랜섬웨어 감염 등 해킹사고 이어지는 OT영역의 보안 해결책을 찾아라
[인터뷰] 오동환 한국인터넷진흥원 디지털산업본부 보안산업단장
[설문조사] ‘OT보안 솔루션 인식 및 선택기준에 대한 조사’ 결과 발표
OT 보안 대표 솔루션 분석: 한드림넷, 파고네트웍스, 안랩, 트렌드마이크로, 휴네시온, 노조미네트웍스, 클래로티, 이글루코퍼레이션
[보안뉴스 김경애 기자] “최근 전통 산업분야에서 가장 빠르게 디지털화되는 분야가 바로 제조업입니다. 최근 보안이슈를 살펴보면, 공장제어시스템, 도면관리시스템 등 OT영역을 대상으로 랜섬웨어(Ransomware) 감염 사고가 지속적으로 발생하고 있어요. 감염된 곳 대다수가 보안 인력 운용과 관련 투자 여력이 부족한 중소 스마트공장이죠. 백업 서버 구축 등 효과적인 랜섬웨어 대응을 위한 보안 강화 조치에 어려움을 겪고 있습니다. 특히, 제조공정 자동화 설비는 해당 설비 제조사가 설정한 초기 보안상태를 그대로 유지하는 경우가 많아요. 기업의 IT보안과 별개로 운영되는 경우가 대다수라 온라인 취약점과 관리의 공백이 상시 노출되는 경우가 상당수입니다.” - 오동환 한국인터넷진흥원 디지털산업본부 보안산업단장 -
[이미지=utoimage]
랜섬웨어 감염이 국내 제조업으로 크게 확산되면서 OT(Operational Technology: 운영기술) 보안의 중요성은 갈수록 커지고 있다. 2022년 제약사 등 국내 기업이 랜섬웨어에 감염되는 사건이 발생했다. 당시 제조업을 중심으로 랜섬웨어 공격이 확대되며 랜섬웨어 이슈가 집중 조명됐다.
과학기술정보통신부 홍진배 네트워크정책실장은 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’에서 “랜섬웨어 주 타깃이 제조업, 섬유업 등으로 확대되고 있다”고 밝힌 바 있다. 특히, 스마트공장과 같이 ICT기술이 접목된 OT환경의 변화로 IT와의 접점이 많아지면서 보안사고로 이어지고 있다.
이에 <보안뉴스>에서는 OT보안에 대해 집중적으로 다뤄보고자 한다. OT보안 개념부터 IT보안과 OT보안의 차이점에 대해 알아보고 한국인터넷진흥원(이하 KISA) 오동환 단장과의 인터뷰를 통해 OT보안의 실태와 지원 정책에 대해 들어봤다. 또 ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’를 통해 OT보안 인식도에 대해 알아보고, OT보안 대표 솔루션 기업과의 인터뷰를 통해 기업의 OT보안 이슈와 문제점에 대해 들어봤다.
OT보안, Level 0 ~ Level 5 각 단계에 맞게 적용해야
OT는 산업용 장비, 자산, 프로세스와 이벤트를 직접 모니터링하고 제어해 이상징후를 감지, 변경하는 하드웨어와 소프트웨어를 뜻한다. 주로 원격감시제어시스템(SCADA: Supervisory Control And Data Acquisition, 생산, 설비 등 분산된 장치들을 중앙에서 통제), 산업제어시스템(ICS: Industrial Control Systems), 프로그램 가능 논리 제어 장치(PLC: Programmable Logic Controllers), 원격단말장치(RTU: Remote Telemetry Unit), 사물인터넷(IoT) 등을 모두 포괄해 통칭한다.
OT환경은 국제표준(ISA/IEC 62443 PURDUE Model for OT System Classification)에 따라 Level 0, Level 1, Level 2, Level 3, Level 3.5, Level 4, Level 5로 구분된다. 각 단계별 계층에 따라 장치, 설비 등이 구성되어 운영된다.
Level 0은 현장 장비(필드 장비)나 장치 계층이다. 생산, 제조 등을 직접 수행하고 작업하는 장비로 센서, 밸브, 펌프, 로봇팔 등이 해당한다. Level 1의 제어 명령을 받아 동작하고, 생산상태 등 데이터를 수집해 상위레벨로 정보를 전달한다.
Level 1은 Level 0의 현장 장비나 장치를 제어하는 산업용 컨트롤러(Industrial Controllers) 계층이다. 산업용 컨트롤러는 공정 운영 단계로 PLC, RTU, IED(Intelligent Electrical Device), DCS(Distributed Control System) Controller) 등이 있다. Level 2로부터 운전 명령을 받아 Level 0으로 명령을 전달, 제어, 모니터링 등을 하고, 현재 데이터 상태를 Level 2로 전달한다.
Level 2는 운영 및 통제 계층(Operator Workstation)이다. SCADA, HMI(Human Machine Interface: 생산, 설비 등을 모니터링), EWS(Engineering Workstation), OWS(Operator Workstation) 등이 해당한다. 이러한 장비는 생산값과 운전값 등을 Level 1로 전달하고, Level 1에서 전달받은 데이터를 모니터링하며, 생산관리에 필요한 정보를 Level 3으로 전달한다.
Level 3 or Level 3.5는 생산, 설비 등을 관리하는 계층이다. 생산의 효율성을 지원하는 MES(Manufacturing Execution System), PLM(Product Lifecycle Management)과 공장의 생산과 설비장치들로부터 데이터를 수집해 축적하는 Historian 등이 해당한다. 이 계층은 Level 2로부터 정보를 수집·저장·가공하고 이러한 정보는 효율적인 공장 운영과 생산에 필요한 정보로 활용된다. 그리고 전사적 의사결정에 필요한 정보를 Level 4~5로 전달한다.
Level 4~5는 전사관리 계층이다. IT영역이며 ERP(Enterprise Resource Planning), CRM(Customer Relationship Management) 등이 여기에 해당한다. 외부 고객이나 협력기업으로부터 받은 요청 정보와 계획 등을 Level 3에 전달하고, 인터넷과 연결해 생산 정보 등을 관리한다.
IT환경과 OT환경, 달라도 너무 달라
이처럼 OT환경은 각 레벨에 따라 다른 장비가 사용되고 운영된다. 우선순위와 보안목적도 IT환경과 다르다. IT보안은 기밀성을 중시하는 반면, OT는 가용성(Availability)과 안전성(Safety)을 우선시한다. OT 산업 환경은 야외인 경우도 많아 극한의 온도와 진동, 지진 등 외부 요인의 영향을 받지 않아야 한다. 또한, 가동이 멈추면 안 되기 때문에 24시간 365일 무중단이 운영 조건이다.
기기 사용에서도 차이가 있다. IT는 HW 구축 네트워크 장비, PC, 서버 등을 사용하고 OT는 제어특화 장비인 전통적인 산업용 디바이스(PLC, HMI, Meters)를 사용한다. 시스템의 경우 IT는 소프트웨어 개방형 시스템이고 OT는 폐쇄형 시스템이다.
보안인식에서도 차이가 있다. IT는 보안인식이 필수로 인식되고 있는 반면, OT는 성능 영향에 우선한다. 그러다 보니 패치에서도 차이가 있다. IT는 정기적으로 자동 업데이트하는 반면, OT는 벤더(Vendor)에 의존적이거나 수동으로 업데이트를 한다. 혹시 장비에 영향을 줄까 우려해 업데이트하지 않는 경우도 비일비재하다.
사용하는 프로토콜에서도 차이가 있다. IT는 HTTP와 같이 범용 네트워크 프로토콜(Protocol)을 사용하는 반면, OT는 장비 제조사에서 지원하는 프로토콜을 사용한다. 그러다보니 제조사에 종속적이고, 기계별로 지원되는 프로토콜이 각기 달라 다양하다.
미국, 러-우 사태 이슈로 OT보안 강화 추세
OT보안이 중요한 이유는 크게 2가지다. 첫 번째는 러시아-우크라이나 사태와 같이 정치, 안보 측면과 두 번째는 스마트공장과 같이 디지털 환경으로의 변화다. 먼저 러-우크라이나 전쟁, 미-중 갈등 등 정치, 국가안보 측면에서 전 세계적으로 사이버공격이 거세지고 있다. 이러한 사이버공격은 기반시설 제어와 파괴, 사회 혼란을 일으키기 위한 목적으로 감행되고 있다.
러-우크라이나 사태로 미국 바이든 대통령은 2022년 3월 15일 ‘2022년 미국 사이버보안 강화법’에 서명했다. 강화된 법에 따라 미국의 중요 인프라 기업은 해킹 사고가 나거나 랜섬웨어가 감염돼 해커에게 돈을 지불할 경우 의무적으로 보고해야 한다. 이는 러시아가 자국 제재에 동참한 국가와 기업을 타깃으로 사이버공격을 펼칠 것을 대비한 조치로 기반시설 및 인프라 기업은 작은 취약점 하나에 노출되어도 치명적인 피해를 초래할 수 있다는 얘기다.
우리나라 역시 OT보안 위협으로부터 안전하지 않은 실정이다. 한국도 지난해 2월 러시아 제재에 동참했는데, 우리도 미국과 같이 사이버보안을 강화해야 한다는 목소리가 커지고 있다. 특히, 한국은 러시아와 우호 관계인 북한, 중국 등으로부터 사이버공격을 받고 있어 OT보안의 중요성은 날이 갈수록 커지고 있다.
디지털 환경 변화에 따라 OT보안 사고 급증
OT보안 사고는 이미 오래전부터 해외에서 끊임없이 발생했다. 2000년 러시아 천연가스회사 가스프롬(Gazprom)이 트로이목마(Trojan)에 감염된 바 있다. 2001년에는 미국 캘리포니아(California) 배전센터가 보안설정의 취약성으로 인해 2개의 웹서버가 뚫린 바 있으며 2003년에는 미국 오하이오 원자력 발전소(USA Ohio Nuclear Plant)가 윈도우 서버(MS-SQL 서버) 취약점으로 인해 네트워크를 마비시키는 슬래머웜(Slammer Worm)에 감염된 바 있다.
2007년에는 이란 원자력 발전소(Iran Nuclear Plant)가 기간시설 파괴 목적의 웜인 스턱스넷(Stuxnet)에 감염됐으며, 2009년에는 글로벌 오일 콤프(Global Oil Comp)가 이른바 ‘나이트 드래곤(Night Dragon)’ 사이버공격으로 멀웨어에 감염, 2011년 미국 수도 사업(USA Water Utility)이 사이버공격을 받은 바 있다.
이어 2012년 사우디아라비아 오일&가스 콤프(Saudi Arabia Oil & Gas Comp)가 MBR(Master Boot Record) 및 파일 변조 악성코드인 샤문(Shamoon) 바이러스(Virus)에 감염된 바 있으며, 2013~2015년 미국과 캐나다 50개 발전소(Power Plant) 운영사가 샤문 공격을 받아 설계 및 패스워드 정보가 유출된 바 있다.
2013년에는 독일(Germany)과 오스트레일리아(Australia) Pover Grid가 잘못된 제어 명령으로 인해 일부 전력망이 다운된 바 있으며, 2015년 오스트레일리아 에너지 연구소(Australia Dept. of Energy)와 2016년 이스라엘 전자 비자(Israel Electronic Authority) 발급 기관도 해킹 피해로 전력망이 다운됐다.
2017년 사우디아라비아 15개 부서와 2018년 이탈리아 오일 서비스 회사(Italy Oil Service firm)도 샤문 공격을 받아 서버와 터미널이 감염된 바 있다.
국내는 기반시설을 노린 디도스 공격을 비롯해 기술자료 획득과 돈을 뜯어내기 위한 협박으로 랜섬웨어 공격이 일상화되고 있다. 이에 OT보안 전문솔루션 기업인 노조미네트웍스, 안랩, LG CNS, 이글루코퍼레이션, 클래로티, 트렌드마이크로, 파고네트웍스, 한드림넷, 휴네시온과의 릴레이 인터뷰를 통해 국내 기관과 기업에서 피해가 커지고 있는 랜섬웨어 공격실태와 OT보안의 주요 이슈에 대해 들어봤다.
노조미네트웍스, 최근 OT보안 사고 대부분은 랜섬웨어 감염
그동안 OT영역은 외부에서의 접근이 엄격히 통제되는 폐쇄망으로 운영됐다. 그러다 보니 상대적으로 보안의 중요성이 부각되지 않았다. 하지만 디지털화가 빠르게 진행되고 IT영역과의 접점이 늘면서 공격패턴이 증가하고 있다.
주요 OT보안위협을 살펴보면 △인터넷망을 통한 외부 원격 지원 시 랜섬웨어 등과 같은 악성코드 유입 및 감염 △비인가 무선 통신을 통한 제어망 액세스로 악성코드 감염 △내부정보 유출 위험 △내부 네트워크 바이러스에 감염된 노트북 연결로 인한 악성코드 유입 및 감염 △인터넷망에서 다운로드 받은 파일을 USB를 통해 제어망으로 옮기면서 제어시스템이 랜섬웨어 등과 같은 악성코드에 감염돼 제어설비 가동 중단 △설비 간 시리얼 포트 연결로 설비 간 악성코드가 전파로 PLC 제어변수 변경 등 제어설비 공격 △PLC 제어변수 로직 감염 △방화벽 설정 누락으로 업무망에서의 제어망 HMI 접속 △비인가자 제어시스템의 접근 경로 노출 △외부 3rd 시스템과 제어망 내부 시스템 연결에 따른 FA망과 외부망 접근 경로 유출 등이 있다.
특히, OT환경은 IT환경에 비해 상대적으로 관리가 취약하다. 주요 생산설비에 대한 보안 관리 및 펌웨어 패치 등이 적절히 이뤄지지 않아 다수의 취약점이 존재한다. 그러다보니 최근 주요 OT보안 사고를 보면, 제조업에 공격이 집중돼 있다. 석유화학, 발전소, 에너지 등 사회기반 시설을 노리고 있으며, 현재 해커의 공격은 랜섬웨어가 대다수다. 일반 제조공장과 같이 망분리가 명확한 영역은 유지보수 담당자에 의한 비인가 장치(사설 USB 등)에서의 바이러스 감염 등이 주요 보안 위협이다.
안랩, OT시스템 노리고 악성코드와 랜섬웨어 공격
악성코드를 활용한 공격과 랜섬웨어 공격이 지속적으로 발생하고 있다. 올해도 이러한 경향은 이어질 전망이다. 공격자는 OT환경 공격을 통해 최종적으로 제어나 생산 설비 등과 같은 각종 시스템을 노린다. 이를 위해 악성코드를 사용하고, 금전적 이득을 취하기 위해 랜섬웨어를 계속 활용한다.
제조업의 경우 다른 산업에 비해 조업 중단 시 시간당 손실액이 매우 크다. 이 때문에 랜섬웨어 감염 시 몸값을 지불할 확률이 높다. 실제로 최근 몇 년 사이 중공업이나 반도체, 자동차 등 대형 엔터프라이즈급의 제조, 생산 업종을 타깃으로 금전을 목적으로 한 랜섬웨어 공격이 발생하고 있다. 이러한 공격은 앞으로도 증가할 것으로 예상된다.
LG CNS, 2021년 44% 기업 6번 이상 OT타깃 공격 피해
글로벌 산업을 이끌고 있는 주요 국가(미국, 독일, 일본)의 핵심 인더스트리 설비를 보유한 기업을 대상으로 OT환경을 타깃으로 한 침해사례를 조사했다. 2021년 한 해 동안 기업 44%는 6번 이상 OT환경을 노린 사이버 공격을 받았고, 평균 30억원 이상의 피해가 발생했다.
이글루코퍼레이션, 제조 공급망 노린 랜섬웨어 공격 증가
전년과 유사하게, 제조 공급망을 노린 랜섬웨어 공격이 증가할 전망이다. 사고 발생 시 전 세계 생산망과 경제활동을 뒤흔드는 혼란이 야기될 수 있기 때문이다. 이는 기존 랜섬웨어 공격에 비해 더 높은 몸값을 요구할 수 있다는 얘기다.
세계 최대 정육업체 JBS Foods를 타깃으로 했던 공격이 대표적이다. 공격자는 ICS, SCADA 네트워크와 동일한 테스트 환경을 제공해주는 서비스를 통해 탐지되지 않는 특정 랜섬웨어 제작에 주력한 것으로 조사됐다.
클래로티, CPS 보안 비즈니스 지속성에 영향
의료, 상업 등 다양한 분야의 기업은 디지털 트랜스포메이션과 CPS(사이버 물리 시스템) 융합의 가치를 실현하기 시작했다. OT환경을 IT네트워크, 인터넷 및 다양한 XIoT(확장 IoT) 장치에 연결해 자동화와 제어 측면에서 효율성과 편의성을 향상시켜 왔다. 그러나 악의적인 공격자가 새로운 공격 전술을 이용할 경우 조직은 불안정한 상황에 처할 수 있다.
따라서 사이버-물리적 상호 연결성이 비즈니스에 중요해질수록 CPS 보안이 비즈니스 지속성에 영향을 미치게 된다. 이때, CPS 보안은 디지털 트랜스포메이션 구축과 함께 보조를 맞춰 발전하지 않으면 향후 추가적인 비용 소모가 막대해진다. 사이버 물리 시스템과 관련된 위협의 예는 △멀웨어 △랜섬웨어 △무단 원격 액세스 △DDoS 공격(Distributed Denial-of-Service) △서비스 변조 △공급망 공격 등에서 확인할 수 있다.
트렌드마이크로, 랜섬웨어가 제조업 가용성 마비시켜
제조업은 가용성이 최우선 과제다. 공격자도 이를 잘 알고 있기에 랜섬웨어 공격으로 가용성을 마비시키고 금전적 요구를 한다. 하지만 이런 표면적인 것 내부에는 중요 정보 유출이라는 진짜 목적이 숨어있을 수 있다. 이점을 간과해서는 안 된다. 일부 피해 기업은 랜섬웨어 피해복구에 정신이 팔려 내부 핵심 정보가 유출되었다는 사실조차 인지하지 못하는 경우가 많다. OT보안에 대한 시각을 넓히고, 점진적인 준비를 해야 하는 이유다.
파고네트웍스, 랜섬웨어 유입 경로 고민 필요
OT보안 이슈에 대해서는 이미 발생한 사고에 대한 조치보다 먼저 랜섬웨어 또는 멀웨어의 유입 경로에 대한 깊은 고민이 필요하다. △네트워크 연결 여부(내부, 인터넷 모두) △매체 사용 여부(USB 등) △취약한 애플리케이션 존재 여부(OS, SW 모두) △취약한 프로토콜 사용 여부(FTP, Telnet, SMB, RDP, Share 등) △취약한 사용자 계정 또는 시스템 계정 사용 여부(Administrator, Admin, Root 등) 등의 요소들은 IT보안을 할 때, 파악하고 조치해야 할 사항과 크게 다르지 않다.
하지만 OT보안에 대한 인식과 비IT 인력에 의한 시스템 도입, 그리고 OT전문 보안팀의 부재 등으로 인해 앞서 취약한 부분들이 잘 파악되고 있지 않다는 게 주요 이슈로 불거지고 있다. 실제로 OT매니지드 보안 서비스를 수행해 보면, 다양한 OT시스템에 상당수의 멀웨어가 이미 감염된 상태로 작동되고 있고, 애플리케이션 화이트리스트 솔루션이 있지만, 이미 멀웨어에 감염된 SW 또는 멀웨어 자체가 화이트리스트로 수동 분류된 사례가 잦은 게 현실이다.
한드림넷, 정보탈취 등 OT보안 위협 증가
제조업에서 발생하는 주요 보안이슈는 산업제어시스템의 운영을 위협하는 사이버공격, 정보 탈취, 내부 사용자로 인한 위협, IoT장치의 보안 취약성과 불가시성(Invisibility) 및 공급망 위험 등의 증가다.
최근 일본은 협력업체와 해외지사를 노린 공격이 잇따르고 있다. 강력한 보안 시스템을 갖춘 제조 대기업의 본사 공장보다 보안이 취약하기 때문이다. 특히, 부품 조달을 위한 공급망은 일본 내 협력사와 세계 각지로 확대돼 있어 모든 부품 공급업체의 보안 강화는 쉽지 않다. 그러다보니 랜섬웨어와 같은 사이버 공격의 표적이 될 가능성이 높다. 2022년 3월, 도요타의 주요 부품 협력사인 코지마 프레스가 랜섬웨어 공격으로 일본 내 도요타의 전체 14개 공장 가동이 중단됐다. 상용차 자회사인 히노자동차와 경차 자회사인 다이하쓰공업도 일본 공장의 전체 또는 일부 가동이 중단됐다.
IDC Japan의 조사(2021.4.27)에 따르면, OT환경에서 발생하는 주요 보안사고는 △생산, 제조 라인이나 시스템의 일시 정지가 25.5% △시스템의 파괴, 파손, 고장이 18.6% △생산, 제조 라인이나 시스템의 완전정지가 18% △제어 데이터나 파라미터 등의 변조가 11.2% 등으로 물리적인 피해가 많다. 사건사고 발생 장소로는 △외부 네트워크 접속 40.4% △사내 네트워크 38.5% △산업용 제어시스템 등의 OT네트워크 13.0% △IoT, IIoT(산업용 IoT) 시스템 네트워크 11.8% 등으로 네트워크에 관련된 장소가 상위를 차지했다.
이러한 보안위협에 대비하기 위해서는 산업제어시스템의 네트워크 분할(Network Segmentation), 네트워크 액세스 제어, 네트워크 가시성 확보 등 강력한 보안조치 구현이 중요하다. 특히, 비윈도우 계열(Android. iOS, Linux)과 전용 OS가 설치된 단말의 증가, SW Agent를 설치할 수 없는 OT환경으로 인해 네트워크 단말의 접점에서 단말 유형에 관계 없이 모든 패킷을 관리 및 통제할 수 있는 네트워크 액세스 레벨에서의 보안 적용이 필요하다.
휴네시온, IoT 적용에 따라 랜섬웨어와 디도스 공격 발생
IoT(사물인터넷) 적용, 원격근무 환경 확대에 따라 랜섬웨어와 디도스 공격이 지속적으로 발생하고 있다. 이는 IT연결 접점이 많아짐에 따라 OT보안 위협도 커지게 되면서 발생한 것이다. IT연결 접점은 갈수록 많아지고 있어 중요자산 및 중요 영역은 망분리를 통해 운영하고 보안을 강화해야 한다.
===========================================================================
[인터뷰] 오동환 한국인터넷진흥원 보안산업단장
“스마트공장 보안모델과 함께 스마트공장 보안리빙랩 서비스 적극 활용 필요”
그렇다면 정부에서는 OT보안 강화를 위해 어떤 노력을 하고 있을까. 본지는 오동환 한국인터넷진흥원 보안산업단장과의 인터뷰를 통해 국내 기관과 기업의 OT보안 현황과 주요 보안이슈, KISA에서 지원하고 있는 OT보안 정책에 대해 들어봤다.
OT보안 현황은 어떤가요?
OT보안 현황은 전반적으로 열악합니다. 지난해 말 과학기술정보통신부가 발표한 ‘정보보호 공시 분석보고서’에 따르면 IT투자 대비 제조업 분야의 정보보호 투자 비중은 9.74%, 정보보호 전담인력은 12.65%입니다. 수치상 낮진 않지만, 연매출 3,000억원 이상 기업이 대상이에요. 이중 하위 10대 기업의 정보보호 투자 총액이 7억원도 되지 않고, 삼성전자, SK하이닉스 등 IT제조업을 제외하면 정보보안 상황은 매우 열악할 것으로 예측됩니다.
특히, 저희가 직접 방문하고 경험한 대다수 중소 제조업체의 경우, 보안전담 인력이 부재하고, 동시에 유지보수 서비스가 만료된 방화벽 운용, 외부망이 생산영역에 그대로 연결되는 등 보안위협에 무방비로 노출되어 있었습니다.
지난해 제조업 타깃으로 랜섬웨어가 기승을 부린 바 있습니다. 현재 제조업에서 발생하는 보안이슈는 무엇인가요?
최근 전통 산업분야에서 가장 빠르게 디지털화로 되어가고 있는 분야가 바로 제조업입니다. 특히, 이 분야에 공장제어시스템, 도면관리시스템 등 랜섬웨어 공격이 집중되고 있는데요. 그 이유는 한 번의 공격으로 큰 피해를 줄 수 있기 때문입니다. 복구를 위해 많은 시간과 비용이 들어 타협의 요소가 높아요. 해커 입장에서는 매우 가성비가 높은 산업으로 인식되고 있죠.
반면, 보안 인력 운용과 관련 투자는 여력이 부족한 중소 스마트공장이 대다수에요. 백업 서버 구축 등 효과적으로 랜섬웨어를 대응하기 위한 보안 강화 조치에 어려움을 겪고 있습니다. 특히, 제조공정 자동화에 따른 설비는 설비 제조사에서 설정한 초기 보안상태를 그대로 유지하는 경우가 많거든요. 기업의 IT보안 분야와 별개로 운영되는 경우가 대다수라 온라인 취약점과 관리의 공백이 상시 노출되어 있는 경우가 많습니다.
OT보안과 관련해 문제점은 무엇인가요?
OT시스템은 취약점이 발생하면 공장 전체를 정지시키거나 파괴할 수 있어요. 그 대상에 따라 국가 전체에 상당한 데미지를 줄 수 있습니다. 문제는 OT시스템은 구축 후 변경이 쉽지 않다는 것입니다. 특히, 취약점을 발견해도 쉽게 패치할 수 없어요. 공장에서 패치를 위해 공장 시스템을 정지시킨다는 것은 일정 부분 시간과 비용을 감수해야 하기 때문이죠. 또한, 새로운 장비 도입 시 기존 OT시스템과의 통합관리도 쉽지 않습니다. 전담인력 부재로 보안 시스템 조차 어떤 방식으로 설치·운영해야 하는지 등 기본적인 보안사고 대응이 어려운 게 원천적인 문제입니다.
OT보안을 위해 최소한 이것만은 해야 한다고 강조하고 싶은 건 무엇인가요?
OT영역에서 운용 중인 자산이 어느 네트워크에 연결되어 있는지 기본적인 자산 운용 현황을 주기적으로 업데이트하고, 관리하면 보안 강화에 도움이 됩니다. 자산 운용 현황이 제대로 파악되지 않아 보호 대상을 식별하는데 많은 어려움을 겪고 있어요. 또한, 생산 PC, PLC 등 OT영역에서 운용 중인 장비들을 도입할 때 적용되어 있던 기본 비밀번호를 변경해야 합니다.
OT보안 강화를 위해 정부에서 운영 중인 지원 정책은 무엇인가요?
현재 OT보안 강화를 위해 스마트공장 보안모델 제공과 스마트공장 보안리빙랩을 운용하고 있습니다. 스마트공장 보안모델의 경우, OT영역에서 발생할 수 있는 보안위협과 보안위협을 완화하기 위한 보안 요구사항, 그리고 보안 요구사항을 충족하기 위한 보안기술과 솔루션을 명시한 가이드라 볼 수 있는데요. 스마트공장 관계자에게 OT보안 강화에 참고할 수 있도록 유관부처·기관과 협력해 제공하고 있습니다. 또한, OT영역에서 운용 중인 설비와 서비스에 대해 보안취약점 점검을 수행할 수 있는 환경인 보안리빙랩을 구축해 스마트공장 관계자를 대상으로 무료로 보안성 시험을 지원하고 있습니다.
OT보안 강화 측면에서 우수한 OT보안 모델이나 구축 사례에 대해 소개해주신다면?
일부 OT보안 구축사례에 대해 소개해 드리면 OT전용 방화벽 구축을 지원해 업무망과 공장망, 공장망과 인터넷망의 분리와 같이 공장 네트워크의 구조 개선을 지원한 바 있습니다. 또한, 클라우드 서비스를 받는 제조실행 시스템(MES)과의 대외 연계 대책으로 SSL-VPN 적용과 함께 비인가자의 접근에 대해서는 차단 정책 적용을 지원해 OT보안을 강화했습니다. 최근 글로벌 트렌드는 OT보안 영역에 제로트러스트를 적용해 엣지단에서의 보안성 강화를 추구하는 방향으로 전환되고 있습니다.
OT보안 강화를 위해 정부와 KISA가 계획하고 있는 정책은 무엇인가요?
과학기술정보통신부와 KISA는 보안 수요가 있는 중소 스마트공장에 직접 방문해 제어설비, 제어서비스에 대해 무료로 보안취약점 점검을 수행하는 ‘찾아가는 스마트공장 보안리빙랩 서비스’를 제공할 계획입니다. 찾아가는 스마트공장 보안리빙랩 서비스는 지난해부터 제공하는 서비스로 중소벤처기업부와 협력해 보안 수요를 발굴하고 보안 점검과 보안컨설팅, 보안교육을 제공하는 서비스입니다.
이외에 KISA는 산업 분야별 보안 강화를 위해 스마트공장(안산 경기테크노파크), 디지털헬스케어(원주 의료테크노밸리), 자율주행차(군산 자동차융합기술원), 실감콘텐츠(안양 디지털콘텐츠성장지원센터), 스마트시티(부산 동남정보보호센터) 등 5대 분야에 대한 보안위협을 분석하고 위협에 대응하는 보안리빙랩을 함께 운영하고 있습니다.
==========================================================================
[설문조사] OT보안 솔루션 인식 및 선택기준
IT보안담당자와 OT산업군 종사자간 OT보안 인식도 비교해보니
본지는 OT보안 실태에 대해 좀더 자세히 파악하기 위해 IT보안담당자와 OT산업군 종사자를 대상으로 각각 ‘OT보안솔루션 인식 및 선택기준에 대한 설문조사’를 실시해 답변을 비교 분석해 봤다.
▲ ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
먼저 ‘OT내부시스템을 어떻게 관리’하고 있는지에 대해 IT보안담당자(36.8%)와 OT산업종사자(24.4%) 모두 ‘IT·정보보안 담당부서가 맡고 있다’는 응답률이 가장 높게 나타났다. ‘OT보안 전담부서에서 관리하고 있다’는 답변은 IT보안담당자 6%, OT산업종사자 7.7%로 집계됐다. 이를 통해 OT보안 전담부서가 부재하고, 보안관리가 제대로 되지 않고 있음을 알 수 있다.
▲ ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
‘OT관리자 계정의 패스워드 변경 및 관리’에 대해서는 IT보안담당자 20.4%는 ‘3개월에 한 번씩 분기별로 변경 및 관리한다’고 답했고, OT산업종사자 29.5%는 ‘이슈가 있을 때만 변경 및 관리하고 있다’고 답해 패스워드 관리와 보안인식에서 차이를 보였다.
‘OT현장 설비에 최신 패치 적용’ 여부에 대해서는 IT보안담당자(30.8%)와 OT산업종사자(32.1%) 모두 ‘일부만 적용해 운영한다’는 답변이 가장 높게 나왔다. ‘승인 여부에 따라 업데이트하거나 하지 않는다’는 응답률도 IT보안담당자 21.9%, OT산업종사자 21.8%로 집계돼 절반 이상이 제대로 패치 하지 않는 것으로 조사됐다.
‘OT보안 솔루션 사용 여부’에 대해선 IT보안담당자(34.3%)와 OT산업종사자(51.2%) 모두 ‘필요성에 공감하지만, 단기간 내 도입 계획이 없다’는 답변이 가장 높은 수치를 기록했다. ‘도입할 계획이 없다’는 응답률은 IT보안담당자 23.9%, OT산업종사자 10.3%, ‘도입 검토 중’ 답변도 20.9%, 21.8% 응답률을 보였다. 이로써 IT보안담당자 79.1%, OT산업종사자 83.3%가 현재 OT보안 솔루션을 도입하지 않은 상태임을 짐작할 수 있다.
===========================================================================
OT보안 현황 및 문제점
노조미네트웍스, 자산 식별 어려운 게 가장 큰 문제
OT보안에 있어 가장 큰 문제점은 첫째, OT보안 전담조직이 없다는 점이다. 규모가 큰 대기업의 경우 보안관제 조직이 별도로 운영되고 있지만, 실질적으로 상위 IT시스템에 대한 보안관제에만 집중할 뿐 OT영역에 대한 전문 보안관제는 제대로 이뤄지지 않고 있다. 뿐만 아니라 기업에 따라서는 비전문가 영역인 생산조직에서 소홀하게 관리되는 경우도 적지 않다. 조직 규모가 작은 중소 제조기업의 경우 OT보안관제는 물론 상위 IT관제까지 제대로 되지 않고 있는 실정이다.
둘째, 자산 식별이 어렵다는 점이다. 전문적인 OT보안 솔루션이 도입되지 않은 경우 Level 1 ~ Level 3 하위 계층에 대한 IT, IoT 자산 식별이 어렵다. 자산이 식별되지 않은 환경의 경우 제조라인이 중단될 수 있다. 따라서 기업은 중요 생산기기의 생산 영속성을 지킬 수 있는 전문 OT보안 솔루션을 도입해야 한다. OT영역의 보안에 대한 정확한 위험 식별, 선제적인 보안위협 관제를 위해 IT보안관제 및 OT보안관제 조직의 구성이 시급하다. 이는 전문 OT관제 조직의 구성 및 운영이 기업의 중요한 개선사항으로 대두되고 있다는 뜻이다.
안랩, OT보안 정책과 솔루션 여전히 ‘미흡’
OT보안에 대한 관심은 높아지고 있음에도 불구하고 OT보안 정책이나 기업 환경에 맞는 전용 보안 솔루션 도입 등은 여전히 부족하다. IT분야의 경우 ISMS-P 등 컴플라이언스에 따라 매년 업데이트하고, 다양한 보안 솔루션과 보안관제 서비스를 이용하는 등 기본적인 보안이 유지되고 있다.
이에 비해 OT환경은 아직 관련 보안 규정이 논의되고 있어 망분리를 위한 방화벽과 안티바이러스 솔루션 이외에는 별도의 전용 솔루션을 구축하거나 관제를 도입하는 기업이 많지 않다. 또한, OT망 자산은 그간 생산설비 담당자들이 별도로 관리해왔기 때문에 기업 보안담당자가 OT보안에 대해서 전문지식을 갖추지 못한 경우가 많다. ‘회색 영역(Gray Area)’으로 남아있는 OT보안에 대한 R&R(Role & Responsibility) 수립이 필요한 상황이다.
이를 개선하기 위해서는 IT환경 수준까지는 못하더라도 OT환경에 최적화된 범위로 보안 수준을 높여 적용해야 하고, 문제를 진단해 관리적·기술적·물리적 영역에서 정책을 수립해야 한다. 또, 기업의 환경을 고려한 전용 OT보안솔루션을 적극 활용해 보안 관리와 모니터링을 수행해야 한다.
LG CNS, OT보안 인식수준과 시설 통합관리 및 보안전문가 확충 여부 점검해야
OT보안을 위해서는 보안에 대한 인식 강화와 공장, 시설 관련 정보의 통합관리 여부, 그리고 내부 보안전문가 확충 3가지를 먼저 점검해야 한다. 현재 OT보안을 도입했는지, 도입했다면 제대로 하고 있는지, 지금 당장 점검해봐야 한다.
해외에 본사를 둔 국내 A사의 경우, 본사 경영지침으로 4년 전부터 발 빠르게 OT보안을 도입하며, 보안체계를 고도화하고 있다. 이에 비해 대부분의 국내 기업들은 OT보안 중요성에 대한 인식이 낮은 편이다. 전사적 경영방침의 관점에서, 경영진부터 실무진까지 OT보안에 대한 중요성을 먼저 인식해야 한다.
효과적인 OT보안 도입을 위해서는 공장, 시설 등의 정보, 자산을 통합적으로 관리해야 한다. 그래야만 어느 영역이 OT보안의 대상인지 명확히 정의할 수 있다. 이때 보안 전문기업의 컨설팅이 필요할 수도 있다. 내부적으로는 OT보안 전문인력을 확충해야 한다. 외부 전문가와 기업을 통해 서비스와 솔루션을 도입하고, 운영·관제·대응을 위탁해 맡긴다고 해도, IT보안과 달리 OT보안은 현장과의 연계가 중요하다. 현장 상황은 내부 전문가가 제일 잘 알고 있다. 외부전문가만으로는 현장의 특성을 속속들이 반영하기에는 한계가 있다.
이글루코퍼레이션, OT환경에 대한 정확한 현황 파악 어려워
OT보안에 있어 가장 큰 어려움은 OT환경에 대한 정확한 현황 파악이 이뤄지지 못하고 있다는 점이다. 장비 솔루션 업체마다 전용 운영 체제와 프로토콜을 사용하고, 현장마다 적용한 구성이 다른 OT환경의 특성상, 이에 대한 접근 및 분석이 매우 어렵다.
기업의 실제 운영 환경도 적지 않은 걸림돌이다. 산업 현장에서 실제 OT장비가 어디에 얼마나 있는지 정확하게 파악하기 힘든 경우가 많다. 문제없이 동작한다면, 별도의 보안 패치를 하지 않는다. 이렇게 보호해야 할 자산이 정확하지 않으면, 중요한 보호대상을 정하고 보안전략을 수립하는 기초 단계부터 막힐 수밖에 없다. 보안 관점에서 OT가 수면 아래의 거대한 빙산처럼 여겨지는 이유다.
클래로티, IT와 OT 별개 업무로 인식 문제
디지털 트랜스포메이션(DX)이 가속화되면서 기존의 OT네트워크는 IT시스템 및 인터넷에 연결됐다. 이는 운영 효율성, 성능 및 서비스 품질을 개선할 수 있는 엄청난 비즈니스 가치 창출로 이어졌다. 산업용 사물인터넷(IIoT), 의료용 사물인터넷(IoMT) 및 확장 IoT(XIoT) 등의 부상으로 인한 상호 연결성 수준은 IT와 OT의 융합을 촉진했고, 이로 인해 물리적 세계가 디지털 구성 요소에 크게 의존하는 지점에 도달했다.
하지만 지금도 대부분의 기업들은 IT와 OT를 별개의 독립된 업무 영역으로 인식하고 있다. IT는 데이터 처리에 필요한 기능에만, OT는 물리적 프로세스를 모니터링하거나 수행하는 장치에만 집중하고 있다. 클래로티는 주요 인프라 조직의 운영 중 발생하는 복잡하고 진화하는 위협 환경을 이해하고 있다. 또한, 보안담당자가 포괄적인 가시성, 선별된 경보, 선제적 보안 제어, 보안 원격 액세스 등의 이점들을 이용해 ROI를 극대화할 수 있도록 설계된 제품군을 제공한다.
최고의 사이버 방어 전략은 위협에 대한 통합 생태계 구축이다. 이는 CPS 보안을 기존 IT보안기능과 통합해 위험 완화를 위한 전사적인 관리 방식으로 구성하는 것이다. 전사 거버넌스와의 통합적인 접근 방식을 적용해야 해당 조직의 기존 리소스 및 인력 활용의 효율성이 증가하고, 조직 운영과 ROI 측면이 개선될 수 있다.
트렌드마이크로, OT보안 전용 솔루션 구축 비율 52%
OT보안 사고를 대비할 수 있는 전용 솔루션 구축 비율이 52%에 불과하다는 조사결과가 있다. 하지만 OT보안 사고는 IT와 달리 사고의 영향도와 심각도가 더 크고 사고 이후의 대응계획을 바로 수립하고 이행하기가 쉽지 않다. 이러한 이유로 IT보안대책보다 더 선제적인 대응책 마련이 필요하지만, 아직은 그 필요성에 대한 인식이 부족하다. 사고 이후의 수습이 아닌 사전에 대응할 수 있는 준비가 필요하다.
파고네트웍스, 현재 상황부터 파악해야
OT보안은 시간, 인력, 비용, 기술의 이슈가 복합적으로 작용한다. 이 때문에 OT보안을 한 번에 모두 파악하고, 개선하기란 현실적으로 불가능하다. 현재 상황이 어떤지 현실적인 부분부터 파악해야 한다. 그런 다음 기본적인 이슈를 조치한 후 다음 프로세스를 진행해야 한다.
예를 들어 △수많은 엔드포인트 시스템에 대한 멀웨어탐지, 격리, 삭제 조치 △이미 감염된 OS 분류 및 대응조치 △감염된 OT전용 SW 분류 및 대응 조치 △엔드포인트 보안 강화 조치(OT전용 엔드포인트 악성코드 탐지 대응 보안) △네트워크 트래픽 가시성에 기반한 위협 탐지 대응 △보호받지 못하는 엔드포인트 찾기 위한 OT자산(Asset) 인텔리전스 등 순차적으로 접근 가능한 프로세스 순으로 진행돼야 한다. 그리고 그 이후에 좀 더 심도 있는 개선 방안을 논의하는 게 바람직하다.
한드림넷, “OT환경, 패쇄망 운영이 안전하다는 생각 문제”
첫째, 안전하다는 생각이 문제다. OT환경은 폐쇄망 환경에서 운영되기 때문에 보안에 안전하다는 생각을 한다. 하지만 내부 시스템 업데이트, 내부망 자료를 보내는 일들을 하기 위해서는 USB 또는 인터넷망에 연결해야 하는 등 내부망으로 접근할 수 있는 통로가 마련된다. 하지만 현실은 안전하다는 생각 때문에 이러한 감지와 대응을 못하고 있는 실정이다.
둘째, 내부 사용자의 보안위협이다. 허가받은 내부 단말은 네트워크의 모든 기기와의 통신 경로가 열려있다. 이는 보안장비를 우회해 내부 침투가 가능하다는 얘기다. 내부 사용자의 권한을 이용해 주요 정보 및 시스템 접근이 용이하다.
셋째, 보안에 대한 소극적인 투자가 문제다. IT자원은 보안을 위해 다양하게 투자되는 것에 비해 OT는 보안위협이 갈수록 커지고 있음에도 불구하고 OT보안을 아직까지 비용으로 인식하고 있는 점이 문제다. OT보안에 적극 투자할 수 있도록 인식이 개선돼야 한다.
휴네시온, ‘망분리 미흡’ 취약점 발견 조치 어려워
현재 많은 제조시설에서 제어시스템에 대한 자산 식별 및 망분리 운영이 되고 있지 않아 보안위협에 노출돼 있다. 가용성이 중요한 제어시스템에 보안취약점이 발견되더라도 즉각적으로 조치가 불가능한 경우가 많기에 알고 있어도 조치하지 못한 취약점이 누적될 수 있다.
그러나 더 큰 문제는 OT망의 가시성 확보를 위해 어떤 자산들이 연결되어 있는지, 그 자산들의 단말 정보, 시스템 정보, 네트워크 정보, 소프트웨어 정보 등 상세정보와 적용 중인 보안정책을 일목요연하게 파악하고 관리하는 게 어렵다는 점이다. 궁극적으로는 자산정보를 기반으로 자산 유형이나 특정 정보에 따라 유연한 보안정책 적용이 필요하다. 또한, 제어시스템을 망분리해 운영하더라도, IT와 OT결합 환경이 증가함에 따라 분리된 망에 대한 안전한 연동이 필요하고, 이에 대한 개선이 필요하다.
제조기업은 IT조직과 OT조직이 분리돼 있다. 제어시스템 구축 시 OT조직을 중심으로 아키텍처를 구성한다. 그러나 OT조직에서 시스템 구축 시 보안관리체계, 보안아키텍처 수립이 되지 않은 상태로 구축하는 경우가 있는데, 이것이 보안 홀이 될 수 있다. 초기 구축 시부터 IT조직과 OT조직 간의 협력을 통한 보안관리체계 구축이 필요하다.
[이미지=한드림넷]
[OT보안 대표 솔루션 집중분석-1]
한드림넷, ‘SG5000시리즈’, OT·ICS 보안을 위한 최적의 솔루션
화이트리스트 보안스위치, 네트워크 기반의 현실적인 OT보안 방안 제시
OT환경의 네트워크는 IT환경과 달리 모터, 밸브, 펌프, 팬, 계측센서 및 각종 IoT 기기와 전용 OS를 탑재한 비윈도우 계열의 단말들과 연결된다. 이러한 환경에서는 안티바이러스 등과 같은 에이전트 방식의 전통적인 보안 적용이 불가해 네트워크 레벨에서 단말의 유형에 관계없이 모든 패킷을 관리·통제할 수 있는 보안이 필요하다.
산업용 네트워크 보안을 위한 화이트리스트 보안스위치 ‘SG5000시리즈’
화이트리스트 보안스위치 ‘SG5000시리즈’는 모든 단말들의 1차 접점인 네트워크의 시작점(Access Level)에 위치해 내부 네트워크에서 발생하는 보안 위협을 효과적으로 대처할 수 있다. 국제 산업용 표준 프로토콜인 Modbus-TCP를 지원해, 산업 현장의 HMI에서 스위치의 상태 정보, 포트 사용 현황, 패킷 사용량, 유해 트래픽 발생 현황 등 실시간 모니터링이 가능하다. FA알람 시스템을 통해 실시간 장애·공격 탐지 시 경보 발생이 가능하다. 또한, 산업용 이더넷 구간의 암호화로 제어 시스템 운영정보, 제어 명령 등 모든 전송 데이터의 위·변조를 방지하고, 데이터의 기밀성과 무결성을 보장한다.
‘SG5000시리즈’는 제로 트러스트 전략을 화이트리스트(WhiteList) 기반의 보안 기술을 적용해 내부 사용자 또는 단말의 권한에 따라 통신 경로(화이트리스트)를 제한해 허용된 경로 외 모든 통신을 차단해 보안 위협을 예방할 수 있다. 또한, 허가받은 사용자라도 권한과 목적에 따라 ‘안전’이 증명된 것만을 허용해 폐쇄망, 산업 제어 설비망, 보안망 등에 활용될 수 있다.
OT환경에서 검증된 네트워크 스위치 기반 OT보안 솔루션
한드림넷은 K-water(한국수자원공사)와 성과공유제를 통한 ‘SG5000시리즈’를 개발해 K-water의 정수장 등 실제 OT환경에 적용했다. 주요정보통신 기반시설 취약점 분석평가에서 ‘네트워크 보안 부문 취약점 보안수준 100%’를 달성하는 등 OT·CS 보안을 위한 검증 사례를 확보했다. 국내외 특허 등록과 서울 국제발명전시회에서 대상 수상과 더불어 공공성, 혁신성을 인정받아 최근 조달청 혁신제품에도 지정됐다. 또한, ‘보안기능 확인서’도 확보해, 보안 적합성 검증을 생략하고 국가, 공공기관에서 도입이 가능하다.
[OT보안 대표 솔루션 집중분석-2]
파고네트웍스, ‘사일런스 프로텍트’로 OT엔드포인트 보안 대응
생산·제조망 OT엔드포인트 악성코드 탐지 대응 위한 최적화 적용 방법 제시
IT보안과 마찬가지로 OT보안을 위한 다양한 기술 솔루션이 여러 부문에서 등장하고 있다. 기존 IT부문에서 활발하게 적용되고 혁신적으로 발전하고 있는 보안 기술도 OT환경에서는 특수한 프로토콜과 시스템 특수성을 이해하며 위협을 탐지하고 대응해 나가는 방향성을 수립해야 한다.
하지만 OT생산·제조망의 운영 환경 특성상, 시스템 자체의 ‘가용성(Availability)’을 최대한 보장해야 한다. 이점은 여전히 OT보안을 활발하게 활성화 시키지 못하는 걸림돌로 작용하고 있다. 더불어 레거시 OS운영체제 작동과 완전한 폐쇄망(Air-Gapped Network)으로 인식되던 환경이 많이 연결(Connectivity)되는 것으로 파악돼 보안 적용 체계가 쉽지 않다.
OT전용 엔드포인트 보안 EPP 솔루션 ‘사일런스 프로텍트’
파고네트웍스는 OT생산·제조망의 다양한 OS운영체제 엔드포인트에 이미 침투해 있거나, 침투를 노리고 있는 악성코드를 정확하고 빠르게 탐지·대응하는 특화된 보안 솔루션 ‘사일런스 프로텍트(Cylance PROTECT)’를 제시하고 있다. 더불어 실질적인 효과로 증명된 파고네트웍스 매니지드 위협 탐지 및 대응 서비스를 동시에 제공하고 있다.
‘사일런스 프로텍트’는 대형 엔터프라이즈 제조기업부터 중견 및 중소기업 등에 OT엔드포인트 보안 강화 방안을 제시할 뿐 아니라 OT생산·제조망을 보유한 해외(미국, 유럽, 중국, 아시아) 진출 기업에도 동일한 수준의 솔루션과 서비스를 제공한다.
AI머신러닝 기반의 EPP 엔드포인트 보안 솔루션인 ‘사일런스 프로텍트’는 국내 및 글로벌 OT생산·제조망의 다양한 OS운영체제 엔드포인트 환경에서 안정적으로 운영되고 있다. 실제 악성코드 탐지 및 제거를 실행할 수 있는 현실적인 적용 방법론과 기술을 제공한다.
여전히 현장에서 운영 중인 Windows XP, 7, 2003 등의 레거시 OS 운영체제와 최신 운영체제를 동시에 완벽히 지원하고, CPU와 Memory 사용량이 현저히 낮은 현장의 오래된 시스템에서도 안정적으로 구동한다.
기존 OS와 OT관련 SW 간에 충돌 없는 안정적인 구동은 지난 6년간 솔루션을 사용한 모든 기업을 통해 체감할 수 있다. 엔드포인트 보안솔루션으로 인해 발생할 수 있는 가용성 고민을 제로(Zero)화하고, 악성코드 탐지 및 제거를 지원한다.
안티바이러스 솔루션은 OT생산·제조망 환경에서 작동이 쉽지 않다는 이슈를 불식시키고, 보안성을 최적의 상태로 업그레이드하는 적용 방법과 관리 방법을 제시한다. 이미 침투해 있는 멀웨어 탐지와 제거 등 보안 성능이 탁월하다. OS운영 체제의 특정 파일이 감염된 경우와 OT관련 SW모듈이 감염된 경우에는 정확한 탐지 이후, 파고네트웍스가 제공하는 대응 프로세스에 따라 가용성을 해치지 않으면서 기업과 함께 클린(Clean) 시스템을 만들어 가는 특화된 보안 방법론을 제공한다. 이는 기존 애플리케이션 화이트리스트 운영을 해오던 많은 기업이 ‘사일런스 프로텍트’로 전환한 사례를 통해 알 수 있다.
OT엔드포인트 보안 위해 많은 기업 ‘사일런스 프로텍트’ 선택
‘사일런스 프로텍트’는 지난 2017년부터 2023년 현재까지 약 6년간 대형 엔터프라이즈, 중견, 중소기업 등 규모에 상관없이 OT제조·생산망에 지속적으로 확장 적용하고 있다. 산업 분야도 화학, 배터리, 반도체, 일반 제조, 식음료, 철강, 자동차 부품 등 다양한 레퍼런스를 확보하고 있다. 국내뿐만 아니라, 해외(미국, 유럽, 중국, 동남아시아)에 제조공장을 보유한 기업도 OT엔드포인트 보안 강화를 위해 ‘사일런스 프로텍트’를 선택하고 있다.
최근에는 국내 대형 배터리, 전지 기업과 글로벌 자동차 기업의 해외 조인트 기업의 해외 제조 생산망에도 표준화 OT엔드포인트 보안솔루션으로 자리매김하고 있다. 이미 많은 기업을 확보하고 있고, 다양한 OT생산·제조망 환경에서 가용성과 보안성을 모두 지원하는 방법론이 증명되어 지속적으로 레퍼런스를 확보해 가고 있다.
‘사일런스 프로텍트’, OT생산·제조망 악성코드 탐지·제거
이미 안티바이러스 제품의 시그니처 데이터베이스에 존재하는 수많은 악성코드가 ‘사일런스 프로텍트’에 의해 탐지되고 있다. 이는 현장에 설치된 안티바이러스의 시그니처 업데이트가 잘 안되어 있거나, 시그니처 업데이트 후 성능 가용성 이슈로 인해 풀스캐닝이 불가능했거나, 처음부터 안티바이러스 제품 없이 애플리케이션 화이트리스트 솔루션에만 의지한 경우가 대부분이다.
‘사일런스 프로텍트’는 랜섬웨어, 드롭퍼, 다운로더, 트로얀, 해킹툴, 스캐닝툴, 크립토마이너 등 다양한 위협 멀웨어를 탐지하고 있다. 또 정상적인 OS운영 체제 파일이 감염되어 있고, OT관련 SW자체 모듈 일부가 감염되어 있는 경우 많이 탐지되고 있다. 기업에서 이렇게 정상적으로 작동해야 할 주요 파일들이 악성코드에 감염된 후 기업의 생산·제조망의 가용성이 무너지는 사례가 많다. ‘사일런스 프로텍트’는 이 부분을 정확하게 탐지하고, 파고네트웍스는 이 부분을 클린 환경으로 만들어 가는 방법론을 제시하고 있다.
파고네트웍스 딥액트 위협 탐지 및 대응 서비스, 악성코드 유효성 검증
‘사일런스 프로텍트’에 의해 탐지된 모든 악성코드는 유효성 검증을 100% 진행한다. 악성코드 여부, 정확한 악성코드 분류, OS·SW 파일 감염 여부, IOC·IOA 추출 및 공유, 기업과의 공동 대응을 위한 커뮤니케이션, 온-디맨드 악성코드 상세 분석, 사고 대응, 침해 여부 진단 등의 모든 활동을 지원한다. OT보안은 솔루션 자체만으로 모든 보안 목적을 달성할 수 없다. 안정되고 특화된 운영 방법론이 필요하다. 파고네트웍스의 딥액트(DeepACT) 위협 탐지 및 대응 서비스가 그 역할을 하고 있다.
[이미지=안랩]
[OT보안 대표 솔루션 집중분석-3]
안랩, ‘AhnLab EPS’와 ‘CEREBRO-IDS’로 통합 OT보안 구현
안랩과 나온웍스가 공동으로 IT·OT융합한 OT보안 프레임워크 구축
안랩은 지난 2021년 7월, 통합 OT보안 수요 확대에 대응하기 위해 산업제어 프로토콜 융합 보안 솔루션 전문기업 나온웍스를 인수했다. 탁월한 IT보안 역량을 갖춘 안랩은 나온웍스를 인수함으로써 자사 보안위협 탐지 및 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합해 통합 OT보안 프레임워크를 구축하고 있다. 해당 프레임워크에서는 여러 솔루션들이 유기적으로 연동하는데, 그중 OT엔드포인트 기반 보안 솔루션 ‘AhnLab EPS’와 네트워크 기반 OT가시성 및 위협 탐지 솔루션 ‘CEREBRO-IDS’가 주축을 이루고 있다.
OT엔드포인트 보안에 최적화된 솔루션 ‘AhnLab EPS’
‘AhnLab EPS’는 안정적 운용에 대한 요구가 높고 정해진 프로그램만 사용하는 OT환경에 최적화된 보안 솔루션으로, 국내외 반도체, 디스플레이, 자동차 등 다양한 제조 생산공장에서 사용되고 있다. ‘AhnLab EPS’를 사용하면 웹 기반 관리 시스템을 통해 각각의 설비 시설에 산재되어 있는 시스템을 식별해 효율적으로 통합 관리할 수 있다. 또한, 베이스라인 기반으로 인가된 프로세스와 매체만 사용을 허용해 OT환경에 가해질 수 있는 위협을 최소화한다.
악성코드 탐지 및 분석은 EPS 중앙 관리 서버에서 수행해 운영 안정성을 보장한다. 단말 시스템에 설치되는 초경량 에이전트(EPS Agent)와 중앙 모니터링 및 정책 관리 서버(EPS Server)로 구성되는 것이 특징이다. 또한, 윈도우 XP와 같은 구형 운영체제와 다양한 리눅스 배포판 환경에서도 에이전트 운영을 지원한다.
또, 안랩은 2022년 12월, OT자산 식별 및 ‘AhnLab EPS’ 사용성 강화를 위해 ‘AhnLab EPS Relay’를 출시했다. ‘AhnLab EPS Relay’는 기업에서 기존에 사용 중인 ‘AhnLab EPS’의 관리 서버와 폐쇄망 내 위치한 자산을 연결(Relay)해 그동안 파악이 어려웠던 폐쇄망 OT환경 내 자산에 대한 가시성과 보안 관리 기능을 제공한다.
OT가시성 및 위협탐지 모니터링 솔루션 ‘CEREBRO-IDS’
‘CEREBRO-IDS’는 안랩이 나온웍스를 인수한 이후, 양사가 공동 개발한 솔루션으로, 생산라인·제어설비 등 다양한 자산 현황에 대한 가시성을 제공하고, 네트워크에서 발생하는 각종 이상 행위와 보안 위협을 실시간으로 탐지한다. 주요 기능은 △IT·OT 주요 자산·네트워크 세션의 현황 및 토폴로지(Topology)맵 등 통합 정보 가시성 제공 △악성코드 침입과 유해 트래픽, 취약점 등 각종 보안위협 탐지 △OT프로토콜 심층 분석 및 머신러닝 기반 제어 로직 이상 탐지 등이 있다.
‘CEREBRO-IDS’에는 안랩의 고도화된 위협 탐지 기술이 적용된 TS엔진(백신 엔진)이 적용되어 있다. 이를 통해 스턱스넷(Stuxnet), 트리톤(Triton)과 같은 OT전용 악성코드나 랜섬웨어 등 각종 신·변종 악성코드 뿐만 아니라, 각종 네트워크 기반 유해 트래픽이나 취약점 악용 패킷을 탐지해 위협 상황을 실시간으로 경보한다. 또한, 나온웍스의 OT프로토콜 심층 분석 기능을 통해 ‘비인가 제어 설정 변조’, ‘사용자 오류’ 등 제어 로직에 대한 다양한 이상 행위를 탐지하고 알림을 제공해 실시간 보안 모니터링이 가능하다.
가용성을 보장하는 구성과 효율적인 운영도 제공한다. 기존 설비의 네트워크를 변경하지 않는 미러링(Mirroring) 방식으로 설비 가용성에 대한 우려 없이 OT망에 대한 각종 위협 및 이상 징후를 탐지할 수 있다. 센서별 정책 설정 및 관리 기능을 제공해 공정별 상이한 환경을 유연하게 관리해 보안 업무의 효율성도 높일 수 있다.
통합 보안 프레임워크 고도화로 OT환경 전계층 보안 확립
OT보안을 위해서는 최근 고도화되는 공격과 노후화된 OT망 자산 취약점을 악용한 보안 위협을 함께 탐지해 대응해야 한다. 이를 위해 엔드포인트와 네트워크 관점의 보안을 동시에 아우르는 체계를 갖춰야 한다. 안랩과 나온웍스는 엔드포인트와 네트워크를 함께 보호하는 통합 OT보안 프레임워크의 고도화를 지속할 계획이다.
[이미지=트렌드마이크로]
[OT보안 대표 솔루션 집중분석-4]
OT·ICS 보안 시장의 신흥강자, ‘트렌드마이크로 TXOne’ 주목
스마트 팩토리로의 전환과 함께 맞닥뜨린 OT보안위협의 선제적 대응 방안 제시
코로나 19로 인한 클라우드 전환 가속화, 서비스형 랜섬웨어 모델링이 주도하는 랜섬웨어 시장, 러시아-우크라이나 전쟁과 함께 확대되는 사이버전 등 최근의 다양한 위협들이 4차 산업혁명과 디지털 트랜스포메이션의 물결에 IT와 융합하고 있는 OT환경에 까지 노출되고 있다. 전세계 전기·제조 기업의 89%가 보안사고를 경험했고, 초기 공격 차단율이 40%에 불과하다는 조사결과를 보면 보안 대책 없는 IT와 OT의 통합은 더 큰 보안사고를 초래할 수밖에 없음을 예상할 수 있다. 이에 트렌드마이크로는 OT보안 전용 솔루션인 ‘TXOne’을 통해 점진적이고 선제적인 OT·ICS 보안의 해결책을 제시하고 있다.
OT네트워크 보안 - ‘EdgeIPS Pro’, ‘EdgeIPS’, ‘EdgeFire’, ‘OT Defense Console’
Edge 시리즈의 네트워크 보안 솔루션은 산업용 IDS·IPS로 보안 패치, 업데이트되지 않은 자산 시스템에 대해 ①취약점 공격을 네트워크 레이어에서 탐지, 방어까지 사용할 수 있어 취약한 자산 시스템을 보호한다.
②OT·ICS 전용 통신 프로토콜을 인지해 실시간 통신 및 자산 정보 가시성을 제공하고 필요시 통신의 방향성 권한이나 명령 전달 Function에 대한 룰을 지정해 허가된 통신만 가능하도록 규정할 수 있다.
③네트워크를 통해 전송되는 파일의 타입별 허가 기준 정책을 바탕으로 네트워크를 세분화해 Network Segment를 구현할 수 있다. ‘EdgeIPS Pro’는 스위치 형태의 최대 96개의 물리적 포트를 지원하고, 스트리밍 방식의 안티바이러스 기능을 탑재하고 있다. ‘EdgeFire’는 네트워크 상·하단을 기준으로 DHCP나 NAT 기능을 제공해 유연한 네트워크 구성을 가능케 한다. ‘OT Defense Console’은 위 네트워크 보안 디바이스의 중앙 관리 및 모니터링을 제공하는 솔루션이다.
OT엔드포인트 보안 - ‘Stellar Enforce’, ‘Stellar Protect’, ‘Portable Security’
Stellar 시리즈의 엔드포인트 보안솔루션은 미션크리티컬한 시스템에 적용할 수 있는 솔루션이다. ‘Stellar Enforce’는 허용 파일 리스트 기반의 락다운(Lockdown) 소프트웨어로 ICS, HMI, POS, SCADA, ATM 및 기타 임베디드 시스템을 포함한 악성코드 감염 및 무단 변경으로부터 시스템을 보호할 수 있는 제품이다.
‘Stellar Protect’는 산업 등급의 차세대 안티바이러스 소프트웨어로 정적 환경 및 변동 환경 엔드포인트에 모두 사용 가능하고 인터넷 연결 및 페쇄망 환경을 동시에 지원한다. 이 두 제품은 ‘Stellar One’이라는 관리 솔루션을 통해 통합 관리할 수 있다.
‘Portable Security’는 Windows 또는 Linux 장비의 USB 포트에 연결해 소프트웨어 설치 없이 악성코드를 감지하고 제거하는 휴대용 USB디바이스 타입의 보안 솔루션이다. 악성코드 검사 중에 자산 정보를 수집해 OT환경 내의 자산에 대한 구체적 가시성 확보까지도 가능하다.
[이미지=휴네시온]
[OT보안 대표 솔루션 집중분석-5]
휴네시온, OT보안에 최적화된 NAC ‘i-oneNAC’과 망연계 ‘i-oneNet DD’
제어망 보호·안전한 데이터 연동 망연계·IT·OT 융합환경에 최적화
2015년부터 8년 연속 국내 망연계 시장점유율 1위를 차지하고 있는 휴네시온은 망연계 선도기업으로 OT보안 강화를 위해 일방향 망연계 솔루션 ‘아이원넷 디디(i-oneNet DD)’와 네트워크 접근제어 솔루션 ‘아이원NAC(i-oneNAC)’을 제시하고 있다.
‘i-oneNet DD’, 물리적 매체 통한 일방향 데이터 전송...제어시스템 접근 원천 차단
‘i-oneNet DD’는 물리적 매체를 적용한 일방향 망연계(망간자료전송) 솔루션으로 보안수준이 높은 제어망으로의 접근을 원천 차단하면서 보안수준이 낮은 망으로 데이터를 전송하고자 할 때 연동지점에 위치해 데이터를 안전하게 전송한다.
‘i-oneNet DD’는 스마트팩토리, 스마트시티, 제어보안모니터링, 지능형 교통시스템, 기반시설 데이터 레이크 등 OT와 IT가 융합된 환경에서 일방향 TCP, UDP, 이기종 DBMS, 파일데이터, CCTV 동영상은 물론 IEC 61850, OPC, Modbus 등 산업용 프로토콜까지 다양한 프로토콜을 지원해 변화하는 환경과 다양한 요구를 수용해 서비스를 제공하고 있다.
최근에는 ‘i-oneNet DD’와 자회사 시큐어시스템즈 SOAR 제품인 ‘시큐어마에스트로(SecureMaestro)’를 연동해 OT환경의 보안 가시성을 확보하고 모니터링 대응체계를 구축했다.
‘i-oneNAC’ 네트워크 접근제어 기반 OT망 사이버보안 자산식별 및 보안 분석 사례
휴네시온은 한국전력공사의 중소기업 협력연구개발사업에 참여해 ‘OT전력망 사이버보안 자산식별·제어·분석 시스템 개발’ 사업을 완료했다. 다수의 네트워크로 구성된 전력망 환경에서 제로 트러스트 관점의 보안 검증을 위해 NAC 기술을 기반으로 OT전용 보안 센서를 개발하는 사업으로 ‘i-oneNAC’에 OT전력망 특화 기술을 반영했다.
‘i-oneNAC’은 한국전력공사 지사와 변전소의 실제 사용망 환경에서 SCADA 제어망의 OT운영 장비를 대상으로 시범 운영 중이다. 네트워크 통신 표준 프로토콜 분석 기반으로 자산식별 및 현행화해 네트워크 연결 장비의 가시성을 확보하고, 비인가 또는 미등록 운영 자산의 네트워크 접근을 통제함으로써 사이버보안 위험을 최소화한다.
[이미지=노조미 네트웍스]
[OT보안 대표 솔루션 집중분석-6]
투씨에스지, 국내 주요 제조 기업에 OT보안 솔루션 ‘노조미 네트웍스’ 구축
OT네트워크의 자산 가시성을 확보하고 다양한 공격 위협과 네트워크 이상징후 탐지
제어 설비를 노린 사이버 공격의 유형이 점점 다양해지고, 공격 빈도가 증가하고 있다. 해커의 공격 타깃이 기존 IT영역의 자산을 넘어 직접적으로 공정을 제어하는 설비로 향하고 있다. 제어 설비 해킹은 피해 범위를 예측하기 어려운 복구 불가능한 결과를 초래할 수 있다. 이는 해커가 설비 가용성을 인질로 삼아 금전적 이득을 취하고 있는 것으로 분석되고 있다.
보안 전문기업인 투씨에스지는 세계 1위 OT보안 기업인 노조미 네트웍스와 국내 공식 총판 계약을 맺고 제어 설비에 대한 효과적인 보안 위협과 이상징후 탐지, 가시성 확보 방안을 제시하고 있다.
OT보안 솔루션 Nozomi Networks ‘Guardian’
‘가디언(Guardian)’은 수집된 트래픽을 기반으로 공장 내부에 어떤 자산들이 존재하고 있는지 정확하게 파악하고 서로 어떻게 통신하는지에 대한 가시성을 확보한다. 트래픽은 철저하게 패시브(Mirror·SPAN) 방식으로 수집된다. 이는 새로운 솔루션 도입으로 인해 네트워크 부하가 증가해 공장에 이상이 생기지 않을까 걱정하는 설비 담당자의 부담을 덜어준다.
OT보안을 위한 첫 번째 스텝은 바로 가시성 확보다. ‘Guardian’은 자산별 상세 정보(OS, 펌웨어, 통신 현황 등)와 함께 각 자산이 가지고 있는 보안 취약점을 탐지한다. 또한, 인공지능 기반의 학습을 통해 각 제어 설비의 오작동과 잘못된 제어 명령의 전달 등의 공격과 비인가된 자산이 네트워크에 연결되거나 통신을 시도할 경우 자동으로 이를 탐지하고 알람을 생성한다.
마이터 어택(MITRE ATT&K) 지표를 통해 위협 정도를 직관적으로 확인할 수 있다. 시그니처, 행위 기반의 탐지 방안도 함께 제공해 다양한 공격 유형에 대응할 수 있다. 시나리오 기반의 알람 그룹핑을 통해 알람 간의 연관성을 자동으로 분석하고, 알람이 발하기 전과 후의 패킷을 자동으로 캡처해 PCAP(패킷 캡쳐 파일) 형태로 저장하는 등 침해 원인을 분석하기 위한 포렌식 절차에도 활용 가능하다.
OT보안 솔루션의 특징과 필요성에 대한 이해
현재 대부분의 국내·외 공장은 오래전에 완공되어 현재까지 운영되고 있다. Window XP같은 구형 OS, 오래된 설비들이 많이 남아 있다. 이러한 자산들이 가지고 있는 보안 취약점은 해커들의 제어망 침투 경로로 활용될 수 있어 OT보안의 필요성은 점점 증대되는 추세다.
OT네트워크를 구성하는 주요 요소인 제어 설비는 기존 IT솔루션에서 가시화하고 분석하기 어렵다. 각 제어 설비 제조사는 기존에 널리 알려진 통신 방식이 아닌 자체적으로 제작한 프로토콜을 통해 통신하고 있기 때문이다. 따라서 OT영역에 도입되는 솔루션은 반드시 제어 설비의 프로토콜에 대한 이해와 전문지식을 보유해야 한다. 솔루션 벤더 또한 OT에 대한 많은 노하우를 갖추고 있어야 한다.
노조미 네트웍스는 약 10년간의 경험을 통해 가장 효과적인 OT보안 솔루션을 전 세계를 대상으로 공급하고 있다. 실제 기업들이 솔루션에 대해 평가하는 Gartner Peer Insight에서 현재까지 가장 높은 평가(4.9/5.0만점)를 유지하고 있는 OT보안 전문기업이다.
[이미지=클래로티]
[OT보안 대표 솔루션 집중분석-7]
클래로티의 경고 시나리오, 외부 위협으로부터 산업 네트워크를 보호하라
산업 네트워크에 대한 사이버 위협은 수많은 형태로 나타난다. 보호되지 않은 IT네트워크와의 연결로 인해 발생하는 간단한 침입부터 특정 산업군의 프로세스나 직원의 의도치 않은 실수를 표적으로 하는 정교한 공격까지, 그 형태는 무궁무진하다. 또한, 사이버 표적 공격은 패치되지 않은 취약점이나 다른 보안 취약점을 악용하기 위해 종종 외부 연결을 활용하기도 한다.
이러한 시나리오에서 외부의 침입 시도를 저지할 수 있는 힘을 기업에게 부여하기 위해 클래로티는 ‘CTD(Continuous Threat Detection)’, ‘xDome’ 제품의 광범위한 가시성과 위험 분석 및 위협 탐지 기능을 제공, 지원한다.
클래로티 주요 제품들의 핵심 기능
영역 행위
우선 네트워크를 가상 영역으로 세분화한다. 이러한 영역은 유형 그리고 학습된 통신 패턴별로 나뉘어 해당 내용과 논리적 연관이 있는 자산들로 구성된다. 비정상적이거나 관찰되지 않은 패턴으로 영역 간 통신을 하는 자산은 영역 간 정책을 위반하며 시스템에 잠재적인 위협 경고를 발생시킨다.
설정 다운로드
설정 다운로드와 같은 주요 네트워크 변경이 발생할 때, 프로세스 무결성 경고를 발동시킨다. 이때 클래로티의 우수한 DPI(심층 패킷 검사) 기능을 통해 CTD는 설정 파일 내에서 변경된 코드의 세그먼트(Segment)와 라인을 정확히 찾아낼 수 있다.
근본 원인 분석
이 기능은 동일한 공격 또는 사고와 관련된 모든 이벤트를 단일 경고로 그룹화해 이벤트 체인에 대한 통합된 시야를 제공한다. 이를 통해 정확한 정보의 비율은 높아지고 오탐(False Positive)은 줄어들며 경고 피로도가 감소해 효율적이고 효과적으로 분류 및 완화할 수 있다.
보안팀, 전문적인 시각과 미묘한 컨텍스트 통해 운영 탄력성 보장
클래로티는 컨텍스트를 통해 사용자 정의 경고의 질을 높인다. 고유한 컨텍스트와 각 경고가 촉발되는 특정 상황을 기반으로 하는 알고리즘을 활용해 환경에 존재하는 위험을 평가하기 위한 맞춤형 단일 메트릭을 제공한다. 위험 경고 점수는 주의를 산만하게 하는 오탐을 쉽게 제거할 수 있을 뿐만 아니라 시간에 민감한 사건에 대응할 때 빠르고 효과적인 우선순위를 지정할 수 있다.
유동성과 사용 편의성을 위해 설계된 클래로티의 제품군은 보안팀이 실질적인 위험을 초래하는 위협을 완화하고 보안 결함을 이해하며 고유한 환경을 보호하는 데 필요한 기능들을 제공한다.
[이미지=이글루코퍼레이션]
[OT보안 대표 솔루션 집중분석-8]
이글루코퍼레이션 ‘스파이더 OT(SPiDER OT)’
산업별로 특화된 OT보안 전략 제시...OT환경 노리는 보안위협 선제 대응
디지털 전환 가속화에 발맞춰 스마트 팩토리, 스마트 시티, 스마트 빌딩 등의 주요 설비 제어와 관련된 운영 기술(OT) 보안의 중요성이 대두되고 있다. 외부 네트워크와 연결되는 정보 기술(IT) 영역과 OT영역의 접점이 늘어나면서, 그 허점을 노리는 보안 위협도 급격히 증가한 까닭이다. 공격자들은 인터넷에 연결된 외부 시스템과 폐쇄된 내부망의 접점에서 발생할 수있는 보안상 허점을 이용해 OT영역을 공격하고 있다.
이글루코퍼레이션, OT환경 보안, 진단·구축·관제·서비스까지 한번에 해결
이글루코퍼레이션은 ‘스파이더 OT(SPiDER OT)’를 중심으로 OT환경 보안 진단, OT보안 솔루션 구축, OT보안관제까지 아우르는 통합보안 서비스를 제공한다. 기업이 OT환경을 노리는 보안 위협에 선제적으로 대응할 수 있도록 지원하고 있다.
‘SPiDER OT’는 운영 중인 OT자산에 대한 폭넓은 가시성을 확보하고 OT환경에 대한 보안 위협을 분석 및 모니터링할 수 있는 OT보안 솔루션이다. 이글루코퍼레이션 고유의 이기종 보안 분석 노하우와 빌딩·선박·공장·조선소 등 다양한 산업제어 현장의 특성에 대한 이해를 토대로, IT와 OT영역을 포괄하는 자산 식별-보호-탐지-대응 기능을 제공한다.
보안 담당자는 ‘SPiDER OT’ 도입을 통해 IT보안 장비와 OT자산을 식별하고, OT센서를 통해 수집된 산업제어 프로토콜을 분석해 수집한 보안 이벤트를 통합 관리할 수 있다. 더불어, 정형·비정형 IT·OT데이터를 통합 분석할 수 있게 변환하는 데이터 정규화 기능, 발생하는 위협 경보를 직관적으로 확인할 수 있는 통합 대시보드 기능도 활용 가능하다.
스마트선박·스마트팩토리·스마트빌딩 운영에 최적화된 OT보안 전략 제시
이글루코퍼레이션은 앞서 자율운항 선박에 최적화된 OT보안 시스템을 구현해 내며 OT보안의 기술력과 완성도를 입증한 바 있다. 올해는 관계사인 파이오링크 및 물리보안·OT보안 기업과의 협업을 통해 스마트선박·스마트팩토리·스마트빌딩을 운영하는 해양·제조·건설 분야의 고객에게 산업 영역별로 특화된 OT보안 전략을 제시하는데 주력하고 있다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 오동환 한국인터넷진흥원 디지털산업본부 보안산업단장
[설문조사] ‘OT보안 솔루션 인식 및 선택기준에 대한 조사’ 결과 발표
OT 보안 대표 솔루션 분석: 한드림넷, 파고네트웍스, 안랩, 트렌드마이크로, 휴네시온, 노조미네트웍스, 클래로티, 이글루코퍼레이션
[보안뉴스 김경애 기자] “최근 전통 산업분야에서 가장 빠르게 디지털화되는 분야가 바로 제조업입니다. 최근 보안이슈를 살펴보면, 공장제어시스템, 도면관리시스템 등 OT영역을 대상으로 랜섬웨어(Ransomware) 감염 사고가 지속적으로 발생하고 있어요. 감염된 곳 대다수가 보안 인력 운용과 관련 투자 여력이 부족한 중소 스마트공장이죠. 백업 서버 구축 등 효과적인 랜섬웨어 대응을 위한 보안 강화 조치에 어려움을 겪고 있습니다. 특히, 제조공정 자동화 설비는 해당 설비 제조사가 설정한 초기 보안상태를 그대로 유지하는 경우가 많아요. 기업의 IT보안과 별개로 운영되는 경우가 대다수라 온라인 취약점과 관리의 공백이 상시 노출되는 경우가 상당수입니다.” - 오동환 한국인터넷진흥원 디지털산업본부 보안산업단장 -
[이미지=utoimage]
랜섬웨어 감염이 국내 제조업으로 크게 확산되면서 OT(Operational Technology: 운영기술) 보안의 중요성은 갈수록 커지고 있다. 2022년 제약사 등 국내 기업이 랜섬웨어에 감염되는 사건이 발생했다. 당시 제조업을 중심으로 랜섬웨어 공격이 확대되며 랜섬웨어 이슈가 집중 조명됐다.
과학기술정보통신부 홍진배 네트워크정책실장은 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’에서 “랜섬웨어 주 타깃이 제조업, 섬유업 등으로 확대되고 있다”고 밝힌 바 있다. 특히, 스마트공장과 같이 ICT기술이 접목된 OT환경의 변화로 IT와의 접점이 많아지면서 보안사고로 이어지고 있다.
이에 <보안뉴스>에서는 OT보안에 대해 집중적으로 다뤄보고자 한다. OT보안 개념부터 IT보안과 OT보안의 차이점에 대해 알아보고 한국인터넷진흥원(이하 KISA) 오동환 단장과의 인터뷰를 통해 OT보안의 실태와 지원 정책에 대해 들어봤다. 또 ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’를 통해 OT보안 인식도에 대해 알아보고, OT보안 대표 솔루션 기업과의 인터뷰를 통해 기업의 OT보안 이슈와 문제점에 대해 들어봤다.
OT보안, Level 0 ~ Level 5 각 단계에 맞게 적용해야
OT는 산업용 장비, 자산, 프로세스와 이벤트를 직접 모니터링하고 제어해 이상징후를 감지, 변경하는 하드웨어와 소프트웨어를 뜻한다. 주로 원격감시제어시스템(SCADA: Supervisory Control And Data Acquisition, 생산, 설비 등 분산된 장치들을 중앙에서 통제), 산업제어시스템(ICS: Industrial Control Systems), 프로그램 가능 논리 제어 장치(PLC: Programmable Logic Controllers), 원격단말장치(RTU: Remote Telemetry Unit), 사물인터넷(IoT) 등을 모두 포괄해 통칭한다.
OT환경은 국제표준(ISA/IEC 62443 PURDUE Model for OT System Classification)에 따라 Level 0, Level 1, Level 2, Level 3, Level 3.5, Level 4, Level 5로 구분된다. 각 단계별 계층에 따라 장치, 설비 등이 구성되어 운영된다.
Level 0은 현장 장비(필드 장비)나 장치 계층이다. 생산, 제조 등을 직접 수행하고 작업하는 장비로 센서, 밸브, 펌프, 로봇팔 등이 해당한다. Level 1의 제어 명령을 받아 동작하고, 생산상태 등 데이터를 수집해 상위레벨로 정보를 전달한다.
Level 1은 Level 0의 현장 장비나 장치를 제어하는 산업용 컨트롤러(Industrial Controllers) 계층이다. 산업용 컨트롤러는 공정 운영 단계로 PLC, RTU, IED(Intelligent Electrical Device), DCS(Distributed Control System) Controller) 등이 있다. Level 2로부터 운전 명령을 받아 Level 0으로 명령을 전달, 제어, 모니터링 등을 하고, 현재 데이터 상태를 Level 2로 전달한다.
Level 2는 운영 및 통제 계층(Operator Workstation)이다. SCADA, HMI(Human Machine Interface: 생산, 설비 등을 모니터링), EWS(Engineering Workstation), OWS(Operator Workstation) 등이 해당한다. 이러한 장비는 생산값과 운전값 등을 Level 1로 전달하고, Level 1에서 전달받은 데이터를 모니터링하며, 생산관리에 필요한 정보를 Level 3으로 전달한다.
Level 3 or Level 3.5는 생산, 설비 등을 관리하는 계층이다. 생산의 효율성을 지원하는 MES(Manufacturing Execution System), PLM(Product Lifecycle Management)과 공장의 생산과 설비장치들로부터 데이터를 수집해 축적하는 Historian 등이 해당한다. 이 계층은 Level 2로부터 정보를 수집·저장·가공하고 이러한 정보는 효율적인 공장 운영과 생산에 필요한 정보로 활용된다. 그리고 전사적 의사결정에 필요한 정보를 Level 4~5로 전달한다.
Level 4~5는 전사관리 계층이다. IT영역이며 ERP(Enterprise Resource Planning), CRM(Customer Relationship Management) 등이 여기에 해당한다. 외부 고객이나 협력기업으로부터 받은 요청 정보와 계획 등을 Level 3에 전달하고, 인터넷과 연결해 생산 정보 등을 관리한다.
IT환경과 OT환경, 달라도 너무 달라
이처럼 OT환경은 각 레벨에 따라 다른 장비가 사용되고 운영된다. 우선순위와 보안목적도 IT환경과 다르다. IT보안은 기밀성을 중시하는 반면, OT는 가용성(Availability)과 안전성(Safety)을 우선시한다. OT 산업 환경은 야외인 경우도 많아 극한의 온도와 진동, 지진 등 외부 요인의 영향을 받지 않아야 한다. 또한, 가동이 멈추면 안 되기 때문에 24시간 365일 무중단이 운영 조건이다.
기기 사용에서도 차이가 있다. IT는 HW 구축 네트워크 장비, PC, 서버 등을 사용하고 OT는 제어특화 장비인 전통적인 산업용 디바이스(PLC, HMI, Meters)를 사용한다. 시스템의 경우 IT는 소프트웨어 개방형 시스템이고 OT는 폐쇄형 시스템이다.
보안인식에서도 차이가 있다. IT는 보안인식이 필수로 인식되고 있는 반면, OT는 성능 영향에 우선한다. 그러다 보니 패치에서도 차이가 있다. IT는 정기적으로 자동 업데이트하는 반면, OT는 벤더(Vendor)에 의존적이거나 수동으로 업데이트를 한다. 혹시 장비에 영향을 줄까 우려해 업데이트하지 않는 경우도 비일비재하다.
사용하는 프로토콜에서도 차이가 있다. IT는 HTTP와 같이 범용 네트워크 프로토콜(Protocol)을 사용하는 반면, OT는 장비 제조사에서 지원하는 프로토콜을 사용한다. 그러다보니 제조사에 종속적이고, 기계별로 지원되는 프로토콜이 각기 달라 다양하다.
미국, 러-우 사태 이슈로 OT보안 강화 추세
OT보안이 중요한 이유는 크게 2가지다. 첫 번째는 러시아-우크라이나 사태와 같이 정치, 안보 측면과 두 번째는 스마트공장과 같이 디지털 환경으로의 변화다. 먼저 러-우크라이나 전쟁, 미-중 갈등 등 정치, 국가안보 측면에서 전 세계적으로 사이버공격이 거세지고 있다. 이러한 사이버공격은 기반시설 제어와 파괴, 사회 혼란을 일으키기 위한 목적으로 감행되고 있다.
러-우크라이나 사태로 미국 바이든 대통령은 2022년 3월 15일 ‘2022년 미국 사이버보안 강화법’에 서명했다. 강화된 법에 따라 미국의 중요 인프라 기업은 해킹 사고가 나거나 랜섬웨어가 감염돼 해커에게 돈을 지불할 경우 의무적으로 보고해야 한다. 이는 러시아가 자국 제재에 동참한 국가와 기업을 타깃으로 사이버공격을 펼칠 것을 대비한 조치로 기반시설 및 인프라 기업은 작은 취약점 하나에 노출되어도 치명적인 피해를 초래할 수 있다는 얘기다.
우리나라 역시 OT보안 위협으로부터 안전하지 않은 실정이다. 한국도 지난해 2월 러시아 제재에 동참했는데, 우리도 미국과 같이 사이버보안을 강화해야 한다는 목소리가 커지고 있다. 특히, 한국은 러시아와 우호 관계인 북한, 중국 등으로부터 사이버공격을 받고 있어 OT보안의 중요성은 날이 갈수록 커지고 있다.
디지털 환경 변화에 따라 OT보안 사고 급증
OT보안 사고는 이미 오래전부터 해외에서 끊임없이 발생했다. 2000년 러시아 천연가스회사 가스프롬(Gazprom)이 트로이목마(Trojan)에 감염된 바 있다. 2001년에는 미국 캘리포니아(California) 배전센터가 보안설정의 취약성으로 인해 2개의 웹서버가 뚫린 바 있으며 2003년에는 미국 오하이오 원자력 발전소(USA Ohio Nuclear Plant)가 윈도우 서버(MS-SQL 서버) 취약점으로 인해 네트워크를 마비시키는 슬래머웜(Slammer Worm)에 감염된 바 있다.
2007년에는 이란 원자력 발전소(Iran Nuclear Plant)가 기간시설 파괴 목적의 웜인 스턱스넷(Stuxnet)에 감염됐으며, 2009년에는 글로벌 오일 콤프(Global Oil Comp)가 이른바 ‘나이트 드래곤(Night Dragon)’ 사이버공격으로 멀웨어에 감염, 2011년 미국 수도 사업(USA Water Utility)이 사이버공격을 받은 바 있다.
이어 2012년 사우디아라비아 오일&가스 콤프(Saudi Arabia Oil & Gas Comp)가 MBR(Master Boot Record) 및 파일 변조 악성코드인 샤문(Shamoon) 바이러스(Virus)에 감염된 바 있으며, 2013~2015년 미국과 캐나다 50개 발전소(Power Plant) 운영사가 샤문 공격을 받아 설계 및 패스워드 정보가 유출된 바 있다.
2013년에는 독일(Germany)과 오스트레일리아(Australia) Pover Grid가 잘못된 제어 명령으로 인해 일부 전력망이 다운된 바 있으며, 2015년 오스트레일리아 에너지 연구소(Australia Dept. of Energy)와 2016년 이스라엘 전자 비자(Israel Electronic Authority) 발급 기관도 해킹 피해로 전력망이 다운됐다.
2017년 사우디아라비아 15개 부서와 2018년 이탈리아 오일 서비스 회사(Italy Oil Service firm)도 샤문 공격을 받아 서버와 터미널이 감염된 바 있다.
국내는 기반시설을 노린 디도스 공격을 비롯해 기술자료 획득과 돈을 뜯어내기 위한 협박으로 랜섬웨어 공격이 일상화되고 있다. 이에 OT보안 전문솔루션 기업인 노조미네트웍스, 안랩, LG CNS, 이글루코퍼레이션, 클래로티, 트렌드마이크로, 파고네트웍스, 한드림넷, 휴네시온과의 릴레이 인터뷰를 통해 국내 기관과 기업에서 피해가 커지고 있는 랜섬웨어 공격실태와 OT보안의 주요 이슈에 대해 들어봤다.
노조미네트웍스, 최근 OT보안 사고 대부분은 랜섬웨어 감염
그동안 OT영역은 외부에서의 접근이 엄격히 통제되는 폐쇄망으로 운영됐다. 그러다 보니 상대적으로 보안의 중요성이 부각되지 않았다. 하지만 디지털화가 빠르게 진행되고 IT영역과의 접점이 늘면서 공격패턴이 증가하고 있다.
주요 OT보안위협을 살펴보면 △인터넷망을 통한 외부 원격 지원 시 랜섬웨어 등과 같은 악성코드 유입 및 감염 △비인가 무선 통신을 통한 제어망 액세스로 악성코드 감염 △내부정보 유출 위험 △내부 네트워크 바이러스에 감염된 노트북 연결로 인한 악성코드 유입 및 감염 △인터넷망에서 다운로드 받은 파일을 USB를 통해 제어망으로 옮기면서 제어시스템이 랜섬웨어 등과 같은 악성코드에 감염돼 제어설비 가동 중단 △설비 간 시리얼 포트 연결로 설비 간 악성코드가 전파로 PLC 제어변수 변경 등 제어설비 공격 △PLC 제어변수 로직 감염 △방화벽 설정 누락으로 업무망에서의 제어망 HMI 접속 △비인가자 제어시스템의 접근 경로 노출 △외부 3rd 시스템과 제어망 내부 시스템 연결에 따른 FA망과 외부망 접근 경로 유출 등이 있다.
특히, OT환경은 IT환경에 비해 상대적으로 관리가 취약하다. 주요 생산설비에 대한 보안 관리 및 펌웨어 패치 등이 적절히 이뤄지지 않아 다수의 취약점이 존재한다. 그러다보니 최근 주요 OT보안 사고를 보면, 제조업에 공격이 집중돼 있다. 석유화학, 발전소, 에너지 등 사회기반 시설을 노리고 있으며, 현재 해커의 공격은 랜섬웨어가 대다수다. 일반 제조공장과 같이 망분리가 명확한 영역은 유지보수 담당자에 의한 비인가 장치(사설 USB 등)에서의 바이러스 감염 등이 주요 보안 위협이다.
안랩, OT시스템 노리고 악성코드와 랜섬웨어 공격
악성코드를 활용한 공격과 랜섬웨어 공격이 지속적으로 발생하고 있다. 올해도 이러한 경향은 이어질 전망이다. 공격자는 OT환경 공격을 통해 최종적으로 제어나 생산 설비 등과 같은 각종 시스템을 노린다. 이를 위해 악성코드를 사용하고, 금전적 이득을 취하기 위해 랜섬웨어를 계속 활용한다.
제조업의 경우 다른 산업에 비해 조업 중단 시 시간당 손실액이 매우 크다. 이 때문에 랜섬웨어 감염 시 몸값을 지불할 확률이 높다. 실제로 최근 몇 년 사이 중공업이나 반도체, 자동차 등 대형 엔터프라이즈급의 제조, 생산 업종을 타깃으로 금전을 목적으로 한 랜섬웨어 공격이 발생하고 있다. 이러한 공격은 앞으로도 증가할 것으로 예상된다.
LG CNS, 2021년 44% 기업 6번 이상 OT타깃 공격 피해
글로벌 산업을 이끌고 있는 주요 국가(미국, 독일, 일본)의 핵심 인더스트리 설비를 보유한 기업을 대상으로 OT환경을 타깃으로 한 침해사례를 조사했다. 2021년 한 해 동안 기업 44%는 6번 이상 OT환경을 노린 사이버 공격을 받았고, 평균 30억원 이상의 피해가 발생했다.
이글루코퍼레이션, 제조 공급망 노린 랜섬웨어 공격 증가
전년과 유사하게, 제조 공급망을 노린 랜섬웨어 공격이 증가할 전망이다. 사고 발생 시 전 세계 생산망과 경제활동을 뒤흔드는 혼란이 야기될 수 있기 때문이다. 이는 기존 랜섬웨어 공격에 비해 더 높은 몸값을 요구할 수 있다는 얘기다.
세계 최대 정육업체 JBS Foods를 타깃으로 했던 공격이 대표적이다. 공격자는 ICS, SCADA 네트워크와 동일한 테스트 환경을 제공해주는 서비스를 통해 탐지되지 않는 특정 랜섬웨어 제작에 주력한 것으로 조사됐다.
클래로티, CPS 보안 비즈니스 지속성에 영향
의료, 상업 등 다양한 분야의 기업은 디지털 트랜스포메이션과 CPS(사이버 물리 시스템) 융합의 가치를 실현하기 시작했다. OT환경을 IT네트워크, 인터넷 및 다양한 XIoT(확장 IoT) 장치에 연결해 자동화와 제어 측면에서 효율성과 편의성을 향상시켜 왔다. 그러나 악의적인 공격자가 새로운 공격 전술을 이용할 경우 조직은 불안정한 상황에 처할 수 있다.
따라서 사이버-물리적 상호 연결성이 비즈니스에 중요해질수록 CPS 보안이 비즈니스 지속성에 영향을 미치게 된다. 이때, CPS 보안은 디지털 트랜스포메이션 구축과 함께 보조를 맞춰 발전하지 않으면 향후 추가적인 비용 소모가 막대해진다. 사이버 물리 시스템과 관련된 위협의 예는 △멀웨어 △랜섬웨어 △무단 원격 액세스 △DDoS 공격(Distributed Denial-of-Service) △서비스 변조 △공급망 공격 등에서 확인할 수 있다.
트렌드마이크로, 랜섬웨어가 제조업 가용성 마비시켜
제조업은 가용성이 최우선 과제다. 공격자도 이를 잘 알고 있기에 랜섬웨어 공격으로 가용성을 마비시키고 금전적 요구를 한다. 하지만 이런 표면적인 것 내부에는 중요 정보 유출이라는 진짜 목적이 숨어있을 수 있다. 이점을 간과해서는 안 된다. 일부 피해 기업은 랜섬웨어 피해복구에 정신이 팔려 내부 핵심 정보가 유출되었다는 사실조차 인지하지 못하는 경우가 많다. OT보안에 대한 시각을 넓히고, 점진적인 준비를 해야 하는 이유다.
파고네트웍스, 랜섬웨어 유입 경로 고민 필요
OT보안 이슈에 대해서는 이미 발생한 사고에 대한 조치보다 먼저 랜섬웨어 또는 멀웨어의 유입 경로에 대한 깊은 고민이 필요하다. △네트워크 연결 여부(내부, 인터넷 모두) △매체 사용 여부(USB 등) △취약한 애플리케이션 존재 여부(OS, SW 모두) △취약한 프로토콜 사용 여부(FTP, Telnet, SMB, RDP, Share 등) △취약한 사용자 계정 또는 시스템 계정 사용 여부(Administrator, Admin, Root 등) 등의 요소들은 IT보안을 할 때, 파악하고 조치해야 할 사항과 크게 다르지 않다.
하지만 OT보안에 대한 인식과 비IT 인력에 의한 시스템 도입, 그리고 OT전문 보안팀의 부재 등으로 인해 앞서 취약한 부분들이 잘 파악되고 있지 않다는 게 주요 이슈로 불거지고 있다. 실제로 OT매니지드 보안 서비스를 수행해 보면, 다양한 OT시스템에 상당수의 멀웨어가 이미 감염된 상태로 작동되고 있고, 애플리케이션 화이트리스트 솔루션이 있지만, 이미 멀웨어에 감염된 SW 또는 멀웨어 자체가 화이트리스트로 수동 분류된 사례가 잦은 게 현실이다.
한드림넷, 정보탈취 등 OT보안 위협 증가
제조업에서 발생하는 주요 보안이슈는 산업제어시스템의 운영을 위협하는 사이버공격, 정보 탈취, 내부 사용자로 인한 위협, IoT장치의 보안 취약성과 불가시성(Invisibility) 및 공급망 위험 등의 증가다.
최근 일본은 협력업체와 해외지사를 노린 공격이 잇따르고 있다. 강력한 보안 시스템을 갖춘 제조 대기업의 본사 공장보다 보안이 취약하기 때문이다. 특히, 부품 조달을 위한 공급망은 일본 내 협력사와 세계 각지로 확대돼 있어 모든 부품 공급업체의 보안 강화는 쉽지 않다. 그러다보니 랜섬웨어와 같은 사이버 공격의 표적이 될 가능성이 높다. 2022년 3월, 도요타의 주요 부품 협력사인 코지마 프레스가 랜섬웨어 공격으로 일본 내 도요타의 전체 14개 공장 가동이 중단됐다. 상용차 자회사인 히노자동차와 경차 자회사인 다이하쓰공업도 일본 공장의 전체 또는 일부 가동이 중단됐다.
IDC Japan의 조사(2021.4.27)에 따르면, OT환경에서 발생하는 주요 보안사고는 △생산, 제조 라인이나 시스템의 일시 정지가 25.5% △시스템의 파괴, 파손, 고장이 18.6% △생산, 제조 라인이나 시스템의 완전정지가 18% △제어 데이터나 파라미터 등의 변조가 11.2% 등으로 물리적인 피해가 많다. 사건사고 발생 장소로는 △외부 네트워크 접속 40.4% △사내 네트워크 38.5% △산업용 제어시스템 등의 OT네트워크 13.0% △IoT, IIoT(산업용 IoT) 시스템 네트워크 11.8% 등으로 네트워크에 관련된 장소가 상위를 차지했다.
이러한 보안위협에 대비하기 위해서는 산업제어시스템의 네트워크 분할(Network Segmentation), 네트워크 액세스 제어, 네트워크 가시성 확보 등 강력한 보안조치 구현이 중요하다. 특히, 비윈도우 계열(Android. iOS, Linux)과 전용 OS가 설치된 단말의 증가, SW Agent를 설치할 수 없는 OT환경으로 인해 네트워크 단말의 접점에서 단말 유형에 관계 없이 모든 패킷을 관리 및 통제할 수 있는 네트워크 액세스 레벨에서의 보안 적용이 필요하다.
휴네시온, IoT 적용에 따라 랜섬웨어와 디도스 공격 발생
IoT(사물인터넷) 적용, 원격근무 환경 확대에 따라 랜섬웨어와 디도스 공격이 지속적으로 발생하고 있다. 이는 IT연결 접점이 많아짐에 따라 OT보안 위협도 커지게 되면서 발생한 것이다. IT연결 접점은 갈수록 많아지고 있어 중요자산 및 중요 영역은 망분리를 통해 운영하고 보안을 강화해야 한다.
===========================================================================
[인터뷰] 오동환 한국인터넷진흥원 보안산업단장
“스마트공장 보안모델과 함께 스마트공장 보안리빙랩 서비스 적극 활용 필요”
그렇다면 정부에서는 OT보안 강화를 위해 어떤 노력을 하고 있을까. 본지는 오동환 한국인터넷진흥원 보안산업단장과의 인터뷰를 통해 국내 기관과 기업의 OT보안 현황과 주요 보안이슈, KISA에서 지원하고 있는 OT보안 정책에 대해 들어봤다.
OT보안 현황은 어떤가요?
OT보안 현황은 전반적으로 열악합니다. 지난해 말 과학기술정보통신부가 발표한 ‘정보보호 공시 분석보고서’에 따르면 IT투자 대비 제조업 분야의 정보보호 투자 비중은 9.74%, 정보보호 전담인력은 12.65%입니다. 수치상 낮진 않지만, 연매출 3,000억원 이상 기업이 대상이에요. 이중 하위 10대 기업의 정보보호 투자 총액이 7억원도 되지 않고, 삼성전자, SK하이닉스 등 IT제조업을 제외하면 정보보안 상황은 매우 열악할 것으로 예측됩니다.
특히, 저희가 직접 방문하고 경험한 대다수 중소 제조업체의 경우, 보안전담 인력이 부재하고, 동시에 유지보수 서비스가 만료된 방화벽 운용, 외부망이 생산영역에 그대로 연결되는 등 보안위협에 무방비로 노출되어 있었습니다.
지난해 제조업 타깃으로 랜섬웨어가 기승을 부린 바 있습니다. 현재 제조업에서 발생하는 보안이슈는 무엇인가요?
최근 전통 산업분야에서 가장 빠르게 디지털화로 되어가고 있는 분야가 바로 제조업입니다. 특히, 이 분야에 공장제어시스템, 도면관리시스템 등 랜섬웨어 공격이 집중되고 있는데요. 그 이유는 한 번의 공격으로 큰 피해를 줄 수 있기 때문입니다. 복구를 위해 많은 시간과 비용이 들어 타협의 요소가 높아요. 해커 입장에서는 매우 가성비가 높은 산업으로 인식되고 있죠.
반면, 보안 인력 운용과 관련 투자는 여력이 부족한 중소 스마트공장이 대다수에요. 백업 서버 구축 등 효과적으로 랜섬웨어를 대응하기 위한 보안 강화 조치에 어려움을 겪고 있습니다. 특히, 제조공정 자동화에 따른 설비는 설비 제조사에서 설정한 초기 보안상태를 그대로 유지하는 경우가 많거든요. 기업의 IT보안 분야와 별개로 운영되는 경우가 대다수라 온라인 취약점과 관리의 공백이 상시 노출되어 있는 경우가 많습니다.
OT보안과 관련해 문제점은 무엇인가요?
OT시스템은 취약점이 발생하면 공장 전체를 정지시키거나 파괴할 수 있어요. 그 대상에 따라 국가 전체에 상당한 데미지를 줄 수 있습니다. 문제는 OT시스템은 구축 후 변경이 쉽지 않다는 것입니다. 특히, 취약점을 발견해도 쉽게 패치할 수 없어요. 공장에서 패치를 위해 공장 시스템을 정지시킨다는 것은 일정 부분 시간과 비용을 감수해야 하기 때문이죠. 또한, 새로운 장비 도입 시 기존 OT시스템과의 통합관리도 쉽지 않습니다. 전담인력 부재로 보안 시스템 조차 어떤 방식으로 설치·운영해야 하는지 등 기본적인 보안사고 대응이 어려운 게 원천적인 문제입니다.
OT보안을 위해 최소한 이것만은 해야 한다고 강조하고 싶은 건 무엇인가요?
OT영역에서 운용 중인 자산이 어느 네트워크에 연결되어 있는지 기본적인 자산 운용 현황을 주기적으로 업데이트하고, 관리하면 보안 강화에 도움이 됩니다. 자산 운용 현황이 제대로 파악되지 않아 보호 대상을 식별하는데 많은 어려움을 겪고 있어요. 또한, 생산 PC, PLC 등 OT영역에서 운용 중인 장비들을 도입할 때 적용되어 있던 기본 비밀번호를 변경해야 합니다.
OT보안 강화를 위해 정부에서 운영 중인 지원 정책은 무엇인가요?
현재 OT보안 강화를 위해 스마트공장 보안모델 제공과 스마트공장 보안리빙랩을 운용하고 있습니다. 스마트공장 보안모델의 경우, OT영역에서 발생할 수 있는 보안위협과 보안위협을 완화하기 위한 보안 요구사항, 그리고 보안 요구사항을 충족하기 위한 보안기술과 솔루션을 명시한 가이드라 볼 수 있는데요. 스마트공장 관계자에게 OT보안 강화에 참고할 수 있도록 유관부처·기관과 협력해 제공하고 있습니다. 또한, OT영역에서 운용 중인 설비와 서비스에 대해 보안취약점 점검을 수행할 수 있는 환경인 보안리빙랩을 구축해 스마트공장 관계자를 대상으로 무료로 보안성 시험을 지원하고 있습니다.
OT보안 강화 측면에서 우수한 OT보안 모델이나 구축 사례에 대해 소개해주신다면?
일부 OT보안 구축사례에 대해 소개해 드리면 OT전용 방화벽 구축을 지원해 업무망과 공장망, 공장망과 인터넷망의 분리와 같이 공장 네트워크의 구조 개선을 지원한 바 있습니다. 또한, 클라우드 서비스를 받는 제조실행 시스템(MES)과의 대외 연계 대책으로 SSL-VPN 적용과 함께 비인가자의 접근에 대해서는 차단 정책 적용을 지원해 OT보안을 강화했습니다. 최근 글로벌 트렌드는 OT보안 영역에 제로트러스트를 적용해 엣지단에서의 보안성 강화를 추구하는 방향으로 전환되고 있습니다.
OT보안 강화를 위해 정부와 KISA가 계획하고 있는 정책은 무엇인가요?
과학기술정보통신부와 KISA는 보안 수요가 있는 중소 스마트공장에 직접 방문해 제어설비, 제어서비스에 대해 무료로 보안취약점 점검을 수행하는 ‘찾아가는 스마트공장 보안리빙랩 서비스’를 제공할 계획입니다. 찾아가는 스마트공장 보안리빙랩 서비스는 지난해부터 제공하는 서비스로 중소벤처기업부와 협력해 보안 수요를 발굴하고 보안 점검과 보안컨설팅, 보안교육을 제공하는 서비스입니다.
이외에 KISA는 산업 분야별 보안 강화를 위해 스마트공장(안산 경기테크노파크), 디지털헬스케어(원주 의료테크노밸리), 자율주행차(군산 자동차융합기술원), 실감콘텐츠(안양 디지털콘텐츠성장지원센터), 스마트시티(부산 동남정보보호센터) 등 5대 분야에 대한 보안위협을 분석하고 위협에 대응하는 보안리빙랩을 함께 운영하고 있습니다.
==========================================================================
[설문조사] OT보안 솔루션 인식 및 선택기준
IT보안담당자와 OT산업군 종사자간 OT보안 인식도 비교해보니
본지는 OT보안 실태에 대해 좀더 자세히 파악하기 위해 IT보안담당자와 OT산업군 종사자를 대상으로 각각 ‘OT보안솔루션 인식 및 선택기준에 대한 설문조사’를 실시해 답변을 비교 분석해 봤다.
▲ ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
먼저 ‘OT내부시스템을 어떻게 관리’하고 있는지에 대해 IT보안담당자(36.8%)와 OT산업종사자(24.4%) 모두 ‘IT·정보보안 담당부서가 맡고 있다’는 응답률이 가장 높게 나타났다. ‘OT보안 전담부서에서 관리하고 있다’는 답변은 IT보안담당자 6%, OT산업종사자 7.7%로 집계됐다. 이를 통해 OT보안 전담부서가 부재하고, 보안관리가 제대로 되지 않고 있음을 알 수 있다.
▲ ‘OT보안 솔루션 인식 및 선택기준에 대한 설문조사’[이미지=보안뉴스]
‘OT관리자 계정의 패스워드 변경 및 관리’에 대해서는 IT보안담당자 20.4%는 ‘3개월에 한 번씩 분기별로 변경 및 관리한다’고 답했고, OT산업종사자 29.5%는 ‘이슈가 있을 때만 변경 및 관리하고 있다’고 답해 패스워드 관리와 보안인식에서 차이를 보였다.
‘OT현장 설비에 최신 패치 적용’ 여부에 대해서는 IT보안담당자(30.8%)와 OT산업종사자(32.1%) 모두 ‘일부만 적용해 운영한다’는 답변이 가장 높게 나왔다. ‘승인 여부에 따라 업데이트하거나 하지 않는다’는 응답률도 IT보안담당자 21.9%, OT산업종사자 21.8%로 집계돼 절반 이상이 제대로 패치 하지 않는 것으로 조사됐다.
‘OT보안 솔루션 사용 여부’에 대해선 IT보안담당자(34.3%)와 OT산업종사자(51.2%) 모두 ‘필요성에 공감하지만, 단기간 내 도입 계획이 없다’는 답변이 가장 높은 수치를 기록했다. ‘도입할 계획이 없다’는 응답률은 IT보안담당자 23.9%, OT산업종사자 10.3%, ‘도입 검토 중’ 답변도 20.9%, 21.8% 응답률을 보였다. 이로써 IT보안담당자 79.1%, OT산업종사자 83.3%가 현재 OT보안 솔루션을 도입하지 않은 상태임을 짐작할 수 있다.
===========================================================================
OT보안 현황 및 문제점
노조미네트웍스, 자산 식별 어려운 게 가장 큰 문제
OT보안에 있어 가장 큰 문제점은 첫째, OT보안 전담조직이 없다는 점이다. 규모가 큰 대기업의 경우 보안관제 조직이 별도로 운영되고 있지만, 실질적으로 상위 IT시스템에 대한 보안관제에만 집중할 뿐 OT영역에 대한 전문 보안관제는 제대로 이뤄지지 않고 있다. 뿐만 아니라 기업에 따라서는 비전문가 영역인 생산조직에서 소홀하게 관리되는 경우도 적지 않다. 조직 규모가 작은 중소 제조기업의 경우 OT보안관제는 물론 상위 IT관제까지 제대로 되지 않고 있는 실정이다.
둘째, 자산 식별이 어렵다는 점이다. 전문적인 OT보안 솔루션이 도입되지 않은 경우 Level 1 ~ Level 3 하위 계층에 대한 IT, IoT 자산 식별이 어렵다. 자산이 식별되지 않은 환경의 경우 제조라인이 중단될 수 있다. 따라서 기업은 중요 생산기기의 생산 영속성을 지킬 수 있는 전문 OT보안 솔루션을 도입해야 한다. OT영역의 보안에 대한 정확한 위험 식별, 선제적인 보안위협 관제를 위해 IT보안관제 및 OT보안관제 조직의 구성이 시급하다. 이는 전문 OT관제 조직의 구성 및 운영이 기업의 중요한 개선사항으로 대두되고 있다는 뜻이다.
안랩, OT보안 정책과 솔루션 여전히 ‘미흡’
OT보안에 대한 관심은 높아지고 있음에도 불구하고 OT보안 정책이나 기업 환경에 맞는 전용 보안 솔루션 도입 등은 여전히 부족하다. IT분야의 경우 ISMS-P 등 컴플라이언스에 따라 매년 업데이트하고, 다양한 보안 솔루션과 보안관제 서비스를 이용하는 등 기본적인 보안이 유지되고 있다.
이에 비해 OT환경은 아직 관련 보안 규정이 논의되고 있어 망분리를 위한 방화벽과 안티바이러스 솔루션 이외에는 별도의 전용 솔루션을 구축하거나 관제를 도입하는 기업이 많지 않다. 또한, OT망 자산은 그간 생산설비 담당자들이 별도로 관리해왔기 때문에 기업 보안담당자가 OT보안에 대해서 전문지식을 갖추지 못한 경우가 많다. ‘회색 영역(Gray Area)’으로 남아있는 OT보안에 대한 R&R(Role & Responsibility) 수립이 필요한 상황이다.
이를 개선하기 위해서는 IT환경 수준까지는 못하더라도 OT환경에 최적화된 범위로 보안 수준을 높여 적용해야 하고, 문제를 진단해 관리적·기술적·물리적 영역에서 정책을 수립해야 한다. 또, 기업의 환경을 고려한 전용 OT보안솔루션을 적극 활용해 보안 관리와 모니터링을 수행해야 한다.
LG CNS, OT보안 인식수준과 시설 통합관리 및 보안전문가 확충 여부 점검해야
OT보안을 위해서는 보안에 대한 인식 강화와 공장, 시설 관련 정보의 통합관리 여부, 그리고 내부 보안전문가 확충 3가지를 먼저 점검해야 한다. 현재 OT보안을 도입했는지, 도입했다면 제대로 하고 있는지, 지금 당장 점검해봐야 한다.
해외에 본사를 둔 국내 A사의 경우, 본사 경영지침으로 4년 전부터 발 빠르게 OT보안을 도입하며, 보안체계를 고도화하고 있다. 이에 비해 대부분의 국내 기업들은 OT보안 중요성에 대한 인식이 낮은 편이다. 전사적 경영방침의 관점에서, 경영진부터 실무진까지 OT보안에 대한 중요성을 먼저 인식해야 한다.
효과적인 OT보안 도입을 위해서는 공장, 시설 등의 정보, 자산을 통합적으로 관리해야 한다. 그래야만 어느 영역이 OT보안의 대상인지 명확히 정의할 수 있다. 이때 보안 전문기업의 컨설팅이 필요할 수도 있다. 내부적으로는 OT보안 전문인력을 확충해야 한다. 외부 전문가와 기업을 통해 서비스와 솔루션을 도입하고, 운영·관제·대응을 위탁해 맡긴다고 해도, IT보안과 달리 OT보안은 현장과의 연계가 중요하다. 현장 상황은 내부 전문가가 제일 잘 알고 있다. 외부전문가만으로는 현장의 특성을 속속들이 반영하기에는 한계가 있다.
이글루코퍼레이션, OT환경에 대한 정확한 현황 파악 어려워
OT보안에 있어 가장 큰 어려움은 OT환경에 대한 정확한 현황 파악이 이뤄지지 못하고 있다는 점이다. 장비 솔루션 업체마다 전용 운영 체제와 프로토콜을 사용하고, 현장마다 적용한 구성이 다른 OT환경의 특성상, 이에 대한 접근 및 분석이 매우 어렵다.
기업의 실제 운영 환경도 적지 않은 걸림돌이다. 산업 현장에서 실제 OT장비가 어디에 얼마나 있는지 정확하게 파악하기 힘든 경우가 많다. 문제없이 동작한다면, 별도의 보안 패치를 하지 않는다. 이렇게 보호해야 할 자산이 정확하지 않으면, 중요한 보호대상을 정하고 보안전략을 수립하는 기초 단계부터 막힐 수밖에 없다. 보안 관점에서 OT가 수면 아래의 거대한 빙산처럼 여겨지는 이유다.
클래로티, IT와 OT 별개 업무로 인식 문제
디지털 트랜스포메이션(DX)이 가속화되면서 기존의 OT네트워크는 IT시스템 및 인터넷에 연결됐다. 이는 운영 효율성, 성능 및 서비스 품질을 개선할 수 있는 엄청난 비즈니스 가치 창출로 이어졌다. 산업용 사물인터넷(IIoT), 의료용 사물인터넷(IoMT) 및 확장 IoT(XIoT) 등의 부상으로 인한 상호 연결성 수준은 IT와 OT의 융합을 촉진했고, 이로 인해 물리적 세계가 디지털 구성 요소에 크게 의존하는 지점에 도달했다.
하지만 지금도 대부분의 기업들은 IT와 OT를 별개의 독립된 업무 영역으로 인식하고 있다. IT는 데이터 처리에 필요한 기능에만, OT는 물리적 프로세스를 모니터링하거나 수행하는 장치에만 집중하고 있다. 클래로티는 주요 인프라 조직의 운영 중 발생하는 복잡하고 진화하는 위협 환경을 이해하고 있다. 또한, 보안담당자가 포괄적인 가시성, 선별된 경보, 선제적 보안 제어, 보안 원격 액세스 등의 이점들을 이용해 ROI를 극대화할 수 있도록 설계된 제품군을 제공한다.
최고의 사이버 방어 전략은 위협에 대한 통합 생태계 구축이다. 이는 CPS 보안을 기존 IT보안기능과 통합해 위험 완화를 위한 전사적인 관리 방식으로 구성하는 것이다. 전사 거버넌스와의 통합적인 접근 방식을 적용해야 해당 조직의 기존 리소스 및 인력 활용의 효율성이 증가하고, 조직 운영과 ROI 측면이 개선될 수 있다.
트렌드마이크로, OT보안 전용 솔루션 구축 비율 52%
OT보안 사고를 대비할 수 있는 전용 솔루션 구축 비율이 52%에 불과하다는 조사결과가 있다. 하지만 OT보안 사고는 IT와 달리 사고의 영향도와 심각도가 더 크고 사고 이후의 대응계획을 바로 수립하고 이행하기가 쉽지 않다. 이러한 이유로 IT보안대책보다 더 선제적인 대응책 마련이 필요하지만, 아직은 그 필요성에 대한 인식이 부족하다. 사고 이후의 수습이 아닌 사전에 대응할 수 있는 준비가 필요하다.
파고네트웍스, 현재 상황부터 파악해야
OT보안은 시간, 인력, 비용, 기술의 이슈가 복합적으로 작용한다. 이 때문에 OT보안을 한 번에 모두 파악하고, 개선하기란 현실적으로 불가능하다. 현재 상황이 어떤지 현실적인 부분부터 파악해야 한다. 그런 다음 기본적인 이슈를 조치한 후 다음 프로세스를 진행해야 한다.
예를 들어 △수많은 엔드포인트 시스템에 대한 멀웨어탐지, 격리, 삭제 조치 △이미 감염된 OS 분류 및 대응조치 △감염된 OT전용 SW 분류 및 대응 조치 △엔드포인트 보안 강화 조치(OT전용 엔드포인트 악성코드 탐지 대응 보안) △네트워크 트래픽 가시성에 기반한 위협 탐지 대응 △보호받지 못하는 엔드포인트 찾기 위한 OT자산(Asset) 인텔리전스 등 순차적으로 접근 가능한 프로세스 순으로 진행돼야 한다. 그리고 그 이후에 좀 더 심도 있는 개선 방안을 논의하는 게 바람직하다.
한드림넷, “OT환경, 패쇄망 운영이 안전하다는 생각 문제”
첫째, 안전하다는 생각이 문제다. OT환경은 폐쇄망 환경에서 운영되기 때문에 보안에 안전하다는 생각을 한다. 하지만 내부 시스템 업데이트, 내부망 자료를 보내는 일들을 하기 위해서는 USB 또는 인터넷망에 연결해야 하는 등 내부망으로 접근할 수 있는 통로가 마련된다. 하지만 현실은 안전하다는 생각 때문에 이러한 감지와 대응을 못하고 있는 실정이다.
둘째, 내부 사용자의 보안위협이다. 허가받은 내부 단말은 네트워크의 모든 기기와의 통신 경로가 열려있다. 이는 보안장비를 우회해 내부 침투가 가능하다는 얘기다. 내부 사용자의 권한을 이용해 주요 정보 및 시스템 접근이 용이하다.
셋째, 보안에 대한 소극적인 투자가 문제다. IT자원은 보안을 위해 다양하게 투자되는 것에 비해 OT는 보안위협이 갈수록 커지고 있음에도 불구하고 OT보안을 아직까지 비용으로 인식하고 있는 점이 문제다. OT보안에 적극 투자할 수 있도록 인식이 개선돼야 한다.
휴네시온, ‘망분리 미흡’ 취약점 발견 조치 어려워
현재 많은 제조시설에서 제어시스템에 대한 자산 식별 및 망분리 운영이 되고 있지 않아 보안위협에 노출돼 있다. 가용성이 중요한 제어시스템에 보안취약점이 발견되더라도 즉각적으로 조치가 불가능한 경우가 많기에 알고 있어도 조치하지 못한 취약점이 누적될 수 있다.
그러나 더 큰 문제는 OT망의 가시성 확보를 위해 어떤 자산들이 연결되어 있는지, 그 자산들의 단말 정보, 시스템 정보, 네트워크 정보, 소프트웨어 정보 등 상세정보와 적용 중인 보안정책을 일목요연하게 파악하고 관리하는 게 어렵다는 점이다. 궁극적으로는 자산정보를 기반으로 자산 유형이나 특정 정보에 따라 유연한 보안정책 적용이 필요하다. 또한, 제어시스템을 망분리해 운영하더라도, IT와 OT결합 환경이 증가함에 따라 분리된 망에 대한 안전한 연동이 필요하고, 이에 대한 개선이 필요하다.
제조기업은 IT조직과 OT조직이 분리돼 있다. 제어시스템 구축 시 OT조직을 중심으로 아키텍처를 구성한다. 그러나 OT조직에서 시스템 구축 시 보안관리체계, 보안아키텍처 수립이 되지 않은 상태로 구축하는 경우가 있는데, 이것이 보안 홀이 될 수 있다. 초기 구축 시부터 IT조직과 OT조직 간의 협력을 통한 보안관리체계 구축이 필요하다.
[이미지=한드림넷]
[OT보안 대표 솔루션 집중분석-1]
한드림넷, ‘SG5000시리즈’, OT·ICS 보안을 위한 최적의 솔루션
화이트리스트 보안스위치, 네트워크 기반의 현실적인 OT보안 방안 제시
OT환경의 네트워크는 IT환경과 달리 모터, 밸브, 펌프, 팬, 계측센서 및 각종 IoT 기기와 전용 OS를 탑재한 비윈도우 계열의 단말들과 연결된다. 이러한 환경에서는 안티바이러스 등과 같은 에이전트 방식의 전통적인 보안 적용이 불가해 네트워크 레벨에서 단말의 유형에 관계없이 모든 패킷을 관리·통제할 수 있는 보안이 필요하다.
산업용 네트워크 보안을 위한 화이트리스트 보안스위치 ‘SG5000시리즈’
화이트리스트 보안스위치 ‘SG5000시리즈’는 모든 단말들의 1차 접점인 네트워크의 시작점(Access Level)에 위치해 내부 네트워크에서 발생하는 보안 위협을 효과적으로 대처할 수 있다. 국제 산업용 표준 프로토콜인 Modbus-TCP를 지원해, 산업 현장의 HMI에서 스위치의 상태 정보, 포트 사용 현황, 패킷 사용량, 유해 트래픽 발생 현황 등 실시간 모니터링이 가능하다. FA알람 시스템을 통해 실시간 장애·공격 탐지 시 경보 발생이 가능하다. 또한, 산업용 이더넷 구간의 암호화로 제어 시스템 운영정보, 제어 명령 등 모든 전송 데이터의 위·변조를 방지하고, 데이터의 기밀성과 무결성을 보장한다.
‘SG5000시리즈’는 제로 트러스트 전략을 화이트리스트(WhiteList) 기반의 보안 기술을 적용해 내부 사용자 또는 단말의 권한에 따라 통신 경로(화이트리스트)를 제한해 허용된 경로 외 모든 통신을 차단해 보안 위협을 예방할 수 있다. 또한, 허가받은 사용자라도 권한과 목적에 따라 ‘안전’이 증명된 것만을 허용해 폐쇄망, 산업 제어 설비망, 보안망 등에 활용될 수 있다.
OT환경에서 검증된 네트워크 스위치 기반 OT보안 솔루션
한드림넷은 K-water(한국수자원공사)와 성과공유제를 통한 ‘SG5000시리즈’를 개발해 K-water의 정수장 등 실제 OT환경에 적용했다. 주요정보통신 기반시설 취약점 분석평가에서 ‘네트워크 보안 부문 취약점 보안수준 100%’를 달성하는 등 OT·CS 보안을 위한 검증 사례를 확보했다. 국내외 특허 등록과 서울 국제발명전시회에서 대상 수상과 더불어 공공성, 혁신성을 인정받아 최근 조달청 혁신제품에도 지정됐다. 또한, ‘보안기능 확인서’도 확보해, 보안 적합성 검증을 생략하고 국가, 공공기관에서 도입이 가능하다.
[OT보안 대표 솔루션 집중분석-2]
파고네트웍스, ‘사일런스 프로텍트’로 OT엔드포인트 보안 대응
생산·제조망 OT엔드포인트 악성코드 탐지 대응 위한 최적화 적용 방법 제시
IT보안과 마찬가지로 OT보안을 위한 다양한 기술 솔루션이 여러 부문에서 등장하고 있다. 기존 IT부문에서 활발하게 적용되고 혁신적으로 발전하고 있는 보안 기술도 OT환경에서는 특수한 프로토콜과 시스템 특수성을 이해하며 위협을 탐지하고 대응해 나가는 방향성을 수립해야 한다.
하지만 OT생산·제조망의 운영 환경 특성상, 시스템 자체의 ‘가용성(Availability)’을 최대한 보장해야 한다. 이점은 여전히 OT보안을 활발하게 활성화 시키지 못하는 걸림돌로 작용하고 있다. 더불어 레거시 OS운영체제 작동과 완전한 폐쇄망(Air-Gapped Network)으로 인식되던 환경이 많이 연결(Connectivity)되는 것으로 파악돼 보안 적용 체계가 쉽지 않다.
OT전용 엔드포인트 보안 EPP 솔루션 ‘사일런스 프로텍트’
파고네트웍스는 OT생산·제조망의 다양한 OS운영체제 엔드포인트에 이미 침투해 있거나, 침투를 노리고 있는 악성코드를 정확하고 빠르게 탐지·대응하는 특화된 보안 솔루션 ‘사일런스 프로텍트(Cylance PROTECT)’를 제시하고 있다. 더불어 실질적인 효과로 증명된 파고네트웍스 매니지드 위협 탐지 및 대응 서비스를 동시에 제공하고 있다.
‘사일런스 프로텍트’는 대형 엔터프라이즈 제조기업부터 중견 및 중소기업 등에 OT엔드포인트 보안 강화 방안을 제시할 뿐 아니라 OT생산·제조망을 보유한 해외(미국, 유럽, 중국, 아시아) 진출 기업에도 동일한 수준의 솔루션과 서비스를 제공한다.
AI머신러닝 기반의 EPP 엔드포인트 보안 솔루션인 ‘사일런스 프로텍트’는 국내 및 글로벌 OT생산·제조망의 다양한 OS운영체제 엔드포인트 환경에서 안정적으로 운영되고 있다. 실제 악성코드 탐지 및 제거를 실행할 수 있는 현실적인 적용 방법론과 기술을 제공한다.
여전히 현장에서 운영 중인 Windows XP, 7, 2003 등의 레거시 OS 운영체제와 최신 운영체제를 동시에 완벽히 지원하고, CPU와 Memory 사용량이 현저히 낮은 현장의 오래된 시스템에서도 안정적으로 구동한다.
기존 OS와 OT관련 SW 간에 충돌 없는 안정적인 구동은 지난 6년간 솔루션을 사용한 모든 기업을 통해 체감할 수 있다. 엔드포인트 보안솔루션으로 인해 발생할 수 있는 가용성 고민을 제로(Zero)화하고, 악성코드 탐지 및 제거를 지원한다.
안티바이러스 솔루션은 OT생산·제조망 환경에서 작동이 쉽지 않다는 이슈를 불식시키고, 보안성을 최적의 상태로 업그레이드하는 적용 방법과 관리 방법을 제시한다. 이미 침투해 있는 멀웨어 탐지와 제거 등 보안 성능이 탁월하다. OS운영 체제의 특정 파일이 감염된 경우와 OT관련 SW모듈이 감염된 경우에는 정확한 탐지 이후, 파고네트웍스가 제공하는 대응 프로세스에 따라 가용성을 해치지 않으면서 기업과 함께 클린(Clean) 시스템을 만들어 가는 특화된 보안 방법론을 제공한다. 이는 기존 애플리케이션 화이트리스트 운영을 해오던 많은 기업이 ‘사일런스 프로텍트’로 전환한 사례를 통해 알 수 있다.
OT엔드포인트 보안 위해 많은 기업 ‘사일런스 프로텍트’ 선택
‘사일런스 프로텍트’는 지난 2017년부터 2023년 현재까지 약 6년간 대형 엔터프라이즈, 중견, 중소기업 등 규모에 상관없이 OT제조·생산망에 지속적으로 확장 적용하고 있다. 산업 분야도 화학, 배터리, 반도체, 일반 제조, 식음료, 철강, 자동차 부품 등 다양한 레퍼런스를 확보하고 있다. 국내뿐만 아니라, 해외(미국, 유럽, 중국, 동남아시아)에 제조공장을 보유한 기업도 OT엔드포인트 보안 강화를 위해 ‘사일런스 프로텍트’를 선택하고 있다.
최근에는 국내 대형 배터리, 전지 기업과 글로벌 자동차 기업의 해외 조인트 기업의 해외 제조 생산망에도 표준화 OT엔드포인트 보안솔루션으로 자리매김하고 있다. 이미 많은 기업을 확보하고 있고, 다양한 OT생산·제조망 환경에서 가용성과 보안성을 모두 지원하는 방법론이 증명되어 지속적으로 레퍼런스를 확보해 가고 있다.
‘사일런스 프로텍트’, OT생산·제조망 악성코드 탐지·제거
이미 안티바이러스 제품의 시그니처 데이터베이스에 존재하는 수많은 악성코드가 ‘사일런스 프로텍트’에 의해 탐지되고 있다. 이는 현장에 설치된 안티바이러스의 시그니처 업데이트가 잘 안되어 있거나, 시그니처 업데이트 후 성능 가용성 이슈로 인해 풀스캐닝이 불가능했거나, 처음부터 안티바이러스 제품 없이 애플리케이션 화이트리스트 솔루션에만 의지한 경우가 대부분이다.
‘사일런스 프로텍트’는 랜섬웨어, 드롭퍼, 다운로더, 트로얀, 해킹툴, 스캐닝툴, 크립토마이너 등 다양한 위협 멀웨어를 탐지하고 있다. 또 정상적인 OS운영 체제 파일이 감염되어 있고, OT관련 SW자체 모듈 일부가 감염되어 있는 경우 많이 탐지되고 있다. 기업에서 이렇게 정상적으로 작동해야 할 주요 파일들이 악성코드에 감염된 후 기업의 생산·제조망의 가용성이 무너지는 사례가 많다. ‘사일런스 프로텍트’는 이 부분을 정확하게 탐지하고, 파고네트웍스는 이 부분을 클린 환경으로 만들어 가는 방법론을 제시하고 있다.
파고네트웍스 딥액트 위협 탐지 및 대응 서비스, 악성코드 유효성 검증
‘사일런스 프로텍트’에 의해 탐지된 모든 악성코드는 유효성 검증을 100% 진행한다. 악성코드 여부, 정확한 악성코드 분류, OS·SW 파일 감염 여부, IOC·IOA 추출 및 공유, 기업과의 공동 대응을 위한 커뮤니케이션, 온-디맨드 악성코드 상세 분석, 사고 대응, 침해 여부 진단 등의 모든 활동을 지원한다. OT보안은 솔루션 자체만으로 모든 보안 목적을 달성할 수 없다. 안정되고 특화된 운영 방법론이 필요하다. 파고네트웍스의 딥액트(DeepACT) 위협 탐지 및 대응 서비스가 그 역할을 하고 있다.
[이미지=안랩]
[OT보안 대표 솔루션 집중분석-3]
안랩, ‘AhnLab EPS’와 ‘CEREBRO-IDS’로 통합 OT보안 구현
안랩과 나온웍스가 공동으로 IT·OT융합한 OT보안 프레임워크 구축
안랩은 지난 2021년 7월, 통합 OT보안 수요 확대에 대응하기 위해 산업제어 프로토콜 융합 보안 솔루션 전문기업 나온웍스를 인수했다. 탁월한 IT보안 역량을 갖춘 안랩은 나온웍스를 인수함으로써 자사 보안위협 탐지 및 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합해 통합 OT보안 프레임워크를 구축하고 있다. 해당 프레임워크에서는 여러 솔루션들이 유기적으로 연동하는데, 그중 OT엔드포인트 기반 보안 솔루션 ‘AhnLab EPS’와 네트워크 기반 OT가시성 및 위협 탐지 솔루션 ‘CEREBRO-IDS’가 주축을 이루고 있다.
OT엔드포인트 보안에 최적화된 솔루션 ‘AhnLab EPS’
‘AhnLab EPS’는 안정적 운용에 대한 요구가 높고 정해진 프로그램만 사용하는 OT환경에 최적화된 보안 솔루션으로, 국내외 반도체, 디스플레이, 자동차 등 다양한 제조 생산공장에서 사용되고 있다. ‘AhnLab EPS’를 사용하면 웹 기반 관리 시스템을 통해 각각의 설비 시설에 산재되어 있는 시스템을 식별해 효율적으로 통합 관리할 수 있다. 또한, 베이스라인 기반으로 인가된 프로세스와 매체만 사용을 허용해 OT환경에 가해질 수 있는 위협을 최소화한다.
악성코드 탐지 및 분석은 EPS 중앙 관리 서버에서 수행해 운영 안정성을 보장한다. 단말 시스템에 설치되는 초경량 에이전트(EPS Agent)와 중앙 모니터링 및 정책 관리 서버(EPS Server)로 구성되는 것이 특징이다. 또한, 윈도우 XP와 같은 구형 운영체제와 다양한 리눅스 배포판 환경에서도 에이전트 운영을 지원한다.
또, 안랩은 2022년 12월, OT자산 식별 및 ‘AhnLab EPS’ 사용성 강화를 위해 ‘AhnLab EPS Relay’를 출시했다. ‘AhnLab EPS Relay’는 기업에서 기존에 사용 중인 ‘AhnLab EPS’의 관리 서버와 폐쇄망 내 위치한 자산을 연결(Relay)해 그동안 파악이 어려웠던 폐쇄망 OT환경 내 자산에 대한 가시성과 보안 관리 기능을 제공한다.
OT가시성 및 위협탐지 모니터링 솔루션 ‘CEREBRO-IDS’
‘CEREBRO-IDS’는 안랩이 나온웍스를 인수한 이후, 양사가 공동 개발한 솔루션으로, 생산라인·제어설비 등 다양한 자산 현황에 대한 가시성을 제공하고, 네트워크에서 발생하는 각종 이상 행위와 보안 위협을 실시간으로 탐지한다. 주요 기능은 △IT·OT 주요 자산·네트워크 세션의 현황 및 토폴로지(Topology)맵 등 통합 정보 가시성 제공 △악성코드 침입과 유해 트래픽, 취약점 등 각종 보안위협 탐지 △OT프로토콜 심층 분석 및 머신러닝 기반 제어 로직 이상 탐지 등이 있다.
‘CEREBRO-IDS’에는 안랩의 고도화된 위협 탐지 기술이 적용된 TS엔진(백신 엔진)이 적용되어 있다. 이를 통해 스턱스넷(Stuxnet), 트리톤(Triton)과 같은 OT전용 악성코드나 랜섬웨어 등 각종 신·변종 악성코드 뿐만 아니라, 각종 네트워크 기반 유해 트래픽이나 취약점 악용 패킷을 탐지해 위협 상황을 실시간으로 경보한다. 또한, 나온웍스의 OT프로토콜 심층 분석 기능을 통해 ‘비인가 제어 설정 변조’, ‘사용자 오류’ 등 제어 로직에 대한 다양한 이상 행위를 탐지하고 알림을 제공해 실시간 보안 모니터링이 가능하다.
가용성을 보장하는 구성과 효율적인 운영도 제공한다. 기존 설비의 네트워크를 변경하지 않는 미러링(Mirroring) 방식으로 설비 가용성에 대한 우려 없이 OT망에 대한 각종 위협 및 이상 징후를 탐지할 수 있다. 센서별 정책 설정 및 관리 기능을 제공해 공정별 상이한 환경을 유연하게 관리해 보안 업무의 효율성도 높일 수 있다.
통합 보안 프레임워크 고도화로 OT환경 전계층 보안 확립
OT보안을 위해서는 최근 고도화되는 공격과 노후화된 OT망 자산 취약점을 악용한 보안 위협을 함께 탐지해 대응해야 한다. 이를 위해 엔드포인트와 네트워크 관점의 보안을 동시에 아우르는 체계를 갖춰야 한다. 안랩과 나온웍스는 엔드포인트와 네트워크를 함께 보호하는 통합 OT보안 프레임워크의 고도화를 지속할 계획이다.
[이미지=트렌드마이크로]
[OT보안 대표 솔루션 집중분석-4]
OT·ICS 보안 시장의 신흥강자, ‘트렌드마이크로 TXOne’ 주목
스마트 팩토리로의 전환과 함께 맞닥뜨린 OT보안위협의 선제적 대응 방안 제시
코로나 19로 인한 클라우드 전환 가속화, 서비스형 랜섬웨어 모델링이 주도하는 랜섬웨어 시장, 러시아-우크라이나 전쟁과 함께 확대되는 사이버전 등 최근의 다양한 위협들이 4차 산업혁명과 디지털 트랜스포메이션의 물결에 IT와 융합하고 있는 OT환경에 까지 노출되고 있다. 전세계 전기·제조 기업의 89%가 보안사고를 경험했고, 초기 공격 차단율이 40%에 불과하다는 조사결과를 보면 보안 대책 없는 IT와 OT의 통합은 더 큰 보안사고를 초래할 수밖에 없음을 예상할 수 있다. 이에 트렌드마이크로는 OT보안 전용 솔루션인 ‘TXOne’을 통해 점진적이고 선제적인 OT·ICS 보안의 해결책을 제시하고 있다.
OT네트워크 보안 - ‘EdgeIPS Pro’, ‘EdgeIPS’, ‘EdgeFire’, ‘OT Defense Console’
Edge 시리즈의 네트워크 보안 솔루션은 산업용 IDS·IPS로 보안 패치, 업데이트되지 않은 자산 시스템에 대해 ①취약점 공격을 네트워크 레이어에서 탐지, 방어까지 사용할 수 있어 취약한 자산 시스템을 보호한다.
②OT·ICS 전용 통신 프로토콜을 인지해 실시간 통신 및 자산 정보 가시성을 제공하고 필요시 통신의 방향성 권한이나 명령 전달 Function에 대한 룰을 지정해 허가된 통신만 가능하도록 규정할 수 있다.
③네트워크를 통해 전송되는 파일의 타입별 허가 기준 정책을 바탕으로 네트워크를 세분화해 Network Segment를 구현할 수 있다. ‘EdgeIPS Pro’는 스위치 형태의 최대 96개의 물리적 포트를 지원하고, 스트리밍 방식의 안티바이러스 기능을 탑재하고 있다. ‘EdgeFire’는 네트워크 상·하단을 기준으로 DHCP나 NAT 기능을 제공해 유연한 네트워크 구성을 가능케 한다. ‘OT Defense Console’은 위 네트워크 보안 디바이스의 중앙 관리 및 모니터링을 제공하는 솔루션이다.
OT엔드포인트 보안 - ‘Stellar Enforce’, ‘Stellar Protect’, ‘Portable Security’
Stellar 시리즈의 엔드포인트 보안솔루션은 미션크리티컬한 시스템에 적용할 수 있는 솔루션이다. ‘Stellar Enforce’는 허용 파일 리스트 기반의 락다운(Lockdown) 소프트웨어로 ICS, HMI, POS, SCADA, ATM 및 기타 임베디드 시스템을 포함한 악성코드 감염 및 무단 변경으로부터 시스템을 보호할 수 있는 제품이다.
‘Stellar Protect’는 산업 등급의 차세대 안티바이러스 소프트웨어로 정적 환경 및 변동 환경 엔드포인트에 모두 사용 가능하고 인터넷 연결 및 페쇄망 환경을 동시에 지원한다. 이 두 제품은 ‘Stellar One’이라는 관리 솔루션을 통해 통합 관리할 수 있다.
‘Portable Security’는 Windows 또는 Linux 장비의 USB 포트에 연결해 소프트웨어 설치 없이 악성코드를 감지하고 제거하는 휴대용 USB디바이스 타입의 보안 솔루션이다. 악성코드 검사 중에 자산 정보를 수집해 OT환경 내의 자산에 대한 구체적 가시성 확보까지도 가능하다.
[이미지=휴네시온]
[OT보안 대표 솔루션 집중분석-5]
휴네시온, OT보안에 최적화된 NAC ‘i-oneNAC’과 망연계 ‘i-oneNet DD’
제어망 보호·안전한 데이터 연동 망연계·IT·OT 융합환경에 최적화
2015년부터 8년 연속 국내 망연계 시장점유율 1위를 차지하고 있는 휴네시온은 망연계 선도기업으로 OT보안 강화를 위해 일방향 망연계 솔루션 ‘아이원넷 디디(i-oneNet DD)’와 네트워크 접근제어 솔루션 ‘아이원NAC(i-oneNAC)’을 제시하고 있다.
‘i-oneNet DD’, 물리적 매체 통한 일방향 데이터 전송...제어시스템 접근 원천 차단
‘i-oneNet DD’는 물리적 매체를 적용한 일방향 망연계(망간자료전송) 솔루션으로 보안수준이 높은 제어망으로의 접근을 원천 차단하면서 보안수준이 낮은 망으로 데이터를 전송하고자 할 때 연동지점에 위치해 데이터를 안전하게 전송한다.
‘i-oneNet DD’는 스마트팩토리, 스마트시티, 제어보안모니터링, 지능형 교통시스템, 기반시설 데이터 레이크 등 OT와 IT가 융합된 환경에서 일방향 TCP, UDP, 이기종 DBMS, 파일데이터, CCTV 동영상은 물론 IEC 61850, OPC, Modbus 등 산업용 프로토콜까지 다양한 프로토콜을 지원해 변화하는 환경과 다양한 요구를 수용해 서비스를 제공하고 있다.
최근에는 ‘i-oneNet DD’와 자회사 시큐어시스템즈 SOAR 제품인 ‘시큐어마에스트로(SecureMaestro)’를 연동해 OT환경의 보안 가시성을 확보하고 모니터링 대응체계를 구축했다.
‘i-oneNAC’ 네트워크 접근제어 기반 OT망 사이버보안 자산식별 및 보안 분석 사례
휴네시온은 한국전력공사의 중소기업 협력연구개발사업에 참여해 ‘OT전력망 사이버보안 자산식별·제어·분석 시스템 개발’ 사업을 완료했다. 다수의 네트워크로 구성된 전력망 환경에서 제로 트러스트 관점의 보안 검증을 위해 NAC 기술을 기반으로 OT전용 보안 센서를 개발하는 사업으로 ‘i-oneNAC’에 OT전력망 특화 기술을 반영했다.
‘i-oneNAC’은 한국전력공사 지사와 변전소의 실제 사용망 환경에서 SCADA 제어망의 OT운영 장비를 대상으로 시범 운영 중이다. 네트워크 통신 표준 프로토콜 분석 기반으로 자산식별 및 현행화해 네트워크 연결 장비의 가시성을 확보하고, 비인가 또는 미등록 운영 자산의 네트워크 접근을 통제함으로써 사이버보안 위험을 최소화한다.
[이미지=노조미 네트웍스]
[OT보안 대표 솔루션 집중분석-6]
투씨에스지, 국내 주요 제조 기업에 OT보안 솔루션 ‘노조미 네트웍스’ 구축
OT네트워크의 자산 가시성을 확보하고 다양한 공격 위협과 네트워크 이상징후 탐지
제어 설비를 노린 사이버 공격의 유형이 점점 다양해지고, 공격 빈도가 증가하고 있다. 해커의 공격 타깃이 기존 IT영역의 자산을 넘어 직접적으로 공정을 제어하는 설비로 향하고 있다. 제어 설비 해킹은 피해 범위를 예측하기 어려운 복구 불가능한 결과를 초래할 수 있다. 이는 해커가 설비 가용성을 인질로 삼아 금전적 이득을 취하고 있는 것으로 분석되고 있다.
보안 전문기업인 투씨에스지는 세계 1위 OT보안 기업인 노조미 네트웍스와 국내 공식 총판 계약을 맺고 제어 설비에 대한 효과적인 보안 위협과 이상징후 탐지, 가시성 확보 방안을 제시하고 있다.
OT보안 솔루션 Nozomi Networks ‘Guardian’
‘가디언(Guardian)’은 수집된 트래픽을 기반으로 공장 내부에 어떤 자산들이 존재하고 있는지 정확하게 파악하고 서로 어떻게 통신하는지에 대한 가시성을 확보한다. 트래픽은 철저하게 패시브(Mirror·SPAN) 방식으로 수집된다. 이는 새로운 솔루션 도입으로 인해 네트워크 부하가 증가해 공장에 이상이 생기지 않을까 걱정하는 설비 담당자의 부담을 덜어준다.
OT보안을 위한 첫 번째 스텝은 바로 가시성 확보다. ‘Guardian’은 자산별 상세 정보(OS, 펌웨어, 통신 현황 등)와 함께 각 자산이 가지고 있는 보안 취약점을 탐지한다. 또한, 인공지능 기반의 학습을 통해 각 제어 설비의 오작동과 잘못된 제어 명령의 전달 등의 공격과 비인가된 자산이 네트워크에 연결되거나 통신을 시도할 경우 자동으로 이를 탐지하고 알람을 생성한다.
마이터 어택(MITRE ATT&K) 지표를 통해 위협 정도를 직관적으로 확인할 수 있다. 시그니처, 행위 기반의 탐지 방안도 함께 제공해 다양한 공격 유형에 대응할 수 있다. 시나리오 기반의 알람 그룹핑을 통해 알람 간의 연관성을 자동으로 분석하고, 알람이 발하기 전과 후의 패킷을 자동으로 캡처해 PCAP(패킷 캡쳐 파일) 형태로 저장하는 등 침해 원인을 분석하기 위한 포렌식 절차에도 활용 가능하다.
OT보안 솔루션의 특징과 필요성에 대한 이해
현재 대부분의 국내·외 공장은 오래전에 완공되어 현재까지 운영되고 있다. Window XP같은 구형 OS, 오래된 설비들이 많이 남아 있다. 이러한 자산들이 가지고 있는 보안 취약점은 해커들의 제어망 침투 경로로 활용될 수 있어 OT보안의 필요성은 점점 증대되는 추세다.
OT네트워크를 구성하는 주요 요소인 제어 설비는 기존 IT솔루션에서 가시화하고 분석하기 어렵다. 각 제어 설비 제조사는 기존에 널리 알려진 통신 방식이 아닌 자체적으로 제작한 프로토콜을 통해 통신하고 있기 때문이다. 따라서 OT영역에 도입되는 솔루션은 반드시 제어 설비의 프로토콜에 대한 이해와 전문지식을 보유해야 한다. 솔루션 벤더 또한 OT에 대한 많은 노하우를 갖추고 있어야 한다.
노조미 네트웍스는 약 10년간의 경험을 통해 가장 효과적인 OT보안 솔루션을 전 세계를 대상으로 공급하고 있다. 실제 기업들이 솔루션에 대해 평가하는 Gartner Peer Insight에서 현재까지 가장 높은 평가(4.9/5.0만점)를 유지하고 있는 OT보안 전문기업이다.
[이미지=클래로티]
[OT보안 대표 솔루션 집중분석-7]
클래로티의 경고 시나리오, 외부 위협으로부터 산업 네트워크를 보호하라
산업 네트워크에 대한 사이버 위협은 수많은 형태로 나타난다. 보호되지 않은 IT네트워크와의 연결로 인해 발생하는 간단한 침입부터 특정 산업군의 프로세스나 직원의 의도치 않은 실수를 표적으로 하는 정교한 공격까지, 그 형태는 무궁무진하다. 또한, 사이버 표적 공격은 패치되지 않은 취약점이나 다른 보안 취약점을 악용하기 위해 종종 외부 연결을 활용하기도 한다.
이러한 시나리오에서 외부의 침입 시도를 저지할 수 있는 힘을 기업에게 부여하기 위해 클래로티는 ‘CTD(Continuous Threat Detection)’, ‘xDome’ 제품의 광범위한 가시성과 위험 분석 및 위협 탐지 기능을 제공, 지원한다.
클래로티 주요 제품들의 핵심 기능
영역 행위
우선 네트워크를 가상 영역으로 세분화한다. 이러한 영역은 유형 그리고 학습된 통신 패턴별로 나뉘어 해당 내용과 논리적 연관이 있는 자산들로 구성된다. 비정상적이거나 관찰되지 않은 패턴으로 영역 간 통신을 하는 자산은 영역 간 정책을 위반하며 시스템에 잠재적인 위협 경고를 발생시킨다.
설정 다운로드
설정 다운로드와 같은 주요 네트워크 변경이 발생할 때, 프로세스 무결성 경고를 발동시킨다. 이때 클래로티의 우수한 DPI(심층 패킷 검사) 기능을 통해 CTD는 설정 파일 내에서 변경된 코드의 세그먼트(Segment)와 라인을 정확히 찾아낼 수 있다.
근본 원인 분석
이 기능은 동일한 공격 또는 사고와 관련된 모든 이벤트를 단일 경고로 그룹화해 이벤트 체인에 대한 통합된 시야를 제공한다. 이를 통해 정확한 정보의 비율은 높아지고 오탐(False Positive)은 줄어들며 경고 피로도가 감소해 효율적이고 효과적으로 분류 및 완화할 수 있다.
보안팀, 전문적인 시각과 미묘한 컨텍스트 통해 운영 탄력성 보장
클래로티는 컨텍스트를 통해 사용자 정의 경고의 질을 높인다. 고유한 컨텍스트와 각 경고가 촉발되는 특정 상황을 기반으로 하는 알고리즘을 활용해 환경에 존재하는 위험을 평가하기 위한 맞춤형 단일 메트릭을 제공한다. 위험 경고 점수는 주의를 산만하게 하는 오탐을 쉽게 제거할 수 있을 뿐만 아니라 시간에 민감한 사건에 대응할 때 빠르고 효과적인 우선순위를 지정할 수 있다.
유동성과 사용 편의성을 위해 설계된 클래로티의 제품군은 보안팀이 실질적인 위험을 초래하는 위협을 완화하고 보안 결함을 이해하며 고유한 환경을 보호하는 데 필요한 기능들을 제공한다.
[이미지=이글루코퍼레이션]
[OT보안 대표 솔루션 집중분석-8]
이글루코퍼레이션 ‘스파이더 OT(SPiDER OT)’
산업별로 특화된 OT보안 전략 제시...OT환경 노리는 보안위협 선제 대응
디지털 전환 가속화에 발맞춰 스마트 팩토리, 스마트 시티, 스마트 빌딩 등의 주요 설비 제어와 관련된 운영 기술(OT) 보안의 중요성이 대두되고 있다. 외부 네트워크와 연결되는 정보 기술(IT) 영역과 OT영역의 접점이 늘어나면서, 그 허점을 노리는 보안 위협도 급격히 증가한 까닭이다. 공격자들은 인터넷에 연결된 외부 시스템과 폐쇄된 내부망의 접점에서 발생할 수있는 보안상 허점을 이용해 OT영역을 공격하고 있다.
이글루코퍼레이션, OT환경 보안, 진단·구축·관제·서비스까지 한번에 해결
이글루코퍼레이션은 ‘스파이더 OT(SPiDER OT)’를 중심으로 OT환경 보안 진단, OT보안 솔루션 구축, OT보안관제까지 아우르는 통합보안 서비스를 제공한다. 기업이 OT환경을 노리는 보안 위협에 선제적으로 대응할 수 있도록 지원하고 있다.
‘SPiDER OT’는 운영 중인 OT자산에 대한 폭넓은 가시성을 확보하고 OT환경에 대한 보안 위협을 분석 및 모니터링할 수 있는 OT보안 솔루션이다. 이글루코퍼레이션 고유의 이기종 보안 분석 노하우와 빌딩·선박·공장·조선소 등 다양한 산업제어 현장의 특성에 대한 이해를 토대로, IT와 OT영역을 포괄하는 자산 식별-보호-탐지-대응 기능을 제공한다.
보안 담당자는 ‘SPiDER OT’ 도입을 통해 IT보안 장비와 OT자산을 식별하고, OT센서를 통해 수집된 산업제어 프로토콜을 분석해 수집한 보안 이벤트를 통합 관리할 수 있다. 더불어, 정형·비정형 IT·OT데이터를 통합 분석할 수 있게 변환하는 데이터 정규화 기능, 발생하는 위협 경보를 직관적으로 확인할 수 있는 통합 대시보드 기능도 활용 가능하다.
스마트선박·스마트팩토리·스마트빌딩 운영에 최적화된 OT보안 전략 제시
이글루코퍼레이션은 앞서 자율운항 선박에 최적화된 OT보안 시스템을 구현해 내며 OT보안의 기술력과 완성도를 입증한 바 있다. 올해는 관계사인 파이오링크 및 물리보안·OT보안 기업과의 협업을 통해 스마트선박·스마트팩토리·스마트빌딩을 운영하는 해양·제조·건설 분야의 고객에게 산업 영역별로 특화된 OT보안 전략을 제시하는데 주력하고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
