적으로 활용할 수 있는 보안관리 솔루션 ‘스파이더 오티 포 마리타임(SPiDER OT for Maritime)’을 개발했다.
선박 보안 환경 가시성 높이는 선박통합보안관리 솔루션 ‘SPiDER OT for Maritime’
SPiDER OT for Maritime은 선박 네트워크와 보안 정책에 대한 철저한 분석을 기반으로 선박에 특화된 보안성과 안정성, 사용자 편의성을 보장한다. 이글루코퍼레이션은 선박을 운항하는 IT 비전문가인 선원 역시 사이버 위협 및 자산 현황의 이상 유무를 손쉽게 인지 및 모니터링할 수 있도록, 필수 기능 중심의 직관적인 메뉴를 구성했다. 또한, 기존 제품과는 달리 선박 내 독립적인 로그 수집·이벤트 분석 방식 적용으로, 위성 통신 네트워크가 과점되는 트래픽 이슈 문제도 해소했다. OT 보안이 필요한 선사들은 SPiDER OT for Maritime 구축을 통해, 발전하는 사이버 환경 속에서 선박 데이터와 인프라를 통합 보호하고 보안 관리 업무 효율성을 높일 수 있다. 고도화된 사이버 위협에 대한 가시성을 확보해 종합적인 위협 상황을 알리고, 위협에 능동적으로 대응해 최적의 사전 예방 체계를 구축할 수 있다.
산업별로 특화된 OT 보안 전략 제시
이글루코퍼레이션은 2024년 해사 OT 환경에 최적화된 솔루션 확대 공급에도 주력한다. 수십 년의 조선·해양 노하우를 보유한 포스텍, KR(한국선급) 등 전문 기업과의 협력을 통해, 다양한 OT 프로토콜과 운영체제, 시스템에 대한 폭넓은 가시성을 확보하고 최적화된 보안 체계를 구축하는 보안 컨설팅-진단-구축-관제 서비스를 제공하고자 한다. 고유의 보안 기술력과 노하우를 토대로 고객층을 단계적으로 넓히고 있으며, 제조·건설 등 산업별로 특화된 ‘SPiDER OT’ 라인업을 지속해서 확장할 계획이다.
▲OT/IoT 환경의 통합 가시성과 보안을 하나의 플랫폼에서 제공[자료=노조미 네트웍스]
[OT 보안 솔루션 집중분석-8]
OT/IoT 환경의 통합 가시성과 보안을 하나의 플랫폼에서 제공
노조미 네트웍스, 유선 및 무선 환경을 아우르는 최초이자 최고의 OT/IoT 보안 솔루션
창립 10주년을 맞이한 노조미 네트웍스는 가장 먼저 창립한 OT 보안 기업인 만큼 혁신적인 기술과 솔루션을 가장 먼저 공개하면서 기술 발전을 이끌어 왔다. 최근 발표된 프로스트 앤 설리번(Frost & Sullivan)의 ‘Frost Radar 운영 기술 사이버 보안 솔루션 2023’ 보고서에 따르면 글로벌 OT 사이버 보안의 리더이자 혁신과 성장 부문에서 17개 업체 중 유일하게 만점을 받은 공급업체로 평가받았다. 또한 실제 고객들이 솔루션에 대해 평가하는 Gartner Peer Insight에서 4년 연속 가장 높은 평가(4.9/5.0만점)를 유지하는 등 글로벌 리서치에서도 업계 선두로 인정받고 있다.
노조미 네트웍스는 OT 및 IoT 환경에 대한 탁월한 네트워크 및 자산 가시성, 위협 탐지, 통찰력을 제공하며, 최근 무선 환경까지 아우르는 독보적인 OT 보안 센서를 출시함으로써 무선과 유선 환경을 아우르는 최초이자 최고의 OT/IoT 보안 솔루션 벤더로 그 명성을 높이고 있다.
AI기반 이상징후탐지 OT 보안 솔루션 ‘Guardian’
‘가디언(Guardian)’은 산업 현장 내 다양한 자산에 대한 식별 및 각종 설비의 운용 상태에 대한 가시성을 바탕으로 외부의 공격과 이상 행위를 탐지해 제어시스템을 안전하게 보호하는 OT 보안 솔루션이다. 설비 자산에 영향을 주지 않는 에이전트리스 및 미러링 방식으로 IT 환경에서 사용되는 프로토콜은 물론 다양한 ICS 제조사의 전용 통신 프로토콜을 실시간으로 모니터링하여 자산에 포함된 취약점과 위험성을 파악한다.
인공지능 기반의 학습을 통해 각 제어 설비의 오작동과 잘못된 제어 명령의 전달 등의 공격과 비인가된 자산이 네트워크에 연결되거나 통신을 시도할 경우 자동으로 이를 탐지하고 알람을 생성하며, MITRE ATT&CK 지표를 통해 위협 정도를 직관적으로 확인할 수 있다. 시그니처/행위 기반의 탐지 방안도 함께 제공하고 있어 다양한 공격 유형에 대응할 수 있다.
글로벌 초대형 석유/화학기업, 제약사, 공공산업기관들을 고객으로 확보하고 있으며, 국내 주요 대기업과 공기업에 납품되는 등 다양한 산업 현장의 제조/설비 장비에 대한 프로토콜 분석, 위협 탐지 성능이 동종 솔루션 중에서 가장 탁월한 것으로 평가받고 있다.
업계 최초의 무선 스펙트럼 센서 ‘Guardian Air’
‘가디언 에어(Guardian Air)’는 유선 네트워크에 연결되었을 때만 감지할 수 있었던 무선 지원 디바이스에 대한 필수적인 가시성을 제공한다. Bluetooth, Wi-Fi, 셀룰러, LoRaWAN, Zigbee, GPS, 드론 RF 프로토콜, WirelessHART 등 OT&IoT 환경에서 사용되는 주요 무선 주파수 기술에 대한 지속적인 모니터링을 제공한다. 무선으로 연결된 자산을 즉시 감지하고 자산 정보를 확보하여 무단 설치를 신속하게 해결한다. 무선에 특화된 위협을 탐지하고 공격을 수행하는 디바이스의 위치를 파악할 수 있는 기능을 추가한다. 노조미 밴티지(Vantage) 플랫폼을 통해 네트워크, 엔드포인트, 무선을 결합하고 사이버 공격에 대한 실시간 보안 관리 및 가시성, 위협 탐지, AI기반 분석을 통합하여 관리할 수 있다.
[OT 보안 솔루션 집중분석-9]
산업환경에서 모니터링을 넘어 즉각대응 가능한 OT 보안 구현
Kaspersky Industrial Cyber Security(KICS)
카스퍼스키는 산업 사이버 보안(ICS) 분야에 오래동안 관심을 두고 이와 관련된 ‘Kaspersky 산업 사이버 보안 컨퍼런스’를 10년 넘게 매해 개최해 전세 계 사업 보안 트렌드와 기술력에 대한 통찰을 공유하고 있으며, Kaspersky ICS CERT와 같이 ICS부문 전문 연구분석팀, 전세계 연구원을 보유하고 있는 GReAT팀, 그리고 Red팀 등을 운영하는 등 업계 선두에서 ICS를 비롯한 각종 보안 부분의 기술력과 경험치를 발전시키고 있다.
Kaspersky가 바라보는 산업환경의 특징
기존의 사이버 공격은 해커가 은행 시스템에 침투해 수백만 달러를 자신의 계좌로 이체하는 것이 일반적인 형태였다. 하지만 오늘날의 환경에서는 산업과 에너지를 포함한 다양한 비즈니스 부문이 공격을 받고 있는것이 현실이다. Kaspersky ICS CERT의 보고서(2023)에 따르면 2023년 상반기에는 ICS(산업 제어 시스템) 컴퓨터의 약 1/3이 악성 코드 공격을 받았으며, 인터넷이 가장 두드러진 위협 소스(16.6%)였다.
프로세스 제어 시스템에 대한 사이버 공격의 결과는 재정적 위험외에도 여러가지 피해를 가져올 수 있다. 산업 네트워크를 모니터링하면 생산의 중단 또는 사고를 피하는데 도움이 된다.
자동 제어 시스템과 IT를 결합하면 비즈니스 운영 효율성이 높아지지만 생산 시스템에 대한 사이버 공격 위험도 함께 높아진다. 다양한 네트워크의 통합은 공격자에게 새로운 가능성을 제공하고 산업용 장치를 네트워크에 연결하면 공격 표면이 확장될 수 밖에 없다. 따라서 산업 네트워크를 지속적으로 모니터링해 이상 징후와 잠재적인 공격을 적시에 탐지해야만 보안성이 유지되며, 이를 통해 완전한 가시성과 함께 인프라를 신속하고 안정적으로 보호할 수 있다.
그러나 산업 시스템의 특성으로 인해 보안기술을 적용하는 작업은 신중하게 수행되어야 하며, 사용되는 모니터링 방법은 시스템 작동에 최소한의 영향을 주어야 할 것이다.
산업 시스템의 모니터링은 필수로 진행되어 야 하지만 세심한 운영이 필요하다. 신속하고 안정적인 인프라 보호를 위해 네트워크단의 트래픽 미러링을 통해 얻은 내용을 통해 데이터를 모니터링 해야하며, 노드단의 엔드포인트에 위협 또는 바이러스 침투를 예방해야만 한다.
Kaspersky의 KICS를 통한 산업환경의 보안체계 구축
카스퍼스키의 산업 보안 제품인 KICS는 노드용 제품인 ‘KICS for Nodes’와 네트워크용 제품인 ‘KICS for Networks’ 두 가지 구성 요소로 구성되어 있으며, 산업 환경 보호를 위해 서로 긴 밀하게 작동한다.
네트워크용 KICS를 배포하면 전문가는 수동 모니터링을 사용해 다음 작업을 수행할 수 있다.
- 재고관리 : 모든 산업 보안 프로그램은 산업 네트워크에 연결된 자산의 글로벌 인벤토리부터 시작해야 한다. 여기에서도 특수 솔루션의 필요성은 분명하다. 산업용 등급 애플리케이션 만이 산업용 컨트롤러를 포함해 연결된 장비의 전체 범위를 식별할 수 있다. KICS for Networks가 네트워크에서 워크스테이션, 서버, 휴대장치, 네트워크 장비, 컨트롤러, 변환기 등의 산업용장비, 전원공급장치 등의 보조장비, 그 외 센서, 웹캠 잠금장치와 같은 IoT 장치까지 포괄적으로 식별하며, 이러한 모든 장치는 산업용 네트워크에 대한 공격 대상이 될수 있다
- 불법적인 연결 및 통신 감지 : 트래픽 분석을 통해 휴대폰, 태블릿 등 원하지 않는 장치를 포함해 네트워크에서 새로운 호스트를 감지할 수 있다. 예정되지 않은 원격 연결 세션, 장치 간 개별 통신 세션, 악성 코드 확산과 같은 이상 현상의 감지가 가능하다.
- 산업용 장치에 대한 중요 명령 감지 : KICS for Networks는 DPI(심층 패킷 검사) 기술을 사용해 산업용 컨트롤러 및 지능 형 장치로 전송되는 명령을 모니터링한다. 네트워크 트래픽에서 중지, 재부팅, 포맷, 설정값 변경, 모드 변경, 로드 명령 등의 중요한 명령을 인식한다. PLC(프로그래밍 가능 논리 컨트롤러)에 대해 프로젝트 무결성 제어가 구현된다. 또한 트래픽의 프로젝트 정보를 인식하고 이를 참조로 캡처해 프로젝트를 PLC에서 읽거나 쓸 때 이를 새 정보와 비교한다. 새 펌웨어와 기존 펌웨어가 일치하지 않으면 침입자가 컨트롤러를 다시 프로그래밍하려고 한다는 의미일 수 있어, 관리자에게 알림이 전송된다.
편의와 심층 분석을 위해 위의 방대한 트래픽 모니터링 구현하여 패시브 모니터링은 주요한 통찰력을 제공하지만 산업용 네트워크에서는 100% 가시성을 제공하지 못할 수도 있다. 패시브 모니터링 방법은 자산의 모든 속성을 정확하게 식별하지 못할 수 있으며 트래픽에 장치 데이터가 나타날 때까지 기다리는 것은 시기적절한 정보 수집을 방해할 수 있다. 데이터 수집의 신뢰성과 효율성을 높이기 위해 추가 접근 방식으로 액티브 폴링을 고려할 수 있다.
액티브 모니터링: 산업 장비에 대한 안전성이 입증된 솔루션은 필수
액티브 모니터링은 포괄적인 프로필 및 구성 정보를 수집하는 데 매우 효과적일 수 있다. 최소한 IP 및 MAC 주소, 공급업체 이름 및 장치 모델, 펌웨어 버전, 설치된 소프트웨어 데이터 및 OS 버전을 얻는 데 사용할 수 있다. 또한 KICS for Networks는 OVAL(Open Vulnerability and Assessment Language)을 지원해 특정 소프트웨어 버전 사용부터 USB 드라이브 자동 실행 권한에 이르기까지 네트워크 장비 및 Windows 또는 Linux 워크스테이션의 취약성과 보안 정책 준수 여부를 완벽하게 평가할 수 있다.
KICS for Networks는 이를 염두에 두고 산업용 장치 전문가의 전문 지식과 각 특정 모델에 어떤 프로토콜을 활용할 수 있는지에 대한 지식을 고려해 개발됐다. 모든 액티브 폴링 방법은 제품에 통합되기 전에 물리적 장치에서 엄격한 테스트를 거친다. 결과적으로 Kaspersky는 다양한 공급업체의 수많은 산업용 장치 모델과의 안전한 액티브 모니터링 상호 작용을 보장한다.
패시브와 액티브의 시너지: 결합을 통해 기술의 한계를 극복하다
산업 네트워크에서 자산 검색 및 분석에 대한 모든 용도에 맞는 단일 접근 방식은 없다. 각 환경의 요구 사항을 효과적으로 충족하려면 패시브 모니터링 도구와 추가적인 액티브 폴링 기
능의 조합이 필요한 경우가 많다. 결합된 접근 방식의 한 가지 예는 보안 정책 준수를 보장하기 위해 1~2개월마다 예약된 액티브 폴링 확인으로 보완되는 수동 모니터링을 사용해 네트워크 트래픽을 지속적으로 분석하는 것이다.
KICS for Networks는 네트워크의 자산 목록을 작성하는 세 가지 효과적인 방법을 추가로 제공해 기업 정보 보안 전문가에게 유연성을 제공한다.
- 모든 내용을 수동으로 입력하고 편집하고 각 장치에 대한 정보를 사람이 수동으로 입력하고 편집할 수 있도록 하여 시간이 걸리더라도 신뢰성을 보장한다.
- 타사 자산 관리 시스템에서 API(애플리케이션 프로그래밍 인터페이스)를 사용해 두 시스템 간의 통합 설정할 수 있다.
- 자동화된 프로세스 제어 시스템의 프로젝트 파일에서 데이터 가져오기를 사용해 자동화 시스템의 프로젝트 파일을 다운로드한 다음 장치 데이터 자동 추출을 위한 솔루션에 업로드할 수 있다.
이러한 옵션은 정보보안 전문가가 특정 요구 사항에 가장 적합한 접근 방식을 선택할 수 있는 유연성과 편의성을 제공한다.
데이터의 강화: 철저한 위협 조사를 위한 추가 정보 확보
산업 네트워크와 연결된 자산의 상태를 정확하게 평가하려면 패시브 모니터링과 액티브 모니터링의 조합이 필수적이다. 그러나 복잡한 공격 시나리오나 심층적인 사건 조사를 수행할 때는 더 많은 데이터가 필요한 경우가 많다.
이러한 추가 데이터를 얻기 위해 KICS for Networks는 엔드포인트 보호에 초점을 맞춘 KICS for Nodes와 통합할 수 있다. KICS for Nodes는 바이러스, 랜섬웨어 및 네트워크 공격으로부터 보호하는 동시에 엔드포인트 탐지 및 대응(EDR) 기능을 지원한다. EDR은 엔드포인트에 대한 비정형 위협과 표적 공격을 사전에 탐지하고 발생하는 모든 이벤트를 기록한다. 이 포괄적인 엔드포인트 데이터는 보안 사고를 조사하고 효과적인 대응을 수립하는 데 매우 중요하다.
KICS for Nodes와 통합함으로써 KICS for Networks는 엔드포인트 이벤트에 액세스하고 사고 조사 프로세스를 향상시킬 수 있다. KICS for Networks에서 사건 카드를 보면 네트워크 모니터링 데이터를 볼 수 있을 뿐만 아니라 엔드포인트의 모든 관련 이벤트에 대한 가시성을 확보할 수 있다. 이는 위협의 소스나 네트워크로의 진입 경로를 추적하는 동시에 추가 공격 진행을 방지하는 데 도움이 된다.
또한 KICS for Nodes는 포트 미러링이 어렵거나 불가능한 경우 KICS for Networks의 엔드포인트 센서 역할을 해 추가 데이터를 수집하는 데 활용될 수 있다. 네트워크의 이러한 지점에서 트래픽을 미러링함으로써 노드용 KICS는 네트워크용 KICS에 트래픽 복사본을 제공한다. 이를 통해 패시브 네트워크 모니터링을 신속하게 구현해 다른 기술을 사용할 때 네트워크 영역에 대한 완벽한 가시성을 보장한다.
산업환경의 네트워크단부터 엔드포인트단까지 보다 섬세한 보안환경 구축
카스퍼스키는 기존의 엔드포인트 기술력과 공격에대한 대응 방법론 등의 노하우를 통해 산업망에 특화된 엔드포인트인 KICS for Nodes를 제공하며, 무중단 생산망 네트워크 모니터링을 위한 KICS for Networks를 통해 내부의 1,000여명의 R&D인력을 통해 보다 섬세한 산업망 보안환경 구현을 위하여 최선을 다하고 있다. 해외 대형 레퍼런스 외에도 국내에서 반도체, 연구소, 주요기관 등의 레퍼런스를 구축해 나아가고 있다.
▲화이트리스트 보안스위치[자료=한드림넷]
[OT 보안 솔루션 집중분석-10]
화이트리스트 보안스위치, 산업용 OT환경에 적합한 강력한 내부망 보안
한드림넷, ‘SG5026GX시리즈’ 네트워크 스위치 기반 OT, ICS 보안 솔루션
국가 주요 산업 인프라와 스마트 팩토리 등의 제어 시스템 침해 목적의 공격 방어는 사전 대응이 필수다. OT 제어망은 IT와 달리 모터, 밸브, 펌프. 및 각종 센서로 이루어진 설비와 함께 IIoT 디바이스와 전용 OS를 탑재한 단말들로 구성, 운용되고 있다. 이와 같은 환경에서는 일반적인 IT 방식의 보안 시스템을 적용할 수 없으며, 단말 유형에 상관없이 네트워크 액세스 레벨에서 모든 노드와 패킷을 관리 통제할 수 있는 OT 전용 보안 솔루션이 효과적인 대안이다.
‘SG5026GX시리즈’를 통한 눈에 보이지 않는 보안 위협 해결!
화이트리스트 보안스위치 SG5026GX시리즈는 ICS/SCADA와 같은 주요 설비망에 대한 실시간 모니터링을 통해 보안 위협을 최소화할 수 있다. 단위 OT 제어망 별 이격화(마이크로 세그멘테이션)를 통해 랜섬웨어 등의 수평 확산을 저지하며, 보안스위치 간 트래픽 암호와로 전송데이터의 위/변조를 방지하고, 데이터 무결성을 보장한다. 국제 산업용 표준 프로토콜인 Modbus/ TCP 지원으로 HMI에서 보안스위치의 상태 정보, 모든 사용 포트, 유해트래픽 발생 현황 정보와 실시간 장애·공격 탐지가 가능하고, IP 관리 및 제어도 가능하다. 또한, 비인가 노드와 비정상 접근 및 과다/유해트래픽 발생 시 위협으로 간주하며, 다양한 방식의 경보를 통해 즉각 대응 조치할 수 있다. 이와 같은 설비의 안전과 가용성 보장은 기업 경영에 필수적이며, 국가 주요 인프라 보호를 통해 안전한 사회를 영위할 수 있다.
산업 현장에서 검증된 OT 전용 보안스위치
화이트리스트 기반의 SG5026GX시리즈는 K-water(한국수자원공사)와 한드림넷이 산업 제어 시스템 보호를 위해 공동으로 개발한 OT 전용 보안 솔루션이다. SG5026GX시리즈는 수많은 산업 현장에 투입, 운용되고 있으며, 공공성과 혁신성을 인정받아 조달청 혁신제품과 중소기업 기술마켓플랫폼에 등록된 산업 특화 보안 솔루션이다.
[원병철 기자(boanone@boannews.com)]
실제 OT 산업 담당자들에게 물어본 OT 보안 솔루션 인식조사 결과
국내외 대표 OT 보안 솔루션 : 포티넷, 휴네시온, 안랩, 나온웍스, 클래로티, 앤앤에스피, 이글루코퍼레이션, 노조미 네트웍스, 카스퍼스키랩, 한드림넷
[보안뉴스 원병철 기자] 우리가 알고 있는 OT/ICS 보안은 언제부터 시작됐을까? 일반적으로 2010년 이란의 핵시설을 공격해 무려 원심분리기 1,000여대를 파괴한 악성코드 ‘스턱스넷(Stuxnet)’의 등장 이후 본격적으로 국가기반시설의 제어시스템을 중심으로 OT/ICS 보안이 강화된 것으로 보고 있다. 이후 2015년 우크라이나 전력망 해킹이나 2021년 미국 콜로니얼 파이프라인 사건 등 전 세계를 뒤흔든 사건이 발생하면서 OT/ICS 분야에서도 보안은 필수로 자리 잡기 시작했다.
일반적으로 말하는 OT 혹은 ICS는 우리 생각보다 더 방대하게 사용되고 있다. Operation Technology(운영 기술)의 줄임말인 OT와 Industry Control System(산업 제어 시스템)의 줄임말인 ICS는 주로 산업분야에서 사용되는 기술과 시스템으로 각종 제조 공장은 물론 국가주요시설인 에너지 분야에서 사용하고 있다. 여기에 최근 자동운전 이슈의 선두에 선 선박과 자동차도 OT/ICS에 포함된다.
스턱스넷 이전 OT/ICS(이하 OT로 통일)에서 발생하는 문제는 대부분 인력문제나 불량장비에 의한 사고가 대부분이었다. 하지만 IT를 위협하던 사이버 공격이 스턱스넷을 시작으로 OT에도 악영향을 끼칠 수 있다는 것이 알려지면서 이에 대한 위험성이 높아졌다. 하지만 OT는 IT와 달리 오직 생산성에만 초점을 맞추며 발전했고, 특히 외부 네트워크에 연결된다는 사실 자체를 인정하지 않아 사이버 공격에 대한 대비를 전혀 하지 않았다.
위기가 곧 기회? 스턱스넷 등장 이후 OT 보안 강화
하지만 스턱스넷 이후 OT를 노린 공격은 점점 발전하고 늘어나고 있다. 포티넷이 2023년 6월 발표한 ‘2023 글로벌 운영기술 및 사이버보안 현황 보고서’에 따르면, 전 세계 570명의 OT 전문가 중 3/4이 2022년 최소 1번 이상의 침해 사고를 경험했으며, 1/3은 랜섬웨어 공격을 받았다고 한다. 카스퍼스키가 운영하는 ‘Kaspersky ICS CERT’도 2023년 상반기 기준 전체 ICS 시스템 중 33.12%에 서 악성코드가 탐지됐으며, 월평균 15.48%에 달했다고 발표한바 있다. 이는 2022년 하반기 월평균 15.25%보다 0.23% 증가한 수치다. 즉 OT망 전체 시스템의 1/3에서 악성코드가 탐지됐고, 이 중 10%의 시스템은 계속 중복으로 감염되고 있다는 것이다. 또한 2023년 10월 기준 한국 ICS 시스템의 31.54%에서 멀웨어가 감지됐으며, 이는 중국 40.55%, 몽골 39.04%, 대만 34.58%, 마카오 31.73%에 이어 5번째 순위다.
보안업체 드라고스(Dragos)는 각종 산업 시설에 설치된 ICS를 노리는 랜섬웨어 그룹의 기술력과 전술이 보다 정교해지고 활동도 왕성해지고 있다고 주장했다. 2022년 ICS를 노린 랜섬웨어 공격이 231건에서 2023년 204건으로 줄었지만, 이는 공격의 효율이 높아졌기 때문이며 전체 공격 자체가 줄어든 것은 아니라고 봤다.
심지어 2010년 등장한 스턱스넷은 아직까지도 문제가 되고 있다. 2018년 이란은 스턱스넷 변종이 자국 원거리 통신망과 관련 기반 시설을 공격했다고 주장했고, 다행히 방어에 성공해 아무런 피해도 입지 않았다고 덧붙였다. 2020년에는 슈나이더 일렉트릭의 소프트웨어에서 스턱스넷 공격을 연상케 하는 취약점이 발견됐으며, 2022년 4월에는 로크웰 오토메이션 PLC에서 스턱스넷 공격을 가능하게 하는 취약점이 발견되기도 했다.
이처럼 산업별 OT 환경에서 발생한 대형 사건·사고로 인해 보안에 대한 관심은 충분히 높아졌다. 스턱스넷의 등장 이후 각 정부는 국가기반 제어시스템 보안을 강화하기 시작했고, 2018년 대만 파운드리 기업 TSMC가 랜섬웨어 감염으로 큰 피해를 입자 전 세계 반도체 기업들은 앞다퉈 OT 보안 솔루션을 도입하기 시작했다. 아울러 2021년 콜로니얼 파이프라인 사건은 사이버 공격으로 국가적 위기 상황이 초래될 수 있다는 사실을 알게 했다.
2022년 열린 블랙햇(Black Hat)의 기조연설자였던 킴 제터(Kim Zetter)는 “2010년 발생한 스턱스넷 사건은 아무도 몰랐던 사회 기반 시설들의 취약점을 알게 해줬으며, 코로니얼 파이프라인 사건은 바이든 미국 대통령이 긴급한 보안 강화를 위한 행정명령에 서명하면서 다양한 보안 강화 대책이 시행되도록 했다”고 설명했다.
국가기반시설 제어시스템에 관한 연구로 한국 OT 보안 태동
그렇다면 우리나라는 어떨까? 우리나라는 초기 ‘제어시스템(SCADA)’이란 용어를 중심으로 국가기반시설 제어시스템에 관한 연구가 이뤄졌으며, 이후 스마트 공장 등 민간분야 공장자동화 시스템 등으로 확대됐다. 특히 공공기관과 연구기관, 학계와 산업계의 OT 보안 전문가들은 한국정보보호학회 산하 CPS보안연구회에서 많은 연구를 지속해왔다.
물론 쉬운 일은 아니었다. 한국정보보호학회 CPS보안연구회의 서정택 위원장은 “CPS 보안 연구를 시작한 2008년만 해도 정부 부처 담당자들은 이 분야 시스템의 특성 및 보안의 중요성을 이해하지 못했다”면서, “스턱스넷 이후 우리나라는 물론 전 세계 국가기반시설의 제어시스템 보안이 주목받았다”고 설명했다.
스턱스넷 이후 한국전력공사 등을 중심으로 제어시스템에 대한 보안강화가 진행됐다. 특히 정부 과제로 연구가 진행됐고, 정부기관과 관련 기업들이 연구 및 제품 개발에 나섰다. 민간영역에서는 대만 TSMC 사건 이후 반도체 기업을 중심으로 OT 보안 솔루션을 도입하는 등 움직임이 활발했으나 현장에서의 반응 때문인지 최근에는 주춤한 모양새다.
이와 관련 국내 OT 보안 리딩기업 중 한 곳의 담당자는 “국책과제로 많은 연구와 제품 개발이 이뤄지기는 했지만, 실제 도입은 많지 않았다”면서, “국가기반시설을 중심으로 시범사업은 계속 진행되고는 있지만, 생각만큼 고객의 반응이 활발하지는 않은 것 같다”고 아쉬워했다.
공정제어 시스템의 사이버보안 위협
전통적인 OT 분야에서 사이버보안 위협이 가해진 것은 여러 이유가 있지만, 대표적인 것 중 하나가 DCS(Distributed Control System, 분산 제어 시스템)의 등장이다. 바로 컴퓨터 기반의 공정운전을 위한 자동 제어시스템 중 하나로 DCS가 공급되면서 윈도우 기반의 장비가 OT, 특히 우리나라는 석유화학산업을 중심으로 활용되기 시작했다. 물론 초기에는 윈도우 3.0을 외면한 DCS 관련 기업들이 자체 운영 체제와 하드웨어를 사용했지만, 1995년 윈도우 95가 나온 후 산업제어 시스템 영역 중 공정 제어 시스템을 통한 데이터 통합, 분석 및 가공에 대한 필요성이 확대되면서 윈도우 기반의 솔루션들이 개발됐고, 현장에 본격적으로 적용되기 시작됐다. 특히 업계에 따르면 2002년 윈도우 XP가 나오면서 공정제어 시스템의 많은 부분이 윈도우 기반 솔루션으로 개발됐고, 이때부터 윈도우가 가진 취약점을 통해 공정제어 시스템을 노리는 사이버 공격이 활발해졌다고 한다.
이후 코로나 펜데믹이 발생하고 비대면 환경이 일상화되면서 공정제어 시스템에도 비대면을 위한 원격제어 솔루션의 니즈가 발생했고, 이와 관련된 솔루션이 현장에 적용되며 또 다른 사이버보안 홀이 생겼다는 것이 문제가 되고 있다.
이에 국내 석유화학산업의 DCS를 70% 이상 공급하는 하니웰과 요꼬가와전기, 슈나이더 일렉트릭 등 3사는 공동으로 국내에서 사용 중인 DCS 중 윈도우 플랫폼으로 운영되는 635개를 조사해 현재 사용하는 윈도우의 버전을 확인하고 관련 논문을 발표했다(‘공정제어시스템의 사이버보안 위험 노출 현황 및 대응방안 연구’ 숭실대학교 안전보건융합대학원 김영세 등 6인 공저).
언뜻 보기에 DCS 분야를 리딩하는 3사가 모여 한 것이 겨우 윈도우의 버전을 확인하는 것인가? 하는 의문을 가질 수 있겠지만, 사실 현장에서 사이버보안 위협에 노출될 수 있는 문제로 꼽는 부분이 바로 DCS의 윈도우 버전이다. 이게 무슨 말인가 하면, 마이크로소프트는 새로운 버전의 윈도우가 나오면 오래된 윈도우는 기술지원, 즉 패치를 중지한다. 패치는 새롭게 등장한 보안위협, 취약점 등을 막아주는데, 이러한 패치가 없다면 해당 윈도우는 보안위협과 취약점으로부터 무방비해진다. 마이크로소프트는 2021년 발표한 취약점 보고서에서 윈도우 10의 적용을 통해 2020년 발견된 치명적인 취약점 132건 중 70%를 완화할 수 있었다고 밝힌 적이 있다.
논문에 참여한 한국하니웰 김영세 상무(공학박사)는 “사실 IT 환경에서의 사용자들은 실시간으로 윈도우 패치를 실행하지만, OT 환경에서는 몇 년에 1번씩 하는 턴어라운드(Turn Around, 정비작업) 기간에만 이러한 패치가 가능하며, OS를 변경하는 것은 더욱 어려운 것이 사실”이라고 설명했다. 참고로 석유화학산업에서는 이러한 턴어라운드가 4년에 1번 정도 진행되며, 대략 6주 전후 기간 동안 이어진다.
DCS 시스템 77.5%는 단종된 윈도우 사용
실제로 산업제어 시스템이 윈도우 플랫폼으로 전환되면서 2010년 이후 보안 취약점이 늘어났고, 현재도 보안 취약점을 노리는 해커들의 침투가 이뤄지고 있다. 특히 산업제어 시스템에 침투할 수 있는 다양한 도구와 기술들이 개발돼 누구나 쉽게 침투를 시도할 수 있는 환경이 조성되면서 더 힘들어지고 있다.
그렇다면 공격이 성공하면 어떤 위험이 발생할까? OT 환경은 IT 환경과 달리 단순히 내부 정보를 암호화하거나 탈취하는 것보다 현장을 제어하지 못하는 것을 더 위험하게 생각한다. 대표적인 현상 중 하나가 ‘Loss of View’, 즉 감시 불능 상태다.
공정운전 화면이 갑자기 블랙아웃되는 현상으로 운전자들이 공황상태에 빠져들어 신속한 조치를 하지 못하게 되면 더 큰 문제로 확대될 가능성이 크다. 이러한 상황에서의 조치사항인 SOP(Standard Operating Procedure)가 준비되지 않았을 경우 비정상적인 셧다운(Shutdown)이 발생해 물리적인 피해는 물론 인적, 환경적인 피해도 입을 수 있다.
두 번째 문제는 이보다 더 심각할 수 있는 ‘Loss of Control’ 즉 제어 불능 상태다. 제어 불능 상태는 공정운전의 통제권을 상실한 상태를 말하며, 특히 운전자에게 보이는 화면은 정상적이지만 실제로는 공격자가 현장의 제어권을 뺏어가 마음대로 조작할 수 있는 점이 제일 심각하다.
그렇다면 실제 산업제어 시스템이 사용 중인 윈도우의 버전은 어떨까? 하니웰, 요꼬가와전기, 슈나이더 일렉트릭 3사가 참여한 ‘635개의 DCS 시스템의 스테이션과 서버의 버전 확인’ 결과 총 4,418대의 워크스테이션과 서버 중 현재 마이크로소프트가 서비스를 제공하는 버전으로 운영 중인 스테이션은 18.8%인 832대, 서버는 3.6%인 163대였다. 2008년 단종된 윈도우 XP를 사용하는 스테이션은 16.5%, 2020년 1월 단종된 윈도우 7을 사용하는 스테이션은 48.8%로 확인됐다. 즉, DCS 시스템 중 22.5%만이 현재 윈도우 버전으로 운영하고 있었고, 77.5%는 단종된 버전에서 운영 중인 것이다.
DCS를 중심으로 OT 보안에 대한 필요성 인식
실제 산업현장에서의 보안은 이러한 수준이다. 77.5%의 DCS가 단종된 윈도우를 사용하고 있는 것이 현실인 것이다. 때문에 아직도 OT 환경에서는 가장 기본적인 보안은커녕 자산 파악도 제대로 하지 못하는 경우가 많다. 워낙에 연결되는 장비가 다양한 데다 일방향 통신을 하는 장비도 많아서 현장에서 어떤 장비가 얼마나 있는지 확인하기도 쉽지 않다. 자산 파악이 안 되는 만큼 자산관리도 어렵다. 때문에 클래로티나 노조미 네트웍스 같은 OT 보안 전문기업들도 자산관리에 먼저 초점을 맞췄다.
DCS 기업들도 보안에 대한 니즈를 확인한 후 사이버 위협으로부터 OT 자산을 보호하기 위한 움직임에 나섰다. 이미 대부분의 DCS 메이커들이 관련 솔루션을 개발해 DCS에 접목하고 있으며, 미국 국립표준기술기구(NIST)가 제시한 사이버보안 프레임워크(CSF : Cyber Security Framework)의 단계별 다섯 가지 지침(식별, 보호, 탐지, 대응, 복구)에 따라 개발되고 있다.
첫째 보호해야 할 자산을 인식하고 실시간으로 자산의 상태를 인식하는 것. 둘째 자산을 사이버보안으로부터 보호하기 위한 보안위협 정보를 지속적해서 업데이트 받는 것. 셋째 사이버 공격이 감지됐을 때 이를 인지하고 알람을 알리는 것. 넷째 사이버 공격으로 침해 사고가 발생했다면 언제, 어느 경로를 통해 침투했는지를 식별하는 것. 다섯째는 피해를 신속하게 복구할 수 있는 백업 기능을 갖추는 것이다.
물론 DCS 기업들이 보안 솔루션을 만들어 제품에 적용한다 해도, 이미 구축된 사이트에 적용하는 것은 고객의 선택이기 때문에 이 역시 쉬운 일은 아니었다. 보안에 대해 알고 있는 사람들이 많지 않은 것은 물론 이를 담당할 부서와 담당자도 없기 때문에 이해시키는 것 자체가 어렵다는 설명이다.
하지만 현장에서도 보안위협에 대해서는 어느 정도 인식하고 있는 상황이다. 이미 앞서 설명한 것처럼 다양한 OT 환경에서 사이버보안 사고가 발생했기 때문이다. 게다가 사이버 공격으로 터빈 같은 장비가 갑자기 멈추면 수리나 교체까지 최대 1년까지 걸릴 수도 있고, 화재나 폭발도 발생할 수 있다는 점은 이미 충분히 파악하고 있다. 실제로 우리나라의 경우 노후화된 공장단지가 많고, 공장끼리 붙어있는 곳이 적지 않아 만에 하나 폭발이 발생하면 연쇄 폭발이나 연쇄 화재가 발생할 가능성도 있다는 것이 현장 관계자들의 설명이다.
OT, IT에서 바라보는 것과 괴리감 커... 현실 파악이 중요해
OT 분야에서 보안 활동을 하는 것은 사실 너무나도 어려운 일이다. 실제로 중소벤처기업부가 스마트제조혁신 지원사업을 하면서 스마트공장에 대한 활성화를 내세웠지만, 그 계획안에는 보안이 없었고, 스마트공장들 역시 제조 장비 설치나 자동화 등을 위한 소프트웨어 구입에만 집중할 뿐이었다. 기껏 해봐야 안티바이러스나 매체제어 솔루션을 설치하는 것이 전부였다.
물론 앞서 설명한 것처럼 이 두 가지 솔루션을 구축하는 것도 현장에서는 매우 큰 결단을 한 것이었다. 내외부에서 침투한 바이러스에 대응하기 위한 안티바이러스, 공장에서 업데이트나 패치를 할 때 대부분 사용하는 USB를 컨트롤하기 위한 매체제어 솔루션을 구축하는 것만으로도 현재 OT 환경에서는 대단한 노력을 한 셈이기 때문이다. OT 환경의 특성상 셧다운을 해야 업데이트나 패치가 가능한 데다, 여러 공장이나 기기를 갖춘 대형 사이트의 경우 일일이 스케줄을 맞춰서 해야 하기 때문에 이 업데이트를 하는 것도 큰 이벤트가 되기 때문이다.
즉, IT 업계에서는 아무것도 아닌 업데이트가 OT 업계에서는 몇 년 만에 큰맘을 먹고 진행하는 이벤트와 같다. 심지어 보안에 신경을 쓰는 대형 공장에서 이런 어려움이 더욱 크기 때문에 대기업들이 운영하는 공장도 큰 차이가 없다.
또 하나의 어려움 중 하나는 바로 네트워크 구조의 차이, 즉 프로토콜이 IT와 OT가 서로 다르다는 거다. 때문에 처음 보안기업들이 이상징후 탐지를 연구하다 장비들이 보내는 이상 신호를 프로토콜의 상이함 때문에 받지 못하는 경우가 있어 먼저 자산분석부터 시작했다는 말이 있을 정도다. 게다 IT에서는 IP만 있으면 장비 추적이 가능한데, OT는 그게 어렵다. 때문에 이상 신호를 통해 장비가 문제가 있는 것을 알아도 그게 어디에 있는 어떤 장비인지 몰라서 조치를 못 한다는 말이다. 물론 지금은 자산정보 분석을 통해 자산관리 시스템으로 발전하고 있고, 이를 바탕으로 취약점 정보 파악부터 대응까지 진행하고 있다.
하지만 앞서 설명한 것처럼 OT 환경에서도 보안은 이제 더 이상 미룰 수 없는 요소가 됐고, 각 산업별로 중요한 보안 사건·사고가 발생하면서 관련 기업을 중심으로 보안 강화를 위한 활동을 하고 있다. 아울러 DCS 등 OT 분야 장비를 제조하는 기업들도 자사 제품을 중심으로 보안 솔루션을 만들거나 보안기업과의 협업을 통해 보안을 강화하고 있다. 하니웰도 팔로알토나 포티넷과 같은 기업과 협업을 진행하고 있으며, 앤앤에스피는 정부 과제로 연구사업과 실증사업을 진행하면서 LS일렉트릭과 협업을 이어가고 있다. 좀 다른 이야기지만 안랩은 OT 보안 전문기업인 나온웍스를 인수해 OT 보안 연구에 집중하고 있다.
선박과 자동차, 빌딩 등 새로운 OT 환경도 집중
그렇다면 보안기업들은 OT 보안 시장을 어떻게 바라보고 있을까? 대부분의 기업들이 OT 보안 시장이 새로운 도전임에는 분명하지만, 쉬운 곳은 아니라고 보고 있다. 디지털 전환의 가속화와 함께 OT 보안에 대한 인식이 높아지면서 긍정적인 반응이 나오는 것은 분명하지만, 이를 실현하는 것은 다른 이야기라는 것이다. OT 산업은 기존 운영시스템의 가용성이 우선시되고, 이기종의 다양한 레거시 시스템에 대한 호환성을 함께 고려해야 하기 때문에 보안 솔루션 적용 과정은 큰 부담이 되기 때문이다. 휴네시온은 “OT 보안 솔루션이 보안 규제를 준수하면서도 운영자들의 부담을 최소화하는 것이 고객들의 핵심적인 니즈”라고 설명했다.
디행이 OT 보안에 대한 고객들의 관심은 지속적으로 증가하는 것으로 파악된다. 이미 OT 산업에서 다양한 보안 사고사례가 발생한 것도 이를 부추기고 있다. 실제로 2023년 IBM Security가 발표한 X-Force 위협 인텔리전스에 따르면, 최근 5년간(2018~2022) 글로벌 산업별 공격 비율 조사에서 제조업은 10%에서 25%로 뛰어올랐으며, 에너지 산업도 6%에서 11%로 증가했다. 반대로 도소매와 운송 산업은 2018년보다 2022년 비율이 크게 줄었다.
전통적인 OT 산업인 제조 및 국가기반시설 외에도 최근 떠오르는 선박과 자동차 분야에서도 보안은 논란이 되고 있다. 최근 선박 내 각종 시스템이 통합되고 디지털화됨에 따라 외부 사이버 위협도 커지고 있고, 이에 따라 국제선급협회(IACS)는 선박의 안전한 운행을 위해 시스템 중단이나 공격에 대한 복원력을 반드시 확보하도록 의무화하는 등 선박보안 관련 요구사항이 새롭게 대두되고 있다. 실제로 이글루코퍼레이션은 포스텍 고객사인 케이조선에 SPiDER OT for Maritime 솔루션을 공급하는 등 선박통합보안관리 솔루션 사업 확장에 매진하고 있다.
스마트화되는 도시와 빌딩도 떠오르고 있다, BMS(Building Management System)도 ICS로 운영되기 때문이다. 공조제어부터 출입통제, IP 기반 CCTV와 구내방송이 네트워크로 연결돼 있으며, 화재나 엘리베이터도 마찬가지다. 한드림넷은 이렇게 스마트 빌딩과 첨단화된 다세대 주택의 내부 설비 보호를 위한 보안 방안을 준비하고 있다.
한편, 전통적인 보안이 아닌 인증 솔루션을 OT에 도입해 보안을 강화하겠다는 접근도 있었다. 특히 IT와 달리 OT는 네트워크 시스템이 제대로 갖춰져 있지 않은 곳이 많아 쉽지 않았다는 것. 일부 PLC 사용 기업들이 다중인증(MFA) 시스템을 도입하려고 했지만 새로운 인증 기술 적용을 위해 소프트웨어는 물론 하드웨어 및 인프라까지 대거 변경해야 하는 탓에 중단한 사례가 많았다고 한다.
OT는 비밀번호 인증을 기반으로 액세스를 허용하기 때문에 내부에서 문제가 발생할 수 있는 가능성이 높은 만큼 다중인증 시스템을 제대로 도입하기만 해도 보안을 강화할 수 있다고 다중인증 기업들은 말한다.
이와 관련 센스톤은 “대부분의 PLC는 최종 사용자가 선택하기 보다는 자동화 공정 설비를 구축하는 SI에 의해 각종 제어장치가 납품되는 과정에서 결정된다”면서, “때문에 서로 다른 보안기술이 적용된 여러 제조사의 제품을 동시에 사용하고 있으며, 이로 인해 고객사가 PLC를 포함한 다양한 자동화 장치의 접속 인증 관련 솔루션을 지정해 요청하기는 현실적으로 어렵다”고 지적한다.
다만 글로벌 사업을 진행하는 기업들에 따르면 글로벌 시장과 한국 시장의 OT 보안에 대한 니즈는 좀 다른 편이다. 글로벌 국가나 기업은 IT 보안과 OT 보안의 통합 관리에 중점을 두고 있는 반면, 한국 기업들은 아직 이에 대한 인식이 낮은 편이며, OT 보안 솔루션 도입 자체보다는 OT 보안 운영에 대한 전반적인 통찰력을 요구한다는 것이다.
노조미 네트웍스는 “한국은 OT 보안의 전체적인 운영 프로세스, OT 보안 관제 조직 구성, 관리 절차 등에 대한 문의가 많은 편”이라고 평가하면서, “다만 글로벌 추세는 IT와 OT를 구분은 하되, 관리 및 관제는 통합해서 운영하는 것”이라고 말했다.
이와 함께 공통적으로 지적하는 것이 바로 OT 보안 전문가의 부재다. OT 보안의 운영 프로세스를 정확하게 이해하고 있는 전문가나 담당자가 절대적으로 부족하며, 그에 따른 통합적인 관리체계에 대한 이해가 떨어진다는 거다. 반대로 IT 보안 기업들은 OT에 대한 이해가 부족하기 때문에 그 차이를 이해하고 고객의 니즈에 정확하게 대응하는 것이 아쉽다는 관계자들이 많았다.
국내외 대표 OT 보안 솔루션
그렇다면 국내와 해외의 대표적인 OT 보안 솔루션들은 어떤 것들이 있을지 알아보자.
포티넷은 산업 및 중요 인프라 부문을 위한 선두의 IT/OT 사이버보안 솔루션 제공업체로, 모든 산업 분야에서 대규모의 고객 기반과 강력한 커버리지를 보유하고 있다. OT 비즈니스는 OT 전용 제품, 인력, 영업 및 마케팅 운영에 대한 투자 증가로 인해 시장 평균 성장률을 상회하며 견고하게 성장해왔다. 포티넷 ‘OT 인지 통합 보안 패브릭(OT-Aware Security Fabric)’은 보안 네트워킹, 제로-트러스트 액세스, 보안 운영을 지원하는 광범위한 보안 제품으로 구성돼 있으며, OT에 특화된 포티가드 서비스, 3,000개 이상의 OT 애플리케이션 시그니처, 600개의 OT 위협 시그니처 등의 보안 서비스를 통해 지원되고 있다. 포티넷의 네이티브 제품들은 무료 솔루션을 제공하는 테크-얼라이언스 에코시스템 파트너와 함께 대부분의 OT 사이버보안 사용 사례를 강력하게 해결한다.
휴네시온은 국내 망연계 시장 1위 기업으로 OT 보안 환경에 적합한 망연계 솔루션을 보유하고 있다. 아이원넷 디디(i-oneNet DD)는 물리적 일방향 통신 요건을 만족시키면서 해킹, 데이터 유출 등 보안사고로부터 OT 망을 보호할 수 있는 기술을 적용한 솔루션이다. OT 망에서 IT 망으로 데이터를 일방향 전송하며, IT 망에서 OT 망으로의 접근은 물리적으로 원천 차단해 OT 망(제어망) 데이터를 안전하게 활용할 수 있다. 발전소 발전제어 시스템, 지자체 지능형 교통체계(ITS), SCADA 연계, 수도 통합운영 시스템, 상수도 사업소 등 국가 공공분야 정보통신기반시설부터 국방, 방산, 국가 핵심기술기업, 첨단전략 산업공장까지 다양한 영역의 레퍼런스를 보유하고 있다.
안랩의 OT 보안 프레임워크는 안전한 OT 환경 구축을 위한 보안 솔루션과 서비스를 엔드포인트와 네트워크, 그리고 OT 전문 분야가 결합된 ‘통합 프레임워크’ 관점으로 제공된다. 안랩 OT 보안 솔루션(프레임워크)의 차별점은 제품 간 시너지와 위협 탐지/대응 능력이라고 할 수 있다. 제품 간 시너지 측면에서 먼저 뛰어난 가시성을 제공한다. 엔드포인트에서 수집된 상세한 자산정보와 네트워크에서 수집한 다양한 정보를 결합해 폭넓고 깊은 자산 가시성 정보를 제공할 수 있다. 또한, 안랩의 축적된 악성코드 탐지역량이 반영된 자체 안티바이러스 검사/치료 엔진을 탑재해 OT 망 내부의 다양한 보안 위협을 탐지하고, 대응할 수 있다.
나온웍스의 OT 보안 솔루션 ‘세레브로-XTD(CEREBRO-XTD)’는 OT 망 통합 가시성을 제공하며, 보안 위협 및 이상 행위를 실시간으로 탐지한다. 나온웍스가 2021년 안랩의 OT 보안 자회사로 성장한 이래로 양사의 특화 기술력을 결합해 공동 개발한 OT 특화 보안 솔루션이다. 안랩이 보유하고 있는 수백만 이상의 탐지 패턴과 고도화된 진단 기법으로 신변종 악성코드에 대한 정밀 검사를 수행, 악성코드의 침투 및 내부 전파를 탐지한다. 나온웍스의 ICS(산업제어시스템) 프로토콜 DPI(Deep Packet Inspection) 기술을 기반으로 제어 명령 밸류(Value)에 대한 이상 행위를 분석해, 제어시스템 타깃 공격과 휴먼 에러로 인한 오작동 등 설비 안정성과 가용성을 저해하는 위협들을 탐지한다.
산업 사이버보안을 선도하는 글로벌 CPS(가상물리 시스템) 보안기업 클래로티(Claroty)는 산업 분야의 첨단 기업들을 위해 사이버 및 운영 탄력성을 지원하는 새로운 클라우드 기반 산업용 보안 플랫폼인 클래로티 엑스돔(Claroty xDome)을 선보였다. 클래로티 엑스돔은 특히 XIoT(Extended Internet of Things) 전반에 걸쳐 빠르게 확장하는 전체 가상물리 시스템의 보안 여정에 필수적인 가시성, 보호 및 모니터링 제어의 범위나 깊이를 손상하지 않으면서도 SaaS의 용이성과 확장성을 제공하는 업계 최초의 솔루션이다. 클래로티 엑스돔은 운영을 뒷받침하는 가상물리 시스템의 유형이나 현재의 성숙도 또는 네트워크 아키텍처에 상관없이 모든 조직의 완벽한 CPS 보안 여정을 지원한다.
앤앤에스피는 20년 이상의 기술과 노하우를 집약한 ‘앤넷 CPS 프로텍션 플랫폼’은 주요 크리티컬 인프라는 물론 기업까지 OT 망과 IT 망에 신뢰도 높은 연결을 지원한다. 가트너가 OT와 미션 크리티컬 환경의 자산 식별과 보호 기술을 집약한 CPS 보호 플랫폼이 주요 시장 카테고리가 됐다고 설명하면서 CPS 보안 플랫폼의 필요성을 강조했다. CPS는 디지털로 관리하지만 실제 물리 세계와 상호작용하는 시스템이다. 앤앤에스피의 ‘앤넷 CPS 프로텍션 플랫폼’ 솔루션은 △일방향 망연계 솔루션 ‘앤넷다이오드’ △소프트웨어 공급망 보안 솔루션 ‘앤넷트러스트’ △양방향 망간자료전송 솔루션 ‘앤넷CDS’ △OT 자산 가시화와 위협 모니터링 솔루션 ‘앤넷NDR’ 등의 제품군을 갖추고 있다.
이글루코퍼레이션은 2024년부터 의무 적용되는 국제선급협회(IACS)의 선박 사이버 복원력 향상을 위한 공통규칙 UR E26과 UR E27을 충족하면서, 선박·항만·조선소에서 직관적으로 활용할 수 있는 보안관리 솔루션 ‘스파이더 오티 포 마리타임(SPiDER OT for Maritime)’을 개발했다. SPiDER OT for Maritime은 이글루코퍼레이션이 20년 이상 축적한 이기종 보안 이벤트 통합 분석 기술을 토대로 선박 환경에 최적화된 보안 기능을 제공한다. 선박 네트워크 중 비정상 행위에 대한 지표를 수립하고, 이를 토대로 판단한 사이버 위협 정보와 대응 가이드라인을 제공한다. SPiDER OT for Maritime은 선박 네트워크와 보안 정책에 대한 철저한 분석을 기반으로 선박에 특화된 보안성과 안정성, 사용자 편의성을 보장한다.
노조미 네트웍스는 다섯 가지 플랫폼을 선보였다. 첫 번째, Nozomi Vantage는 SaaS의 파워와 간편성을 활용해 OT, IoT, IT 네트워크 전반에 걸쳐 독보적인 보안과 가시성을 제공하는 Cloud 솔루션이다. 두 번째, Nozomi Guardian은 네트워크에서 통신하는 새로운 자산을 식별하고 시각화해 제공한다. 세 번째, Nozomi Arc 엔드포인트 센서는 엔드포인트에 대한 향상된 데이터 수집 및 자산 가시성을 제공한다. 네 번째, Nozomi Central Management Console은 분산된 환경의 여러 Guardian 센서를 중앙에서 통합 관리하는 콘솔이다. 다섯 번째, Nozomi Guardian Air는 Bluetooth와 Wi-Fi뿐만 아니라 여러 주요 무선 주파수를 모니터링해 보안팀이 연결된 센서, 디바이스, 노트북, 휴대폰을 즉시 파악할 수 있도록 한다.
카스퍼스키의 산업 보안 제품인 KICS는 노드용 제품인 ‘KICS for Nodes’와 네트워크용 제품인 ‘KICS for Networks’ 두 가지 구성 요소로 구성돼 있으며, 산업 환경 보호를 위해 서로 긴밀하게 작동한다. 카스퍼스키는 기존의 엔드포인트 기술력과 공격에 대한 대응 방법론 등의 노하우를 통해 산업망에 특화된 엔드포인트인 KICS for Nodes를 제공하며, 무중단 생산망 네트워크 모니터링을 위한 KICS for Networks 두 가지를 구성해 내부의 1,000여명의 R&D 인력을 통해 산업망 보안시장을 선도하기 위해 최선을 다하고 있다. 해외 대형 레퍼런스 외에도 국내에선 반도체, 연구소, 공사 등의 레퍼런스를 구축해 나아가고 있다.
한드림넷 화이트리스트 보안스위치 SG5026GX시리즈는 제로 트러스트 전략 기반의 화이트리스트 보안기술을 적용해, 내부 사용자 또는 단말의 권한에 따라 통신 경로를 제한하고, 허용된 경로 외 모든 통신을 차단해 보안 위협을 예방할 수 있다. 또한, 허가받은 사용자라도 권한과 목적에 따라 ‘안전’이 증명된 것만을 허용해, 폐쇄망, 산업제어 설비망, 보안망 등에 활용될 수 있어, 점차 고도화, 지능화되는 보안 위협에 효율적으로 대처할 수 있는 방안을 제공한다. 또한, 원격지 네트워크에도 동일한 보안 정책 적용이 가능해, 단말의 이동, 부서 변경 등 다양한 환경 변화에도 통합 보안 정책을 유지할 수 있다.
▲OT 보안 인식 및 선택기준에 대한 설문조사[자료=보안뉴스]
OT 보안 인식 및 선택기준에 대한 설문조사
그렇다면 실제 OT 담당자들은 OT 보안 솔루션에 대해 얼마나 인식하고 있으며, 선택기준은 어떻게 잡고 있을까? 보안뉴스는 자매지인 산업 전문 뉴스 미디어 ‘인더스트리뉴스’ 구독자 중 OT 산업 담당자를 대상으로 ‘OT 보안 인식 및 선택기준에 대한 설문조사’를 진행했다.
이번 설문조사에는 OT 산업 담당자 750명(민간 89.3%, 공공 10.7%)이 응답했다. 우선 OT 산업 담당자들은 OT 내부 시스템을 어떻게 관리하느냐는 물음에 28.0%가 IT 정보보안 담당 부서가 맡고 있다고 답했으며, 24.0%는 IT 담당 인력이 IT 보안과 OT 보안을 함께 맡고 있다고 답했다. 심각한 것은 21.3%가 인력 및 예산 부족으로 관리하지 않는다고 답변한 것이다. 또한 생산 또는 시설관리부서에서 전담한다는 답변이 10.7%, 외부 전문기업에 맡겨 운영·관리한다는 답변이 9.3%였다. OT 보안 전담부서에서 관리하고 있다는 답변은 겨우 4.0%였다.
이어 OT 현장 설비에 최신 OS 등 패치 업데이트를 하느냐는 물음에는 38.7%가 일부만 적용해 운영한다고 답했으며, 25.3%는 그렇다고 답해 생각보다는 패치 업데이트가 잘 이뤄지는 것으로 보였다. 다만 24.0%는 설비 운영이 우선이므로 업데이트를 잘 하지 않는다고 답했으며, 12.0%는 공정상 설비를 멈출 수 없어 하지 않는다고 답해 답변자의 1/3은 업데이트를 잘 하지 않는 것으로 조사됐다.
그렇다면, 이들은 사이버 공격에 당한 적이 있을까? 이에 대해 응답자의 73.3%는 없다고 답했으며, 26.7%는 있다고 답했다. 아울러 어떤 피해를 입었는지 묻자 랜섬웨어 10.7%, 공장설비 일부 가동 중단 6.7%, 주요 정보 유출 2.7% 순으로 답했다. 가장 많은 79.9%는 피해가 없었다고 답했다.
응답자들은 OT 보안사고의 원인으로 외부 원격망 침투를 통한 악성코드 감염을 34.7%로 꼽았다. 이어 감염된 노트북과 USB 등 외부 장비 연결 17.3%, 노후 시스템 및 공급망 취약성 14.7%, 관리자의 조작 실수 14.7% 등으로 분석했다. 마지막으로 OT 보안 솔루션을 사용하느냐는 질문에 34.7%는 필요성에 공감하지만, 단기간 내 도입 계획이 없다고 답했다. 아울러 30.7%는 도입을 검토 중이라고 답해, 전체 응답자의 65.4%는 OT 보안 솔루션의 필요성을 느끼고 도입에 대한 고민을 하는 것으로 조사됐다.
이처럼 OT 보안에 대한 필요성은 업계 관계자 대부분 인식하고 있었다. 다만 아직까지 적극적으로 도입하기까지는 결단이 모자란 것으로 보인다. 주로 알려졌던 OT 환경에서의 사이버 사건들도 대부분 외국 사례였고, 한국에서 발생한 사건들은 잘 알려지지 않은 것도 원인으로 분석된다. 다행인 것은 앞서 설명했던 것처럼 DCS 등 OT 내부에서부터 보안의 중요성을 인식하고 관련 솔루션 개발에 나선 점이나 2021년 KISA에서 나온 개정 ‘주요 정보통신기반시설 취약점 분석·평가 기준’으로 주요 정보통신기반 시설의 사이버 공격에 대한 대응능력을 강화하려는 움직임이 보인다는 점이다.
특히 업계에서는 OT 보안을 강화하기 위해서 반드시 정부 차원의 보안강화를 위한 법안이나 강제성 있는 기준 등이 나와야 한다고 말하고 있는데, 지난 2월 1일 발표된 ‘국가사이버안보전략’을 살펴보면 ‘국가 핵심인프라 사이버 복원력 강화’를 강조하면서 ‘국가안보를 위협하는 고도화된 사이버 공격을 방어하기 위해 기반시설 제어 시스템의 위협 탐지 체계를 구축한다’고 밝힌 만큼 후속 대처를 기대하고 있다.
OT는 IT와 달리 외부의 침해를 받았을 때 단순한 재산적 피해를 넘어 생명의 피해까지 입을 수 있는 만큼, 최소한의 보안을 위한 노력이 필요하다. 이제 OT 보안의 중요성과 필요성을 대부분 인식하고 있는 이때 정부와 기업이 함께 OT 보안 강화를 위해 협력하는 자세가 필요하다.
=================================================================
▲강력한 포티넷 OT 보안 플랫폼[자료=포티넷]
[OT 보안 솔루션 집중분석-1]
IT/OT 환경이 함께 운영될 수 있도록 지원하는 ‘OT 인지 통합 보안 패브릭’
포티넷, ‘2023 IT/OT 사이버보안 플랫폼 단독 리더’
포티넷은 OT 보안 산업 분석 및 전략 전문기업인 웨스트랜즈 어드바이저리(Westlands Advisory)가 발표한 ‘2023 IT/OT 사이버보안 플랫폼 내비게이터’에서 단독 리더로 선정되어 OT 솔루션의 우수성을 입증받은 바 있다. IT/OT 사이버보안 플랫폼 시장은 두 종류의 공급업체로 구성되어 있다. 하나는 가시성 및 위협 관리를 제공하는 공급업체이고, 다른 하나는 강력한 네트워크 보안 제품 포트폴리오를 가진 공급업체이다. 포티넷은 가시성 및 위협 관리와 네트워크 보안 솔루션을 동시에 제공하고, OT 시장을 선도하는 사이버보안 플랫폼 리딩업체이다.
포티넷 OT 인지 통합 보안 패브릭
포티넷은 위협 인텔리전스 및 간소화된 관리를 통해 여러 기술이 IT/OT 환경에서 함께 운영될 수 있도록 지원하는 ‘OT 인지 통합 보안 패브릭(OT-Aware Security Fabric)’을 제공하고 있다. OT 사이버보안 플랫폼은 포티넷 보안 패브릭의 일부로서, 고객들이 전체 환경에 대한 심층적인 가시성을 확보하고, IT/OT를 안전하게 융합할 수 있도록 지원한다. 또한, OT 사이버보안 플랫폼을 통해 기업들은 OT 환경 내에서 제로-트러스트 모델을 구현할 수 있어 원격 근무자들을 위한 OT 자산 및 시스템에 대한 안전한 원격 액세스를 제공할 수 있다.
센서에서 클라우드까지 전체 Purdue 모델 전반에서
OT 보호를 위한 모든 솔루션과 서비스를 제공하고 있으며, 자산과 네트워크 가시성 확보, 망 분리, 제로트러스트 액세스를 위한 인증과 권한관리, 위협 탐지와 방어 기술, SOC·NOC 보안운영 간소화 기능을 지원하고 있다. 사이버보안 제품, 솔루션, 보안 서비스로 구성된 이 포트폴리오는 산업 네트워크를 위해 특별히 설계되었으며, 포티넷 통합 보안 패브릭의 기능을 공장, 플랜트, 기반시설, 선박 및 기타 OT 환경의 OT 네트워크로 확장한다.
제조업을 위한 포티넷의 보안 솔루션
제조업체들은 운영 효율성, 운영 연속성, 제품 무결성, 규정 준수와 같은 비즈니스 필수 요건을 유지하면서 시스템을 보호하기 위해 노력하고 있다. 포티넷 보안 패브릭은 모든 제조업의 비즈니스 측면을 포괄하는 광범위하고 자동화된 통합 보안 아키텍처를 제공한다. 포티넷 보안 패브릭은 백 오피스에서 제조 현장까지, 에어 갭 시스템에서 커넥티드 시스템까지, 내부 사용자에서 타사 파트너 연동까지 모든 것을 포괄해 보호한다.
포티넷 솔루션의 차별화된 강점
제조업체들은 포티넷 솔루션을 통해 다양한 OT/IT 네트워크 전반에서 조직을 보호할 수 있다. 제조업체용 포티넷 솔루션은 다음과 같이 차별화된 강점을 제공한다.
- 통합 : 포티넷은 IT/OT, 사이버 및 물리적 보안, 공장 및 본사, 데이터 센터, 멀티 클라우드를 아우르는 엔드-투-엔드 통합된 사이버 보안 아키텍처를 제공한다.
- 모니터링 및 관리 : 포티넷은 제조업체들이 단일 창을 통해 네트워킹, 사이버 보안, 감시 기능을 단일 시스템으로 통합하고 완벽한 가시성과 제어를 확보할 수 있도록 지원한다.
- 러기드 하드웨어 : 포티넷은 모든 환경적 요구사항에 적합하고 비즈니스 연속성을 지원하는 다양한 러기드 어플라이언스를 제공하고 있다.
- 내부자 위협에 대한 선제적 보호 : 포티넷은 내부자 위협 방어를 위해서 인텐트 기반(intent based) 망 분리, 디셉션 기술, UEBA 등의 포괄적인 솔루션을 제공한다.
- OT에 특화된 위협 인텔리전스 : 포티넷 보안 연구소인 ‘포티가드랩(FortiGuard Labs)’은 제조업체들이 더 나은 전략적 결정을 내릴 수 있도록 OT 시스템에 특화된 강력한 위협 인텔리전스를 제공한다.
- 보안 패브릭 에코시스템 : 포티넷 보안 툴의 다양한 포트폴리오 외에도, 포티넷 보안 패브릭 파트너 에코시스템을 통해 특정 OT 솔루션을 포티넷 보안 패브릭에 원활하게 통합할 수 있다.
- IT/OT 및 물리적 보안 : 포티넷 보안 패브릭은 광범위한 가시성과 통합 제어를 통해 IT, OT, 물리적 보안을 위한 최적의 통합 플랫폼을 제공한다.
▲휴네시온 아이원넷 디디(i-oneNet DD)[자료=휴네시온]
[OT 보안 솔루션 집중분석-2]
제어망 보호와 안전한 데이터 전송이 가능한 일방향 망연계로 OT 보안 강화
휴네시온, OT 망 연계 특화 솔루션 ‘i-oneNet DD’로 OT 보안 위협 대응
9년 연속 국내 망연계 시장 1위를 차지하고 있는 휴네시온은 망연계 선도기업으로 OT 산업 현장에서 생산 시설과 운영 환경에 대한 보안위협에 대응할 수 있는 OT 보안 특화 솔루션으로 일방향 망연계 솔루션 아이원넷 디디(i-oneNet DD)를 제시하고 있다.
물리적 매체를 통한 일방향 데이터 전송으로 제어시스템 접근을 원천 차단하는 ‘i-oneNet DD’
i-oneNet DD는 물리적 매체를 적용한 일방향 망연계(망간자료 전송) 솔루션으로 보안수준이 높은 제어망으로의 접근을 원천 차단하면서 보안수준이 낮은 망으로 데이터를 전송하고자 할 때 연동지점에 위치해 데이터를 안전하게 전송한다.
△전용프로토콜 및 국정원 검증필 암호모듈 적용한 암호화 통신 △OSI 7계층 전체 프로토콜 스택에 대해 일방향 기술 적용으로 보안위협 원천차단 △웹UI로 편리한 설치/삭제/업데이트 및 유지보수 지원이 가능한 앱방식 아키텍처 △이기종 프로토콜 및 데이터 연계 △고속 로그조회를 지원해 탁월한 호환성과 유연함을 제공한다. 가상화 환경을 지원해 클라우드, VM 환경에서도 SW 일방향 시스템 구축이 가능하다.
i-oneNet DD는 OT와 IT가 융합된 환경에서 일방향 TCP, UDP, 이기종 DBMS, 파일데이터, CCTV 동영상은 물론 IEC 61850, OPC, Modbus 등 산업용 프로토콜까지 다양한 프로토콜 연계를 지원하여, 발전소 발전제어시스템, 지능형 교통체계(ITS), SCADA 연계, 수도 통합운영 시스템, 상수도 사업소 등 국가공공분야 정보통신기반시설부터 국방, 방산, 국가핵심기술기업, 첨단전략산업공장까지 다양한 산업의 레퍼런스를 보유하고 있다.
OT 보안 전문기업 오투원즈, AI 보안관제기업 시큐어시스템즈와 OT 보안 토탈 프레임워크 제공
최근 휴네시온은 i-oneNet DD 제품의 성장 가능성을 인정받아 2024년 신SW상품대상 과기부 장관상을 수상했다. 휴네시온은 자회사 오투원즈, 시큐어시스템즈와 함께 OT 운영환경 전반에 보안 체계 구축을 목표로 하고 있다. 오투원즈의 제어망용 원격접근제어(RAS) 솔루션과 제어망 가시화·위협관리를 위한 OT 가시성 솔루션, 시큐어시스템즈의 OT환경 보안관제가 가능한 SOAR 솔루션 시큐어오케스트라를 비롯해 휴네시온의 망연계 솔루션을 포함하는 OT 보안 토탈 프레임워크를 제공할 계획이다.
▲AhnLab EPS[자료=안랩]
[OT 보안 솔루션 집중분석-3]
나온웍스와 함께 OT 엔드포인트와 네트워크를 아우르는 통합 OT 보안 제공
안랩, AhnLab EPS를 중심으로 통합 OT 보안 프레임워크 구축
디지털화가 빠르게 진행되고 IT 영역과의 접점이 늘어나면서 OT 환경을 노리는 공격이 증가하고 있고, 피해 규모 역시 커지고 있는 상황이다. 특히, OT 환경은 설비를 10년 혹은 그 이상 운영하고 노후화된 운영체제를 사용하는 경우가 많으며, 패치가 미흡해 취약점이 다수 존재한다. 사이버 공격으로 인한 피해가 쉽게 확산될 수 있는 이유이기도 하다.
OT 엔드포인트 보안을 위한 최적의 솔루션 ‘AhnLab EPS’
AhnLab EPS는 안랩의 대표적인 OT 엔드포인트 보안 솔루션으로, 국내외 반도체, 디스플레이, 자동차 등 다양한 제조 생산 공장에서 사용되고 있다. AhnLab EPS는 변화가 적은 ICS 설비 특성에 최적화된 어플리케이션 및 매체 제어와 초경량 에이전트(AhnLab EPS Agent)를 통해서 보안 위협을 최소화하고 안정적인 설비의 운용을 지원한다. 각 설비에서 사용하는 어플리케이션과 매체에 대한 유연한 관리를 통해서 관리자의 리소스 부담을 줄일 수 있으며, 허용된 목록 이외의 미등록 프로세스와 이동식 매체를 제어함으로써 보안 패치가 어려운 설비의 신·변종 및 Unknown 위협에 대한 원천적인 차단을 제공한다. 또한, 웹 기반의 중앙 관리 서버(AhnLab EPS Server)를 통해서 각 에이전트에 대한 효율적인 정책 관리와 모니터링을 지원하는 것이 특징이다.
나온웍스와 함께 ‘통합 OT 보안 프레임워크’ 고도화
안랩은 지난 2021년 7월, 통합 OT 보안 수요 확대에 대응하기 위해 산업제어 프로토콜 융합 보안 솔루션 전문기업 나온웍스를 인수했다. 기존 탁월한 IT 보안 역량을 갖춘 안랩은 나온웍스를 인수함으로써 자사의 보안위협 탐지 & 대응 및 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합해 통합 OT 보안 프레임워크를 구축했다.
안랩은 엔드포인트와 네트워크 영역에서 OT 환경을 보호하는 다양한 솔루션, 나온웍스는 산업용 프로토콜 표준화 및 분석과 물리적 단방향 데이터 전송 솔루션을 갖추고 있다. 양사는 공동 개발을 바탕으로 상호 간 기술력을 집약하여 통합 OT 보안에 깊이를 더하고 있다.
▲OT 가시성 및 위협 탐지 모니터링 솔루션 CEREBRO-XTD[자료=나온웍스]
[OT 보안 솔루션 집중분석-4]
통합 OT 가시성, 고도화된 위협 탐지와 엔드포인트 연계로 OT 보안 강화
OT 가시성 및 위협 탐지 모니터링 솔루션, 나온웍스 CEREBRO-XTD
OT와 IT가 점점 더 밀접하게 연결되고 AI 및 클라우드 컴퓨팅 등 첨단 기술이 시스템에 접목되면서 OT 환경을 대상으로 하는 보안 위협이 증가하고 있다. 이전보다 더욱 복잡해진 OT 환경에서 안정적인 비즈니스를 운영하려면 위협을 효과적으로 관리하고 대응할 수 있는 모니터링 시스템이 필요하다.
OT 보안 기업 나온웍스는 OT 환경에 최적화된 위협 탐지 및 가시성 모니터링 솔루션 CEREBRO-XTD(세레브로-XTD)를 통해 보안 위협으로부터 자산을 보호하고 가용성을 확보하는 방안을 제공한다.
통합 가시성, 위협 및 이상 징후 실시간 탐지까지, OT/ICS 특화 보안 솔루션
CEREBRO-XTD는 트래픽 분석을 통해 자산 정보를 수집하며, 실시간으로 탐지 자산에 대한 통합 가시성과 상세 정보를 제공한다. 사용자는 자산별로 상세 정보와 함께 탐지 이벤트 히스토리, 머신 러닝 기반의 제어 명령 분석 정보, 자산별 태그 등록 목록 등을 쉽게 확인할 수 있다.
또한, 산업제어 시스템(ICS) 프로토콜에 대한 심층패킷분석(DPI)과 추이 분석을 통해 자산별 프로세스 가시성까지 제공한다. CEREBRO-XTD의 또다른 강점은 다양한 보안 위협과 프로토콜 심층 분석 기반 이상 징후 탐지에 있다. 수백만 건 이상의 탐지 패턴과 고도화된 진단 기술을 보유한 안랩 안티바이러스 엔진과 보안 위협 탐지 패턴이 적용되어 악성코드, 취약점, 스캔 등 유해 트래픽을 탐지한다. ICS 프로토콜 상세 분석과 머신 러닝 기반의 제어 로직 분석을 통해 제어 설비의 설정을 변조하려는 공격이나 사용자 오류를 파악할 수 있다. 탐지된 위협은 이슈 트랙(Issue Track) 기능을 활용하여 그 근원지 및 전파 경로를 추적할 수 있다.
엔드포인트-네트워크 연계 보안으로 빈틈없는 OT 보안 구축
OT를 대상으로 하는 공격은 네트워크부터 엔드포인트까지 그 범위를 확대하고 있다. 이에 나온웍스는 안랩과 함께 보안 위협 탐지 전문성과 OT 기술력을 결합한 ‘통합 OT 보안 프레임워크’를 구축, 양사의 솔루션 간 유연한 연동으로 엔드포인트부터 네트워크까지 아우르는 빈틈없는 OT 보안을 제공하고 있다.
CEREBRO-XTD와 안랩의 엔드포인트 보안 솔루션 AhnLab EPS 간 연동을 통한 엔드포인트 자산 상세 정보 제공, AhnLab Xcanner 연동 기반의 악성코드 원격 검사 등 차별화된 기능을 제공하여 OT 보안 수요에 대응하고 있다.
▲클래로티 위험 평가 프레임워크[자료=클래로티]
[OT 보안 솔루션 집중분석-5]
클래로티, 전반적인 자산 리스크를 기반으로 완화 지침을 더욱 최적화
사이버 물리 시스템(CPS)을 위한 새로운 취약성 우선순위 평가 및 위험 관리 기능 살펴보기
모든 사이버 보안 프로그램의 목표는 위험을 줄이는 것이지만, 사이버 물리 시스템(CPS)에 대한 영향이 국가 보안, 경제 보안 및 공공 안전에 실제로 영향을 미칠 수 있는 자산 집약적 조직에서는 위험이 더 높다. 주요 인프라 자산 소유자 및 운영자에게 과제를 극복할 수 있는 보다 효과적인 기능을 제공하는 것이 바로 클래로티의 SaaS 기반 xDome 및 Medigate 플랫폼의 VRM(취약성 및 위험 관리) 모듈에 대한 최신 개선 사항의 이유가 되었다.
업계에서 가장 세부적이고 유연한 CPS 위험 평가 프레임워크 제공
우리의 새로운 위험 프레임워크는 위험을 증가시킬 수 있는 광범위한 요인과 위험을 상쇄할 수 있는 보완 통제(Compensating Control)를 설명하기 때문에 그 어느 때보다 정확하다. 이러한 기능은 기본적으로 사전 구성되어 제공되기 때문에 이제 막 CPS 보안을 시작한 고객이라도 CPS 위험 상태를 즉시 평가하고 개선하기 위한 조치를 자신 있게 취할 수 있다. 또한 이 위험 평가 프레임워크는 이전보다 훨씬 더 유연하고 사용자 정의가 가능하다. 이제 고객은 CPS 위험 점수에 다양한 요소의 가중치를 적용하는 방식을 더욱 맞춤화할 수 있으므로 CPS 보안 여정을 더욱 진행하고, CPS 위험 계산을 기존 GRC 프로세스와 보다 긴밀하게 조정하고, CPS 위험 평가에서 요소가 가중되는 방식을 보다 잘 제어하고자 하는 고객에게 특히 적합하다.
클래로티의 새롭게 향상된 VRM 솔루션은 CISO와 팀이 다음을 통해 CPS 환경에 영향을 미치는 취약점의 우선순위를 효과적이고 효율적으로 지정할 수 있도록 더욱 강화한다.
악용 가능성에 따라 취약점 우선순위를 자동으로 지정
클래로티의 VRM 제품은 CISA(미국 사이버보안 및 인프라 보안국)의 KEV(공격에 활용된 것으로 보고된 취약성) 카탈로그 및 EPSS(예측 점수제 활용)의 최신 현재 및 예측 악용 가능성 지표를 기반으로 모든 취약점을 강화하고 우선 순위 그룹에 할당하는 업계 최초의 솔루션이다. KEV 카탈로그는 실제로 악용된 모든 취약점을 추적함으로써 이미 무기화되고 있는 취약점에 대한 귀중한 통찰력을 제공한다. 한편 EPSS는 데이터 과학 모델을 사용하여 향후 30일 이내에 어떤 취약점이 악용될 가능성이 있는지 추정한다.
두 데이터베이스의 최신 데이터를 결합하면 고객이 자신의 환경에 가장 큰 위험을 초래하는 취약성의 현재 상태 및 발생 가능성이 있는 초기 상태를 완벽하게 파악할 수 있다. 그 결과 고객은 취약점 위협 요소가 악용될 가능성이 가장 높은 우선 순위를 평균 11배 더 효과적으로 지정할 수 있다.
클래로티의 CPS 보안
클래로티의 위험 평가 프레임워크는 각 고객 CPS의 고유한 보안 및 비즈니스 상황을 반영하도록 사전 구성되어 있으며, 완전히 사용자 정의가 가능하여 기존 GRC 프로세스 또는 위험 정의와 원활하게 조정할 수 있다. CISO와 CPS 사이버 위험을 관리하는 데 있어 새로운 과제가 계속 발생하고 있기 때문에, 클래로티는 CPS의 문제점을 완화할 수 있도록 지원한다. 최근의 VRM 개선 사항은 무엇보다도 고객이 CPS 위험 상황를 이해하고, 이를 개선하기 위해 기존 리소스를 더 잘 할당해, CPS 보안 여정을 가속화하는 것을 목표로 하고 있다.
▲nNet CPS 보호 플랫폼[자료=앤앤에스피]
[OT 보안 솔루션 집중분석-6]
OT 자산 정보의 수집 및 전송에서 공급망 보안까지 CPS 보호 플랫폼 완성
앤앤에스피, OT 보안에서 CPS 보호 플랫폼으로의 발전을 선도
중요 인프라에 대한 보안 위협이 증가함에 따라 운영 기술(OT : Operational Technology) 보안 시장이 사이버 물리시스템 보호 플랫폼(Cyber-Physical System Protection Platforms) 시장으로 빠르게 진화하고 있다.
가트너(Gartner)는 CPS 보호 플랫폼 시장을 산업 프로토콜, 운영 및 생산 네트워크 패킷 또는 트래픽에 대한 메타데이터, 물리적 프로세스 자산 행동에 대한 지식을 사용하여 기업 IT 환경 외부의 운영 및 미션 크리티컬 환경에서 CPS를 검색 분류, 매핑 및 보호하는 제품 및 서비스로 정의하고 있다.
앤앤에스피는 트러스트 컨넥션(Trust Connection)을 통한 자산 데이터 수집 및 전송, CPS 자산에 대한 공급망 보안, CPS 자산 검색 및 가시성, 자산의 범주화, 독점 프로토콜 지원, CPS 네트워크 다이어그램 및 데이터 흐름 분석, 취약성 분석, 위협 인텔리전스 관리, IT 보안 툴과의 통합 등 CPS 보호를 위한 nNet CPS 보호 플랫폼(nNet CPS Protection Platform)을 제시하고 있다.
미션 크리티컬한 환경에서의 CPS 경계망 보호 ‘nNetDiode’
nNetDiode는 2014년 중소벤처기업부 과제로 물리적 일방향 전송장비 국산화 개발에 성공해 2016년 물리적 일방향 전송 솔루션으로 국내 최초로 CC인증을 획득해 ‘K-ICT 소프트웨어상품대상’을 수상했으며, 2023년 nNetDiode V3.0으로 ‘국가용 보안요구사항 V3.0’ 기반으로 ‘보안기능확인서’ 인증을 획득했다.
nNetDiode는 일방향 전송장비의 국제 기준에 따른 물리적 일방향 전용보드를 탑재하고 있으며 오류 및 장애 대응이 가능한 물리적 일방향 전용보드 기술에 대한 한국 및 미국 특허를 획득하고 한국발명진흥회로부터 우수발명품 우선구매선정 제품으로 지정되어 있다.
기존 일방향 전송 방식에서는 UDP를 이용한 암호화 방식을 사용하였으나 nNetDiode V3.0에서는 Non-IP/MAC를 이용한 암호화 방식을 제공함으로써 TCP(UDP)/IP 스택에 의한 전송 지연시간을 줄이고 10Gbps 일방향을 지원함으로써 고성능 전송이 가능하며 완벽한 Non-Routable 프로토콜을 지원함으로써 보안성을 향상시키고 있다.
nNetDiode는 원자력, 발전소, 수자원, 항공, 교통 등 국내 주요정보통신 기반시설에서 가장 많이 사용되고 있는 물리적 일방향 전송솔루션으로 최근 OT 분야뿐만 아니라 미션 크리티컬한 IT 환경으로도 시장을 넓히고 있다.
OT 이상징후 탐지에서 CPS 자산 중심 보안까지 ‘nNetNDR’
앤앤에스피는 2018년 과학기술정보통신부 ‘사이버공격으로 인한 스마트공장 운영중단 문제해결을 위한 선제적인 제조공정 이상징후 인지’ 과제를 통해 OT 네트워크 이상징후 탐지시스템인 nNetNDR을 개발했다.
빅데이터, 클라우드 기술의 발전은 기업의 기존 자산과 새로운 자산의 연계를 요구함으로써 복잡성과 다양성이 현실화되고 있으며 OT 네트워크 보안에서 CPS 자산 중심 보안으로 무게 중심이 이동하면서 nNetNDR도 CPS 보호 플랫폼으로 발전하고 있다.
nNetNDR V2.0은 패시브 모니터링과 액티브 스캔 기술을 이용해 CPS 자산 정보를 수집·분석하고 CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System) 등과 연계해 보안취약점을 분석한다. 또한 자산의 연결맵을 구성하고 가상 네트워크 세그먼트를 통해 네트워크를 모니터링하고 자산의 변경을 탐지하며, snort 시그니처와 Streamdefender 시그니처를 이용해 침입과 악성코드를 탐지하며, 제어프로토콜 명령어 기반으로 이상징후를 탐지해 위협 인텔리전스를 관리한다.
앤앤에스피는 LS ELECTRIC과 협력해 LS ELECTRIC 산업제어프로토콜인 RAPIEnet에 대한 상세 분석 기능을 제공하며 IEC62443-3-3 기반의 보안참조모델을 구성하고 있다.
공급망 보안을 위한 ‘nNetTrust’
앤앤에스피는 패치, 업데이트, 오픈 소스 등 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사하고 업무망 등으로 검증된 정보를 전달하는 nNetTrust V2.0을 출시하고 국가용 보안요구사항 V3.0에 기반하여 ‘보안기능확인서’ 인증을 획득했다. nNetTrust는 외부망 등 비보안영역에서 패치, 업데이트, 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사하고 업무망 등 보안영역으로 검증된 수집 정보를 일방향으로 안전하게 전달함으로써 업무의 효율성을 높인다.
nNetTrust는 패치, 업데이트에만 활용되는 것은 아니다. 개발자가 인터넷 등 외부망에서 오픈 소스를 가져와 개발에 활용할 경우 개발망 공급보안을 위해 사용되기도 한다. OOO 부대의 경우 기존에는 오픈소스를 다운로드하면 수동으로 악성코드 검사와 보안취약성 검사를 수행하고 별도의 검증 시스템에서 안전성이 검증되면 이를 품의해 내부에서 개발에 사용하기까지 많은 시간이 소요되었다.
앤넷트러스트를 도입한 후 외부에서 다운로드받은 오픈소스에 대해 자동으로 악성코드 및 무결성 검사를 수행하고 다른 검증 시스템과도 연계해 검증이 완료되면 관리자는 결과를 확인하고 승인함에 따라 자동으로 내부망으로 전달함으로써 업무 효율성과 보안성을 동시에 높인 사례도 있다. nNetTrust는 유명 소프트웨어 기업의 패치 파일도 신뢰하지 않고 한번 더 무결성을 검증하는 ‘제로 트러스트’ 아키텍처를 지원함으로써 CPS 보안을 완성하고 있다.
▲SPiDER OT for Maritime[로고=이글루코퍼레이션]
[OT 보안 솔루션 집중분석-7]
OT 환경 보안 컨설팅부터 진단, 구축, 관제 서비스까지
이글루코퍼레이션 선박통합관리 솔루션 SPiDER OT for Maritime
디지털 전환 가속화에 발맞춰 IT 네트워크와 운영기술(OT)의 접점이 넓어지면서, 스마트 선박·팩토리·빌딩 등 설비 제어와 관련된 OT 보안의 중요성이 대두되고 있다. 특히 해사업계는 자율운항 등과 같은 최신 IT 기술이 적용된 선박을 노리는 사이버 위협이 증가하고 있다. 이에 이글루코퍼레이션은 2024년부터 의무 적용되는 국제선급협회(IACS)의 선박 사이버 복원력을 위한 공통 규칙 UR E26과 UR E27을 충족하면서 선박·항만·조선소에서 직관적으로 활용할 수 있는 보안관리 솔루션 ‘스파이더 오티 포 마리타임(SPiDER OT for Maritime)’을 개발했다.
선박 보안 환경 가시성 높이는 선박통합보안관리 솔루션 ‘SPiDER OT for Maritime’
SPiDER OT for Maritime은 선박 네트워크와 보안 정책에 대한 철저한 분석을 기반으로 선박에 특화된 보안성과 안정성, 사용자 편의성을 보장한다. 이글루코퍼레이션은 선박을 운항하는 IT 비전문가인 선원 역시 사이버 위협 및 자산 현황의 이상 유무를 손쉽게 인지 및 모니터링할 수 있도록, 필수 기능 중심의 직관적인 메뉴를 구성했다. 또한, 기존 제품과는 달리 선박 내 독립적인 로그 수집·이벤트 분석 방식 적용으로, 위성 통신 네트워크가 과점되는 트래픽 이슈 문제도 해소했다. OT 보안이 필요한 선사들은 SPiDER OT for Maritime 구축을 통해, 발전하는 사이버 환경 속에서 선박 데이터와 인프라를 통합 보호하고 보안 관리 업무 효율성을 높일 수 있다. 고도화된 사이버 위협에 대한 가시성을 확보해 종합적인 위협 상황을 알리고, 위협에 능동적으로 대응해 최적의 사전 예방 체계를 구축할 수 있다.
산업별로 특화된 OT 보안 전략 제시
이글루코퍼레이션은 2024년 해사 OT 환경에 최적화된 솔루션 확대 공급에도 주력한다. 수십 년의 조선·해양 노하우를 보유한 포스텍, KR(한국선급) 등 전문 기업과의 협력을 통해, 다양한 OT 프로토콜과 운영체제, 시스템에 대한 폭넓은 가시성을 확보하고 최적화된 보안 체계를 구축하는 보안 컨설팅-진단-구축-관제 서비스를 제공하고자 한다. 고유의 보안 기술력과 노하우를 토대로 고객층을 단계적으로 넓히고 있으며, 제조·건설 등 산업별로 특화된 ‘SPiDER OT’ 라인업을 지속해서 확장할 계획이다.
▲OT/IoT 환경의 통합 가시성과 보안을 하나의 플랫폼에서 제공[자료=노조미 네트웍스]
[OT 보안 솔루션 집중분석-8]
OT/IoT 환경의 통합 가시성과 보안을 하나의 플랫폼에서 제공
노조미 네트웍스, 유선 및 무선 환경을 아우르는 최초이자 최고의 OT/IoT 보안 솔루션
창립 10주년을 맞이한 노조미 네트웍스는 가장 먼저 창립한 OT 보안 기업인 만큼 혁신적인 기술과 솔루션을 가장 먼저 공개하면서 기술 발전을 이끌어 왔다. 최근 발표된 프로스트 앤 설리번(Frost & Sullivan)의 ‘Frost Radar 운영 기술 사이버 보안 솔루션 2023’ 보고서에 따르면 글로벌 OT 사이버 보안의 리더이자 혁신과 성장 부문에서 17개 업체 중 유일하게 만점을 받은 공급업체로 평가받았다. 또한 실제 고객들이 솔루션에 대해 평가하는 Gartner Peer Insight에서 4년 연속 가장 높은 평가(4.9/5.0만점)를 유지하는 등 글로벌 리서치에서도 업계 선두로 인정받고 있다.
노조미 네트웍스는 OT 및 IoT 환경에 대한 탁월한 네트워크 및 자산 가시성, 위협 탐지, 통찰력을 제공하며, 최근 무선 환경까지 아우르는 독보적인 OT 보안 센서를 출시함으로써 무선과 유선 환경을 아우르는 최초이자 최고의 OT/IoT 보안 솔루션 벤더로 그 명성을 높이고 있다.
AI기반 이상징후탐지 OT 보안 솔루션 ‘Guardian’
‘가디언(Guardian)’은 산업 현장 내 다양한 자산에 대한 식별 및 각종 설비의 운용 상태에 대한 가시성을 바탕으로 외부의 공격과 이상 행위를 탐지해 제어시스템을 안전하게 보호하는 OT 보안 솔루션이다. 설비 자산에 영향을 주지 않는 에이전트리스 및 미러링 방식으로 IT 환경에서 사용되는 프로토콜은 물론 다양한 ICS 제조사의 전용 통신 프로토콜을 실시간으로 모니터링하여 자산에 포함된 취약점과 위험성을 파악한다.
인공지능 기반의 학습을 통해 각 제어 설비의 오작동과 잘못된 제어 명령의 전달 등의 공격과 비인가된 자산이 네트워크에 연결되거나 통신을 시도할 경우 자동으로 이를 탐지하고 알람을 생성하며, MITRE ATT&CK 지표를 통해 위협 정도를 직관적으로 확인할 수 있다. 시그니처/행위 기반의 탐지 방안도 함께 제공하고 있어 다양한 공격 유형에 대응할 수 있다.
글로벌 초대형 석유/화학기업, 제약사, 공공산업기관들을 고객으로 확보하고 있으며, 국내 주요 대기업과 공기업에 납품되는 등 다양한 산업 현장의 제조/설비 장비에 대한 프로토콜 분석, 위협 탐지 성능이 동종 솔루션 중에서 가장 탁월한 것으로 평가받고 있다.
업계 최초의 무선 스펙트럼 센서 ‘Guardian Air’
‘가디언 에어(Guardian Air)’는 유선 네트워크에 연결되었을 때만 감지할 수 있었던 무선 지원 디바이스에 대한 필수적인 가시성을 제공한다. Bluetooth, Wi-Fi, 셀룰러, LoRaWAN, Zigbee, GPS, 드론 RF 프로토콜, WirelessHART 등 OT&IoT 환경에서 사용되는 주요 무선 주파수 기술에 대한 지속적인 모니터링을 제공한다. 무선으로 연결된 자산을 즉시 감지하고 자산 정보를 확보하여 무단 설치를 신속하게 해결한다. 무선에 특화된 위협을 탐지하고 공격을 수행하는 디바이스의 위치를 파악할 수 있는 기능을 추가한다. 노조미 밴티지(Vantage) 플랫폼을 통해 네트워크, 엔드포인트, 무선을 결합하고 사이버 공격에 대한 실시간 보안 관리 및 가시성, 위협 탐지, AI기반 분석을 통합하여 관리할 수 있다.
[OT 보안 솔루션 집중분석-9]
산업환경에서 모니터링을 넘어 즉각대응 가능한 OT 보안 구현
Kaspersky Industrial Cyber Security(KICS)
카스퍼스키는 산업 사이버 보안(ICS) 분야에 오래동안 관심을 두고 이와 관련된 ‘Kaspersky 산업 사이버 보안 컨퍼런스’를 10년 넘게 매해 개최해 전세 계 사업 보안 트렌드와 기술력에 대한 통찰을 공유하고 있으며, Kaspersky ICS CERT와 같이 ICS부문 전문 연구분석팀, 전세계 연구원을 보유하고 있는 GReAT팀, 그리고 Red팀 등을 운영하는 등 업계 선두에서 ICS를 비롯한 각종 보안 부분의 기술력과 경험치를 발전시키고 있다.
Kaspersky가 바라보는 산업환경의 특징
기존의 사이버 공격은 해커가 은행 시스템에 침투해 수백만 달러를 자신의 계좌로 이체하는 것이 일반적인 형태였다. 하지만 오늘날의 환경에서는 산업과 에너지를 포함한 다양한 비즈니스 부문이 공격을 받고 있는것이 현실이다. Kaspersky ICS CERT의 보고서(2023)에 따르면 2023년 상반기에는 ICS(산업 제어 시스템) 컴퓨터의 약 1/3이 악성 코드 공격을 받았으며, 인터넷이 가장 두드러진 위협 소스(16.6%)였다.
프로세스 제어 시스템에 대한 사이버 공격의 결과는 재정적 위험외에도 여러가지 피해를 가져올 수 있다. 산업 네트워크를 모니터링하면 생산의 중단 또는 사고를 피하는데 도움이 된다.
자동 제어 시스템과 IT를 결합하면 비즈니스 운영 효율성이 높아지지만 생산 시스템에 대한 사이버 공격 위험도 함께 높아진다. 다양한 네트워크의 통합은 공격자에게 새로운 가능성을 제공하고 산업용 장치를 네트워크에 연결하면 공격 표면이 확장될 수 밖에 없다. 따라서 산업 네트워크를 지속적으로 모니터링해 이상 징후와 잠재적인 공격을 적시에 탐지해야만 보안성이 유지되며, 이를 통해 완전한 가시성과 함께 인프라를 신속하고 안정적으로 보호할 수 있다.
그러나 산업 시스템의 특성으로 인해 보안기술을 적용하는 작업은 신중하게 수행되어야 하며, 사용되는 모니터링 방법은 시스템 작동에 최소한의 영향을 주어야 할 것이다.
산업 시스템의 모니터링은 필수로 진행되어 야 하지만 세심한 운영이 필요하다. 신속하고 안정적인 인프라 보호를 위해 네트워크단의 트래픽 미러링을 통해 얻은 내용을 통해 데이터를 모니터링 해야하며, 노드단의 엔드포인트에 위협 또는 바이러스 침투를 예방해야만 한다.
Kaspersky의 KICS를 통한 산업환경의 보안체계 구축
카스퍼스키의 산업 보안 제품인 KICS는 노드용 제품인 ‘KICS for Nodes’와 네트워크용 제품인 ‘KICS for Networks’ 두 가지 구성 요소로 구성되어 있으며, 산업 환경 보호를 위해 서로 긴 밀하게 작동한다.
네트워크용 KICS를 배포하면 전문가는 수동 모니터링을 사용해 다음 작업을 수행할 수 있다.
- 재고관리 : 모든 산업 보안 프로그램은 산업 네트워크에 연결된 자산의 글로벌 인벤토리부터 시작해야 한다. 여기에서도 특수 솔루션의 필요성은 분명하다. 산업용 등급 애플리케이션 만이 산업용 컨트롤러를 포함해 연결된 장비의 전체 범위를 식별할 수 있다. KICS for Networks가 네트워크에서 워크스테이션, 서버, 휴대장치, 네트워크 장비, 컨트롤러, 변환기 등의 산업용장비, 전원공급장치 등의 보조장비, 그 외 센서, 웹캠 잠금장치와 같은 IoT 장치까지 포괄적으로 식별하며, 이러한 모든 장치는 산업용 네트워크에 대한 공격 대상이 될수 있다
- 불법적인 연결 및 통신 감지 : 트래픽 분석을 통해 휴대폰, 태블릿 등 원하지 않는 장치를 포함해 네트워크에서 새로운 호스트를 감지할 수 있다. 예정되지 않은 원격 연결 세션, 장치 간 개별 통신 세션, 악성 코드 확산과 같은 이상 현상의 감지가 가능하다.
- 산업용 장치에 대한 중요 명령 감지 : KICS for Networks는 DPI(심층 패킷 검사) 기술을 사용해 산업용 컨트롤러 및 지능 형 장치로 전송되는 명령을 모니터링한다. 네트워크 트래픽에서 중지, 재부팅, 포맷, 설정값 변경, 모드 변경, 로드 명령 등의 중요한 명령을 인식한다. PLC(프로그래밍 가능 논리 컨트롤러)에 대해 프로젝트 무결성 제어가 구현된다. 또한 트래픽의 프로젝트 정보를 인식하고 이를 참조로 캡처해 프로젝트를 PLC에서 읽거나 쓸 때 이를 새 정보와 비교한다. 새 펌웨어와 기존 펌웨어가 일치하지 않으면 침입자가 컨트롤러를 다시 프로그래밍하려고 한다는 의미일 수 있어, 관리자에게 알림이 전송된다.
편의와 심층 분석을 위해 위의 방대한 트래픽 모니터링 구현하여 패시브 모니터링은 주요한 통찰력을 제공하지만 산업용 네트워크에서는 100% 가시성을 제공하지 못할 수도 있다. 패시브 모니터링 방법은 자산의 모든 속성을 정확하게 식별하지 못할 수 있으며 트래픽에 장치 데이터가 나타날 때까지 기다리는 것은 시기적절한 정보 수집을 방해할 수 있다. 데이터 수집의 신뢰성과 효율성을 높이기 위해 추가 접근 방식으로 액티브 폴링을 고려할 수 있다.
액티브 모니터링: 산업 장비에 대한 안전성이 입증된 솔루션은 필수
액티브 모니터링은 포괄적인 프로필 및 구성 정보를 수집하는 데 매우 효과적일 수 있다. 최소한 IP 및 MAC 주소, 공급업체 이름 및 장치 모델, 펌웨어 버전, 설치된 소프트웨어 데이터 및 OS 버전을 얻는 데 사용할 수 있다. 또한 KICS for Networks는 OVAL(Open Vulnerability and Assessment Language)을 지원해 특정 소프트웨어 버전 사용부터 USB 드라이브 자동 실행 권한에 이르기까지 네트워크 장비 및 Windows 또는 Linux 워크스테이션의 취약성과 보안 정책 준수 여부를 완벽하게 평가할 수 있다.
KICS for Networks는 이를 염두에 두고 산업용 장치 전문가의 전문 지식과 각 특정 모델에 어떤 프로토콜을 활용할 수 있는지에 대한 지식을 고려해 개발됐다. 모든 액티브 폴링 방법은 제품에 통합되기 전에 물리적 장치에서 엄격한 테스트를 거친다. 결과적으로 Kaspersky는 다양한 공급업체의 수많은 산업용 장치 모델과의 안전한 액티브 모니터링 상호 작용을 보장한다.
패시브와 액티브의 시너지: 결합을 통해 기술의 한계를 극복하다
산업 네트워크에서 자산 검색 및 분석에 대한 모든 용도에 맞는 단일 접근 방식은 없다. 각 환경의 요구 사항을 효과적으로 충족하려면 패시브 모니터링 도구와 추가적인 액티브 폴링 기
능의 조합이 필요한 경우가 많다. 결합된 접근 방식의 한 가지 예는 보안 정책 준수를 보장하기 위해 1~2개월마다 예약된 액티브 폴링 확인으로 보완되는 수동 모니터링을 사용해 네트워크 트래픽을 지속적으로 분석하는 것이다.
KICS for Networks는 네트워크의 자산 목록을 작성하는 세 가지 효과적인 방법을 추가로 제공해 기업 정보 보안 전문가에게 유연성을 제공한다.
- 모든 내용을 수동으로 입력하고 편집하고 각 장치에 대한 정보를 사람이 수동으로 입력하고 편집할 수 있도록 하여 시간이 걸리더라도 신뢰성을 보장한다.
- 타사 자산 관리 시스템에서 API(애플리케이션 프로그래밍 인터페이스)를 사용해 두 시스템 간의 통합 설정할 수 있다.
- 자동화된 프로세스 제어 시스템의 프로젝트 파일에서 데이터 가져오기를 사용해 자동화 시스템의 프로젝트 파일을 다운로드한 다음 장치 데이터 자동 추출을 위한 솔루션에 업로드할 수 있다.
이러한 옵션은 정보보안 전문가가 특정 요구 사항에 가장 적합한 접근 방식을 선택할 수 있는 유연성과 편의성을 제공한다.
데이터의 강화: 철저한 위협 조사를 위한 추가 정보 확보
산업 네트워크와 연결된 자산의 상태를 정확하게 평가하려면 패시브 모니터링과 액티브 모니터링의 조합이 필수적이다. 그러나 복잡한 공격 시나리오나 심층적인 사건 조사를 수행할 때는 더 많은 데이터가 필요한 경우가 많다.
이러한 추가 데이터를 얻기 위해 KICS for Networks는 엔드포인트 보호에 초점을 맞춘 KICS for Nodes와 통합할 수 있다. KICS for Nodes는 바이러스, 랜섬웨어 및 네트워크 공격으로부터 보호하는 동시에 엔드포인트 탐지 및 대응(EDR) 기능을 지원한다. EDR은 엔드포인트에 대한 비정형 위협과 표적 공격을 사전에 탐지하고 발생하는 모든 이벤트를 기록한다. 이 포괄적인 엔드포인트 데이터는 보안 사고를 조사하고 효과적인 대응을 수립하는 데 매우 중요하다.
KICS for Nodes와 통합함으로써 KICS for Networks는 엔드포인트 이벤트에 액세스하고 사고 조사 프로세스를 향상시킬 수 있다. KICS for Networks에서 사건 카드를 보면 네트워크 모니터링 데이터를 볼 수 있을 뿐만 아니라 엔드포인트의 모든 관련 이벤트에 대한 가시성을 확보할 수 있다. 이는 위협의 소스나 네트워크로의 진입 경로를 추적하는 동시에 추가 공격 진행을 방지하는 데 도움이 된다.
또한 KICS for Nodes는 포트 미러링이 어렵거나 불가능한 경우 KICS for Networks의 엔드포인트 센서 역할을 해 추가 데이터를 수집하는 데 활용될 수 있다. 네트워크의 이러한 지점에서 트래픽을 미러링함으로써 노드용 KICS는 네트워크용 KICS에 트래픽 복사본을 제공한다. 이를 통해 패시브 네트워크 모니터링을 신속하게 구현해 다른 기술을 사용할 때 네트워크 영역에 대한 완벽한 가시성을 보장한다.
산업환경의 네트워크단부터 엔드포인트단까지 보다 섬세한 보안환경 구축
카스퍼스키는 기존의 엔드포인트 기술력과 공격에대한 대응 방법론 등의 노하우를 통해 산업망에 특화된 엔드포인트인 KICS for Nodes를 제공하며, 무중단 생산망 네트워크 모니터링을 위한 KICS for Networks를 통해 내부의 1,000여명의 R&D인력을 통해 보다 섬세한 산업망 보안환경 구현을 위하여 최선을 다하고 있다. 해외 대형 레퍼런스 외에도 국내에서 반도체, 연구소, 주요기관 등의 레퍼런스를 구축해 나아가고 있다.
▲화이트리스트 보안스위치[자료=한드림넷]
[OT 보안 솔루션 집중분석-10]
화이트리스트 보안스위치, 산업용 OT환경에 적합한 강력한 내부망 보안
한드림넷, ‘SG5026GX시리즈’ 네트워크 스위치 기반 OT, ICS 보안 솔루션
국가 주요 산업 인프라와 스마트 팩토리 등의 제어 시스템 침해 목적의 공격 방어는 사전 대응이 필수다. OT 제어망은 IT와 달리 모터, 밸브, 펌프. 및 각종 센서로 이루어진 설비와 함께 IIoT 디바이스와 전용 OS를 탑재한 단말들로 구성, 운용되고 있다. 이와 같은 환경에서는 일반적인 IT 방식의 보안 시스템을 적용할 수 없으며, 단말 유형에 상관없이 네트워크 액세스 레벨에서 모든 노드와 패킷을 관리 통제할 수 있는 OT 전용 보안 솔루션이 효과적인 대안이다.
‘SG5026GX시리즈’를 통한 눈에 보이지 않는 보안 위협 해결!
화이트리스트 보안스위치 SG5026GX시리즈는 ICS/SCADA와 같은 주요 설비망에 대한 실시간 모니터링을 통해 보안 위협을 최소화할 수 있다. 단위 OT 제어망 별 이격화(마이크로 세그멘테이션)를 통해 랜섬웨어 등의 수평 확산을 저지하며, 보안스위치 간 트래픽 암호와로 전송데이터의 위/변조를 방지하고, 데이터 무결성을 보장한다. 국제 산업용 표준 프로토콜인 Modbus/ TCP 지원으로 HMI에서 보안스위치의 상태 정보, 모든 사용 포트, 유해트래픽 발생 현황 정보와 실시간 장애·공격 탐지가 가능하고, IP 관리 및 제어도 가능하다. 또한, 비인가 노드와 비정상 접근 및 과다/유해트래픽 발생 시 위협으로 간주하며, 다양한 방식의 경보를 통해 즉각 대응 조치할 수 있다. 이와 같은 설비의 안전과 가용성 보장은 기업 경영에 필수적이며, 국가 주요 인프라 보호를 통해 안전한 사회를 영위할 수 있다.
산업 현장에서 검증된 OT 전용 보안스위치
화이트리스트 기반의 SG5026GX시리즈는 K-water(한국수자원공사)와 한드림넷이 산업 제어 시스템 보호를 위해 공동으로 개발한 OT 전용 보안 솔루션이다. SG5026GX시리즈는 수많은 산업 현장에 투입, 운용되고 있으며, 공공성과 혁신성을 인정받아 조달청 혁신제품과 중소기업 기술마켓플랫폼에 등록된 산업 특화 보안 솔루션이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
