생산공정의 가시성과 이상유무 파악이 OT/ICS 보안의 시작
글로벌 양대 강자, 노조미 네트웍스와 클래로티의 구축사례와 솔루션으로 살펴본 OT/ICS 보안
[보안뉴스 원병철 기자] 2020년 4월 이란의 대표 항만인 샤히드 라자이 항만이 사이버 공격을 당해 선박 운항과 물류 이동이 마비되는 사건이 발생했다. 이란 정부는 정체불명의 해커로부터 공격을 받았다고 밝혔는데, 미국 등 관계 국가는 범인으로 이스라엘을 추정했다고 워싱턴포스트는 밝혔다. 이란이 이스라엘의 수자원 관리 사이트를 공격한 것에 대한 보복공격이었다는 것. 실제로 이스라엘의 수도 공급을 담당하는 사이트에 공격이 이뤄졌으며, 특히 식수를 염소로 소독하는 단계에 침입해 자칫 큰 사고가 발생할 수도 있는 상황이었다. 다행이 더 이상의 공격이 발생하기 전 발견해 큰 피해는 없었지만, 이스라엘이 보복공격을 감행할만한 큰 사건이었다.
[이미지=utoimage]
주로 웹사이트나 회사·기관의 서버를 공격해 주요 정보를 탈취하는 사이버 공격은 피해자에게 엄청난 금전적 피해를 입히지만, 공장이나 주요 산업시설은 금전적 피해를 넘어 물리적인 피해, 특히 현장에서 근무하는 직원들의 생명까지 위협할 수 있어 매우 위험하다. 앞서 소개했던 이란의 샤히드 라자이 항만이 해킹으로 인해 금전적 손해를 입었다면, 이스라엘의 수도 공급 사이트 공격은 물을 소독하는 염소의 농도만 조금 더 진하게 바꾸면 생명을 위협할 수도 있는 사건이었다.
하지만 앞선 본지 특집기획 ‘사이버 위협에 노출된 스마트 공장, OT/ICS 보안이 답이다’에서 지적했듯 우리나라 OT/ICS 보안은 매우 심각한 수준이다. 특히, 일반적인 사이버 보안 솔루션이 아닌 OT/ICS 전용 솔루션을 구축한 공장은 손가락에 꼽을 수준이라고 업계에서 이야기할 정도로 현재 OT/ICS 보안 솔루션을 운영하는 곳은 많지 않다.
비슷한 듯 서로 다른 OT와 ICS
그렇다면 OT/ICS 보안 솔루션은 어떤 것들이 있을까? 이를 위해서는 먼저 용어를 정리할 필요가 있다. 우리가 흔히 함께 사용하는 OT(Operation Technology, 운영 기술)는 생산망과 설비망, 공정망 등 제작 작업의 프로세스를 운영하는 것을 말하며, ICS(Industrial Control System, 산업제어 시스템)는 생산망과 설비망, 공정망 등을 제어하는 시스템을 말한다. 엄밀히 말하면 시스템(ICS)과 시스템을 운영하는 프로세스(OT)로 구분할 수 있지만, 현장에서는 보통 같은 의미로 사용한다. 덧붙이면, 산업현장에서는 ICS를 더 많이 쓰며, OT는 잘 쓰지 않는다. 이와 관련 현장 전문가들은 각종 공정들이 IT와 접목해 자동화되면서, IT와 대칭되는 용어로 OT를 사용하기 시작했다고 설명했다. 아울러 IT 관계자들은 OT를 생산설비 관계자들은 ICS를 선호한다고 귀띔했다.
그 다음은 실제 공장이나 생산시설에서의 공정 단계다. 업계에서는 생산 공정을 크게 5단계(Level 0~4)로 구분한다. 가장 첫 번째인 Level 0은 가장 기본적인 장비와 운영장비를 말한다. 생산에 필요한 각종 센서들과 장비들을 말하는데, 예를 들면 온도를 체크하는 온도센서나 공정에 필요한 수도시설이나 풍력장비 등이 Level 0에 속한다. 가장 작은 센서부터 대형 제조장비까지 다양하며, 공정에 따라 추가해 사용하다 필요없어지면 그대로 방치되기 때문에 보안에 가장 취약한 부분이기도 하다.
Level 1은 Level 0의 장비들을 서로 연결하고 제어하며, 제작에 필요한 순서를 지정해 컨트롤 할 수 있는 PLC(Programmable Logic Controller)와 중앙 컨트롤러와 원격제어 시스템을 연결해주는 RTU(Remote Terminal Unit)가 포함된다.
Level 2는 PLC와 연동해 장비를 직접 컨트롤할 수 있는 일종의 터치패널인 HMI(Human Machine Interface)와 엔지니어링 워크스테이션(Engineering Workstaion), Remote i/o Rack 등의 장비를 의미한다. Level 3는 Historian 서버와 DNS 서버, 방화벽(Firewall) 등이 포함되며, Level 4는 Central Management Console(CMC), SIEM(Security Information&Event Management, 통합보안관제) 등이 포함된다. 일반적으로 Level 0부터 Level 3까지 OT/ICS 영역으로 보며, Level 3.5~Level 4단계까지 IT 영역으로 본다.
OT/ICS 보안 솔루션, 생산관련 장비의 프로토콜 파악이 성능 좌우
OT/ICS 보안 솔루션별로 약간씩 차이는 있지만 보통 Level 2~4 단계에 설치돼 ①가시성과 ②이상유무를 파악하는데 주력한다. 먼저 가시성이란 각 Level 별로 연결된 장비들을 파악하는 것을 말한다. 지난 특집기획에서도 설명했듯, OT/ICS 분야에서 가장 문제가 되는 부분 중 하나가 해당 공장 혹은 생산시설에 얼마만큼의 장비가 서로 연결되어 있는지, 고장나거나 사용하지 않는 장비는 어떤 것이 있는 지 파악하지 못한다는 점이다. 이는 보통 10~15년 이상 사용하는 내구성과 필요에 따라 장비를 추가하지만 이를 정확하게 파악하지 못하는 현장의 문제들이 쌓이면서 발생한다. 이 때문에 OT/ICS 장비는 거미줄처럼 엉켜있는 장비들을 구분하고 파악하는데 힘을 쏟는다.
물론 이것도 쉬운 일은 아니다. 생산관련 장비들은 고유의 프로토콜(Protocol, 장비끼리 정보를 주고받을 때의 통신방법에 대한 규칙·약속)이 있기 때문에, 이 프로토콜을 다 파악하지 못하면 장비를 연결할 수 없다. 예를 들어, 물리보안에서도 같은 규격의 CCTV와 DVR이 아니면 연결해서 사용할 수 없는 것과 마찬가지다. 이럴 경우 일일이 프로토콜을 맞춰가며 서로 연결해야 하는 것처럼, OT/ICS 역시 해당 장비의 프로토콜을 파악해야만 연결이 가능하다. 문제는 10년 이상 사용하는 생산장비의 특성상 이 프로토콜을 파악하기가 쉽지 않다는 점이다. 너무 오래된 장비라 제조사에서도 파악이 안 될 수도 있고, 이미 제조사가 망해버렸을 수도 있기 때문이다. 이때 발생하는 문제를 쉽게 해결하는 것이 브랜드의 파워를 좌우한다. 글로벌 양대 기업인 노조미 네트웍스(NOZOMI Networks)나 클래로티(CLAROTY) 같은 기업이 OT/ICS 분야에서 두각을 나타내는 이유이기도 하다.
이렇게 장비들, 즉 자산정보를 한눈에 파악할 수 있게 되면 외부 혹은 내부에서 어떤 문제가 발생하는지, 혹은 발생할 가능성이 있는지를 분석하는 것이 가능해진다. OT/ICS 보안 솔루션은 바로 이러한 문제점이나 징후 등 ‘위협’을 탐지할 수 있다.
이 두 가지가 현재까지의 OT/ICS 보안의 주요 영역이다. 물론 이 다음 단계도 존재하지만 생산을 최우선으로 하는 공장과 생산시설의 특성상 이 단계까지 적용하는 것도 쉬운 일이 아니라고 OT/ICS 보안전문가들은 말한다.
한편, 이 단계의 주요 플레이어는 미국의 노조미 네트웍스(NOZOMI Networks)와 이스라엘의 클래로티(CLAROTY)다. 또한 시스코도 IIoT(Industrial Internet of Things, 산업 사물인터넷) 전문기업 프랑스 센트리오(Sentryo)를 인수하면서 OT/ICS 보안 영역에 진입했으며, 마이크로소프트 역시 OT/ICS 전문기업 사이버엑스(Cyber X)를 인수했다.
스마트공장 중심으로 OT/ICS 보안 솔루션 구축 움직임
그렇다면 현재 OT/ICS 보안 솔루션의 구축현황은 어떨까? 기본적으로 OT/ICS 보안 솔루션은 기존 공장이나 산업시설에 별도로 구축하기보다는 대부분 ‘스마트공장(Smart Factory)’ 개념을 도입하면서 함께 구축하는 경우가 많다. 앞서 설명한 것처럼 생산성, 안전성에 초점을 맞춘 공장·생산시설이기에 스마트공장을 새로 짓거나 기존 공장을 스마트공장으로 업그레이드 하면서 보안도 강화하는 경우가 대부분이라는 거다. 이 때문에 OT/ICS 보안 솔루션이 가장 활발하게 구축되는 곳은 미국과 유럽 등 스마트공장이 가장 활발하게 움직이는 국가라고 업계 전문가들은 설명한다. 다만 코로나19로 인해 2020년은 조금 멈춰있는 모양새다.
이와 관련해 한국과 일본 등 동아시아를 중심으로 스마트공장이 빠르게 구축되고 있다. 특히, 미국과 유럽이 기반기술은 뛰어나지만 정부주도의 스마트공장 구축은 한국이 더 빠르다고 업계에서는 설명한다. 특히, 초기에 스마트공장을 구축하는 국가기관이나 대기업은 대부분 전국단위로 연결되거나 해외 생산기지와도 연계가 되기 때문에 프로젝트의 규모가 크다.
해외는 굵직한 프로젝트들이 이미 완료된 상태지만 한국도 최근 몇몇 대형 프로젝트가 이뤄지고 있다. 보안을 중시하는 한국기업의 특성 탓에 외부에는 잘 알려지지 않았지만, 반도체와 화학, 발전 등 분야의 대표기업들이 현재 OT/ICS 보안 솔루션을 구축하고 있다.
[이미지=utoimage]
[OT/ICS 보안 솔루션 글로벌 구축사례_1] NOZOMI Networks+이탈리아 에너지 국영기업 ‘ENEL’
OT/ICS 보안 솔루션을 통한 발전소와 네트워크의 안전성·효율성·보안성 향상
4개 대륙, 30개 국가에서 운영되는 다국적 에너지 기업 ENEL은 세계 최대 규모의 복합전력 및 가스 운영기업 중 하나다. ENEL은 신뢰와 효율성, 사이버 보안성을 향상하고, 수동적이고 비효율적인 ICS 모니터링 업무의 자동화와 문제 해결 등을 위해 노조미 네트웍스의 솔루션을 도입했다.
ENEL은 ICS와 제어 네트워크의 관리, 모니터링 및 분석 업무를 위해 표준 네트워킹 도구를 사용하고 있었다. 하지만, 해당 방식은 수동적이며 많은 시간이 소요됐다. 정보는 수집하기 어려웠으며, 담당자는 해당 내용을 이해하고 보완해야 했다. 이에 ENEL은 새로운 접근방식으로 효율성과 안정성 및 보안성을 개선하고자 했다. 또한, ‘IEC 62351’의 보안 요구사항에 대한 전원 시스템 모니터링 및 제어에 사용되는 SCADA 프로토콜 ‘IEC60870-5-104’의 심층적인 지원이 필요했다.
ENEL과 NOZOMI Networks는 함께 협력해 Regional Control Center에 Guardian™을 우선 배치했다. 광범위한 테스트와 세부조정을 거친 후 본격적인 롤아웃을 진행했다. 첫 단계로, 이탈리아 운영 네트워크를 모니터링하기 위해 Guardian 프로브가 모든 Regional Control Centers에 설치됐다. 또한, ENEL과 TSO 간의 연결을 모니터링하기 위해 Interconnection Centers에도 설치됐다. 다음으로, 중앙제어실에서 프로브를 운영하고, 모니터링하며, 업데이트하기 위해 Central Management Console™이 설치됐다. 마지막으로 조사와 문제 해결이 필요한 세그먼트를 모니터링하고 분석하기 위해 Guardian 휴대용 P500 어플라이언스가 도입됐다.
배포 후 ENEL은 NOZOMI Networks 솔루션을 활용해 산업제어 네트워크를 중앙 위치에서 모니터링하고, 데이터를 분석하며, 자산을 보호할 수 있게 됐다. 정보를 수집하는 작업은 관련성이 높으며 의미 있는 정보를 제공하는 자동화된 프로세스로 구축됐다. 이를 통해 작업의 효율성이 향상됐으며, ENEL의 직원들은 운영 핵심 업무에 집중할 수 있게 됐다.
<도입효과>
- ENEL 제어 네트워크 전체의 가시성 및 모니터링. ENEL과 TSO간의 연결 뿐 아니라 원격 및 격리된 위치의 현장 포함
- 잘못된 구성, 비정상적인 활동, 중요 상태, 표준 및 고급 보안공격 탐지 등의 진화된 운영 인사이트 및 관리는 ENEL의 ICS 및 IEC 60870-5-104와 같이 지원 가능한 SCADA 프로토콜에 대한 심층적인 이해를 활용
- 사용자 지정 규칙 및 보안 정책에 의해 트리거되는 경고를 포함, 관심 지표에 대한 자동 실시간 알림
- Guardian의 특장점 중 하나인, 현재·과거·미래 시점의 분석을 위한 네트워크 비교 분석 기능.
[OT/ICS 보안 솔루션 글로벌 구축사례_2] CLAROTY + 다국적 제약·바이오 회사
풍부한 지적재산(IP)과 생산운영 보호를 위한 OT/ICS 보안 솔루션 도입
풍부한 지적 재산(IP)을 보유한 글로벌 제약회사 A는 생산운영 보호의 중요성을 알고 있는 곳이다. 회사의 운영은 다양한 제조 공장의 OT 네트워크에 연결된 중요한 공정과 기계들에 의존하기 때문에, OT 환경에서 요구되는 생산에 대한 보안의 중요성을 알고 있었던 것이다. A사는 여러 벤더를 평가한 후, 클래로티 솔루션만이 제공하는 OT 가시성과 종합적인 OT 보안 컨트롤 기능을 제공한다고 평가했다.
규제가 심한 업계의 많은 기업들과 마찬가지로, A사는 OT보안을 처리하는데 있어 복잡한 문제에 직면했다.
1. 인수합병으로 인한 일관되지 않은 보안 이슈 : 제약 업계에서 흔히 볼 수 있듯이, 이 회사는 이전에 여러 다른 회사들을 인수했고, 보안에 대한 자신들만의 접근 방식뿐만 아니라, 서로 다른 OT 자산들에 대한 비정기적인 펌웨어 패치작업을 진행하고 유지 관리하기 위해 서로 다른 벤더들의 고유한 패치 방법을 활용했다.
2. 랜섬웨어 위험 : A사를 포함한 주요 제약회사들은 그들의 회사 규모, 사업 범위, 업종 특성상 랜섬웨어의 빈번한 공격대상이 되는 경향이 있다. 이러한 공격들은 일반적으로 VPN 접속을 통해 시작된 다음, IT에서 OT 네트워크로 확산되어 심각한 다운타임 및 운영 중단을 초래할 수 있다
3. OT 이상징후 탐지 기능 부족 : OT 전문가의 부족에도 불구하고, 회사의 IT 보안팀은 최근 OT 보안을 관리하게 되었다. 회사 내 각 제조 공장에 있는 OT 네트워크에는 ICS 이상징후 탐지 시스템이 없기 때문에 보안팀은 회사 IT 네트워크에서 사용하는 것과 동일한 시스템을 사용하려고 시도했다. 그러나 그러한 시스템이 OT 환경과 호환되지 않는다는 것을 곧바로 깨닫게 됐다. 그 결과, 보안팀은 회사의 OT 네트워크에 잠재적이고 악의적인 위협 활동을 찾아내지도 못할 뿐 아니라, 심지어 위협활동을 평가하거나 완화시킬 수 없다는 것을 알게 되었다.
짧은 테스트 기간이지만 예상을 넘어서는 기대 효과를 본 후, 클래로티 솔루션은 회사의 각 제조 현장에 설치됐다. 솔루션 구성요소는 다음과 같다.
- Continuous Threat Detection(CTD) : 전체 OT 자산 가시성, 지속적인 보안 모니터링 및 실시간 위험 정보를 제공하면서도 운영 프로세스 및 기본 장치에 영향을 주지 않는다.
- Secure Remote Access(SRA) : 직원 및 서드파티 벤더를 포함한 원격 사용자들의 관리되지 않고 모니터링 되지 않은 접속을 통해 발생하는 위협으로부터 OT 네트워크를 보호한다.
- Enterprise Management Console(EMC) : 클래로티 솔루션의 데이터를 통합하고 여러 사이트의 자산, 활동 및 경고에 대한 통합된 뷰를 제공함으로써 전반적인 관리를 단순화한다. 이 기능은 또한 IT 보안 인프라와 완벽하게 통합된다.
<도입효과>
클래로티 솔루션을 활용하여 해당 회사는 다음을 수행할 수 있게 됐다.
- 완벽한 OT 가시성 확보 : CTD는 OT 자산을 신속하게 발견해 이전에는 없던 세부정보들을 제공했다. 예를 들면, 어떤 테스트를 통해 A사는 65개의 OT자산이 있다고 인식하고 있었는데, 클래로티 솔루션은 95개의 OT 자산을 발견했다.
- 안전한 OT 원격 접속 : SRA는 플랜트 직원 및 서드파티 벤더에게 OT 자산에 원격으로 쉽고 안전하게 접속하고 서비스할 수 있는 사용자 친화적인 인터페이스를 제공한다. 또한, SRA는 권한 접근제어와 사전 모니터링을 통해 원격 사용자들로 인해 발생할 수 있는 위험을 최소화했다.
- IT 보안 툴과 연동해 OT 보안 강화 : 클래로티 솔루션은 IT 보안 인프라와 완전하고 완벽하게 융합됐다. SIEM 솔루션과 통합함으로써 회사의 IT 보안팀은 OT 환경 전반에 걸쳐 전체적인 보안을 달성하기 위해 친숙한 기존 툴을 활용할 수 있었다.
[OT/ICS 보안 솔루션 대표 기업_1] 노조미 네트웍스 ‘Guardian’
인공지능 기반 OT/ICS 위협 분석 솔루션 ‘Guardian’
산업용 제어시스템 전문 보안업체 노조미 네트웍스, 한글화 등 한국 시장 지원 확대
[이미지=노조미 네트웍스]
노조미 네트웍스의 ‘Guardian(가디언)’은 OT/ICS의 자산 현황 파악, 취약점 분석, 네트워크 시각화 등의 위협탐지 시스템(IDS) 기능을 기본으로, 범용화되지 않은 산업용 프로토콜을 인식하고, 오래된 레거시 시스템에도 적용이 가능하다.
또한, 폐쇄망 환경에서도 외부 서버와의 연계 없이 동작하는 등 제어시스템 환경에 특화된 기술을 적용, 다양한 OT/ICS 현장의 보안성과 운영 효율성을 획기적으로 향상시킬 수 있는 OT/제어망 전용 보안 솔루션이다. 가디언은 머신러닝 기반의 비정상 행위 식별, 스냅샷을 통한 전후상황 비교, 현장 컴포넌트의 실제 공정 변수값 확인이 가능하며, 100% 패시브 모드 방식으로 동작해 무중단 설치와 무위험 운영이 가능하다.
사용자 편의성 및 ICS 환경의 특성 반영
새로운 솔루션 도입 시 자주 간과하게 되는 주요 포인트 중 하나는 바로 사용 편의성이다. 솔루션의 기능과 특장점이 아무리 유용하더라도 관리하기 복잡하거나, 많은 지식과 오랜 숙련도가 필요하다면 해당 솔루션이 도입 현장에서 제 기능을 발휘하는데 제약사항이 따른다.
또한, OT/ICS 환경의 특성상 IT 분야, 생산&설비 분야, 보안 분야 등 각 부서별 및 외주 업체별로 업무와 도메인 지식이 다르기 때문에 사업 규모가 클수록, 분야별 전문 담당자가 많을수록 오히려 보안 공백이 많아지는 경향이 있다. 노조미 네트웍스의 솔루션은 이러한 환경에 착안해 가디언 제품의 도입에서부터 운영 및 관리까지 모든 주요 기능들이 대부분 자동화되어 있으며, 직관적으로 쉽게 관리할 수 있도록 설계됐다.
가디언은 자동으로 현장의 자산을 목록화해 구성 상태를 즉각적으로 시각화한다. IT 자산의 취약점 및 악성코드 감염여부 등을 포함해 OT/IoT 자산과 SCADA 통신 등의 비정상 상황 또는 위협 등을 파악하고 해당 내용에 대한 설명 및 이유와 함께 알림을 발생시킨다.
업계 최고 수준의 탐지능력
‘무엇을 모르는지를 모르는 상태가 가장 위험하다.’ 이 문구는 보안 및 운영 분야에서 가장 많이 언급되는 경구다. 노조미 네트웍스의 가디언은 시그니처 기반, 행위 기반, 인공지능 학습 기반의 베이스라인 등 여러 방법론을 복합적으로 적용해 업계최고 수준의 탐지 능력을 보유하고 있다.
실제 현장에 노조미 네트웍스의 가디언 제품 도입 이후 도출된 인사이트를 살펴보게 되면, 전혀 인지하지 못하고 있던 위험상황과 감염여부가 상당수 탐지된다. 보안과 비용의 균형 관점에서 조치를 취해야할 우선순위를 정하고, 업데이트 & 유지보수 예산, 스케줄을 세우거나 감수할 수 있는 위협수위를 결정하고 해당 파트를 지속적으로 모니터링 하는 것만으로도 해당 현장 및 비즈니스의 보안과 운영 효율성이 놀라운 수준으로 향상된다.
유연한 배포 옵션 및 기존 자산의 효율성 극대화
현재 가동 중인 생산라인 및 비즈니스 업무의 중단 없이 새로운 솔루션을 도입하는 작업은 일반적으로 쉽지 않다. 이러한 상황은 OT/ICS 환경에서 더욱 중요하며, 무엇보다도 도입 이후에도 기존의 제어망이나 설비 자산에 영향을 미치지 않아야 한다. 이러한 특수성이 바로 노조미 네트웍스의 가디언이 산업용 제어시스템을 대상으로 최적화되어 출시된 이유다. 또한, 중앙관리콘솔(Central Management Console)을 활용해 여러 대의 가디언 및 또 다른 CMC를 중앙집중식으로 관리·관제할 수 있으며, 원격수집장치(Remote Collector)를 가디언에 연결해 지리적으로 더 넓은 범위의 지역을 커버할 수 있다.
노조미 네트웍스의 제품군은 H/W 형태와 가상화 형태 모두를 지원하며, 고객의 상황에 따라 컨테이너 형식, 클라우드 형태의 배포 등 유연한 아키텍처와 간편한 확장이 가능하다. 다양한 ICS 벤더사와 산업용 프로토콜을 지원하는 장점 외에도, 다양한 서드파티 방화벽, SIEM 장비 등과의 연동을 지원해 기존의 IT 보안 솔루션과 시너지 효과를 발휘한다.
올해 9월, 노조미 네트웍스는 제어시스템 및 산업용 IoT 분야의 여러 취약점 및 악성코드를 찾아내고, 이를 연구해 발표한 공로를 인정받아 미국 국토보안부의 CVE 프로그램에서 CVE 번호를 부여하는 공인기관(CNA: Committed CVE Numbering Authority)으로 승격됐다. 24
개국의 136개의 보안 전문업체가 CNA 인증 업체로 등록되어 있으며, OT/ICS 전문 업체로서는 노조미 네트웍스가 최초다. 국내에서는 올해 5월부터 EK시큐리티코리아가 노조미 네트웍스의 독점 총판으로 활동 중이며, EK시큐리티코리아는 ‘가디언’을 한글화해 정식 언어로 추가하고, 기존 고객에게 한글화된 가디언을 무료로 배포한다고 밝혔다.
[OT/ICS 보안 솔루션 대표 기업_2] 클래로티 ‘CTD/EMC/SRA’
안전한 스마트 팩토리/플랜트를 위한 산업제어망 보안 모니터링(OTSM) 필요성
클래로티(Claroty), OT 자산 가시화 및 ICS 이상징후 모니터링 체계 구축
[이미지=클래로티]
클래로티는 글로벌 산업제어시스템 보안 기업으로 산업제어시스템 관리를 위한 OT 기반 네트워크 모니터링 및 보안 솔루션을 제공한다. 클래로티는 제어시스템에 최적화된 보안 설계와 관리를 지원하기 위해 지속적인 위협 탐지를 지원하는 CTD(Continuous Threat Detection), 엔터프라이즈 관리 콘솔인 EMC(Enterprise Management Console), 안전한 원격 액세스를 지원하는 SRA(Secure Remote Access)의 세 가지 플랫폼을 제공한다.
클래로티의 각 플랫폼은 별도의 에이전트 설치가 필요 없으며, 기존 IT 보안 인프라와 원활하게 통합할 수 있다. 또한, OT 자산에 대한 완벽한 가시성 확보를 기반으로 위협 탐지, 취약점 관리, 위협 분류, 위협 완화의 4가지 측면을 통한 가장 광범위하면서도 뛰어난 OT 보안 기능을 제공해 각종 보안 위협으로부터 OT 자산을 지킬 수 있는 최적의 OT 보안 솔루션이라는 평가를 받고 있다.
완벽한 가시성 확보를 통한 지속적인 위협 탐지 플랫폼, CTD
CTD는 클래로티가 제공하는 자산 분석 플랫폼으로 OT와 관련된 전문 지식이 없어도 OT 네트워크를 구성하는 모든 자산을 자동으로 식별하고 학습해 전체 네트워크에 대한 가시성을 확보할 수 있도록 지원하며, 이러한 완벽한 가시성을 토대로 OT 자산에 대한 지속적인 위협 및 취약점 모니터링을 수행한다. CTD는 알려진 취약점은 물론 알려지지 않은 제로데이 취약점까지도 실시간으로 탐지할 수 있으며, OT 네트워크 마이크로 세그먼트를 제공해 각종 사이버 보안 위협으로부터 ICS 자산을 효율적으로 지킬 수 있도록 지원한다. 또한, CTD는 OT 자산 중 PC 형태로 구성된 자산에 대한 보안 패치 여부를 확인할 수 있는 기능을 제공하고 제어시스템에서 사용하는 전용 쿼리를 이용, 실자산에 영향을 미치지 않는 학습 수행을 통해 구축한 DB를 기반으로 취약점에 대한 빠른 탐지 및 식별이 가능하도록 지원한다.
엔터프라이즈 관리 콘솔, EMC
EMC는 여러 곳에 분산되어 있는 OT 네트워크 및 제어시설과 관련된 각종 데이터를 집계하고 관리할 수 있는 중앙집중식 인터페이스 플랫폼으로, 통합 보고서를 제공해 각 제어시설을 구성하는 전체 자산에 대한 경고 및 위험 분석을 지원한다. EMC는 제어시설의 가동이 중단될 위험 없이 빠르고 안전하게 설치 및 운영할 수 있으며, 보안운영센터(SOC) 구축에 이상적인 거버넌스 구조로 구성되어 SIEM, SOAR, NAC, 방화벽 등 기존 IT 보안 인프라와의 원활한 통합을 지원하는 것이 특징이다.
안전한 원격 액세스 관리 플랫폼, SRA
SRA는 OT 네트워크 및 제어시설에 대한 원격 접속을 관리할 수 있는 플랫폼으로 원격 사용자의 연결 및 인증을 관리할 수 있는 기능, OT 자산과 관련된 소프트웨어의 업데이트 내역, 정기유지 보수내역 등을 제공해 내·외부 사용자 모두를 위한 간편하면서도 안전한 원격접속을 지원한다. SRA는 OT 보안담당자가 원격 접속자의 접속날짜, 접속시간, 접속 가능한 장비 등에 대한 상세정보를 설정하고 원격 접속자의 행위를 실시간으로 모니터링할 수 있도록 지원하며, 원격 접속자에 의한 악성행위가 발생했을 경우 이를 즉시 차단할 수 있다.
고도화된 스마트 제조 환경, 클래로티 플랫폼으로 관리
각종 공장, 제조시설, 발전소 등으로 대표되는 산업제어시스템 및 OT 네트워크는 폐쇄적인 구조로 구성되어 있어 해커가 외부에서 침입할 수 없기 때문에 사이버 보안위협으로부터 안전하다고 여겨져 왔다. 그러나 최근 각종 OT 장비에 IT가 융합되고 제어시설의 효율적인 유지보수를 위해 외부 네트워크와의 연결이 발생하는 등 OT 네트워크의 개방성이 점차 확대되고 있다. 이에 따라 산업제어시설 역시 사이버 보안 위협으로부터 더 이상 안전하지 않은 상황이 되었고, 제어시설을 노리는 랜섬웨어로 인한 피해가 지속적으로 발생하면서 자연스럽게 OT 보안을 위한 전문적인 솔루션의 필요성이 주목받고 있다.
클래로티는 IT와 OT의 사이버 보안 격차를 해소할 수 있는 기술 통합 에코시스템을 제공해 사용자가 OT 환경의 자산을 효율적으로 관리하고 ICS의 보안을 지킬 수 있도록 지원하며, 이러한 독자적인 기술력을 인정받아 이미 반도체, 제조시설, 발전소, 자동차, 화학, 바이오/제약, 식음료, 공공기관 등 다수의 글로벌 및 국내 고객을 확보하고 있다. OT는 시스템 정지 및 오류로 인하여 잠시라도 가동이 중단될 경우 막대한 손실이 발생할 수 있고, 제3자의 악의적인 행위로 인해 고유 기술 또는 취약점이 노출될 경우 기업의 존폐 여부가 달린 막심한 피해가 발생할 수 있다. 이와 같은 OT만의 특성으로 인해 발생하는 문제를 해결하기 위해서는 OT 환경에 대한 깊이 있는 이해를 기반으로 설계된 전문적인 OT 보안 솔루션을 통해 선제적 보안 시스템을 구축하는 것이 필수적이다.
보안의 첫 걸음은 결국 가시성 확보다. 보이지 않는 자산을 지킬 수는 없기 때문이다. 독보적인 자산 스캔 기술로 완벽한 가시성을 확보해 안정적이고 효율적인 보안체계를 구축할 수 있는 클래로티 플랫폼을 도입함으로써 스마트 제조 환경으로 진화하고 있는 식품, 음료 등의 제조 분야의 보안성을 확보할 수 있을 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]
글로벌 양대 강자, 노조미 네트웍스와 클래로티의 구축사례와 솔루션으로 살펴본 OT/ICS 보안
[보안뉴스 원병철 기자] 2020년 4월 이란의 대표 항만인 샤히드 라자이 항만이 사이버 공격을 당해 선박 운항과 물류 이동이 마비되는 사건이 발생했다. 이란 정부는 정체불명의 해커로부터 공격을 받았다고 밝혔는데, 미국 등 관계 국가는 범인으로 이스라엘을 추정했다고 워싱턴포스트는 밝혔다. 이란이 이스라엘의 수자원 관리 사이트를 공격한 것에 대한 보복공격이었다는 것. 실제로 이스라엘의 수도 공급을 담당하는 사이트에 공격이 이뤄졌으며, 특히 식수를 염소로 소독하는 단계에 침입해 자칫 큰 사고가 발생할 수도 있는 상황이었다. 다행이 더 이상의 공격이 발생하기 전 발견해 큰 피해는 없었지만, 이스라엘이 보복공격을 감행할만한 큰 사건이었다.
[이미지=utoimage]
주로 웹사이트나 회사·기관의 서버를 공격해 주요 정보를 탈취하는 사이버 공격은 피해자에게 엄청난 금전적 피해를 입히지만, 공장이나 주요 산업시설은 금전적 피해를 넘어 물리적인 피해, 특히 현장에서 근무하는 직원들의 생명까지 위협할 수 있어 매우 위험하다. 앞서 소개했던 이란의 샤히드 라자이 항만이 해킹으로 인해 금전적 손해를 입었다면, 이스라엘의 수도 공급 사이트 공격은 물을 소독하는 염소의 농도만 조금 더 진하게 바꾸면 생명을 위협할 수도 있는 사건이었다.
하지만 앞선 본지 특집기획 ‘사이버 위협에 노출된 스마트 공장, OT/ICS 보안이 답이다’에서 지적했듯 우리나라 OT/ICS 보안은 매우 심각한 수준이다. 특히, 일반적인 사이버 보안 솔루션이 아닌 OT/ICS 전용 솔루션을 구축한 공장은 손가락에 꼽을 수준이라고 업계에서 이야기할 정도로 현재 OT/ICS 보안 솔루션을 운영하는 곳은 많지 않다.
비슷한 듯 서로 다른 OT와 ICS
그렇다면 OT/ICS 보안 솔루션은 어떤 것들이 있을까? 이를 위해서는 먼저 용어를 정리할 필요가 있다. 우리가 흔히 함께 사용하는 OT(Operation Technology, 운영 기술)는 생산망과 설비망, 공정망 등 제작 작업의 프로세스를 운영하는 것을 말하며, ICS(Industrial Control System, 산업제어 시스템)는 생산망과 설비망, 공정망 등을 제어하는 시스템을 말한다. 엄밀히 말하면 시스템(ICS)과 시스템을 운영하는 프로세스(OT)로 구분할 수 있지만, 현장에서는 보통 같은 의미로 사용한다. 덧붙이면, 산업현장에서는 ICS를 더 많이 쓰며, OT는 잘 쓰지 않는다. 이와 관련 현장 전문가들은 각종 공정들이 IT와 접목해 자동화되면서, IT와 대칭되는 용어로 OT를 사용하기 시작했다고 설명했다. 아울러 IT 관계자들은 OT를 생산설비 관계자들은 ICS를 선호한다고 귀띔했다.
그 다음은 실제 공장이나 생산시설에서의 공정 단계다. 업계에서는 생산 공정을 크게 5단계(Level 0~4)로 구분한다. 가장 첫 번째인 Level 0은 가장 기본적인 장비와 운영장비를 말한다. 생산에 필요한 각종 센서들과 장비들을 말하는데, 예를 들면 온도를 체크하는 온도센서나 공정에 필요한 수도시설이나 풍력장비 등이 Level 0에 속한다. 가장 작은 센서부터 대형 제조장비까지 다양하며, 공정에 따라 추가해 사용하다 필요없어지면 그대로 방치되기 때문에 보안에 가장 취약한 부분이기도 하다.
Level 1은 Level 0의 장비들을 서로 연결하고 제어하며, 제작에 필요한 순서를 지정해 컨트롤 할 수 있는 PLC(Programmable Logic Controller)와 중앙 컨트롤러와 원격제어 시스템을 연결해주는 RTU(Remote Terminal Unit)가 포함된다.
Level 2는 PLC와 연동해 장비를 직접 컨트롤할 수 있는 일종의 터치패널인 HMI(Human Machine Interface)와 엔지니어링 워크스테이션(Engineering Workstaion), Remote i/o Rack 등의 장비를 의미한다. Level 3는 Historian 서버와 DNS 서버, 방화벽(Firewall) 등이 포함되며, Level 4는 Central Management Console(CMC), SIEM(Security Information&Event Management, 통합보안관제) 등이 포함된다. 일반적으로 Level 0부터 Level 3까지 OT/ICS 영역으로 보며, Level 3.5~Level 4단계까지 IT 영역으로 본다.
OT/ICS 보안 솔루션, 생산관련 장비의 프로토콜 파악이 성능 좌우
OT/ICS 보안 솔루션별로 약간씩 차이는 있지만 보통 Level 2~4 단계에 설치돼 ①가시성과 ②이상유무를 파악하는데 주력한다. 먼저 가시성이란 각 Level 별로 연결된 장비들을 파악하는 것을 말한다. 지난 특집기획에서도 설명했듯, OT/ICS 분야에서 가장 문제가 되는 부분 중 하나가 해당 공장 혹은 생산시설에 얼마만큼의 장비가 서로 연결되어 있는지, 고장나거나 사용하지 않는 장비는 어떤 것이 있는 지 파악하지 못한다는 점이다. 이는 보통 10~15년 이상 사용하는 내구성과 필요에 따라 장비를 추가하지만 이를 정확하게 파악하지 못하는 현장의 문제들이 쌓이면서 발생한다. 이 때문에 OT/ICS 장비는 거미줄처럼 엉켜있는 장비들을 구분하고 파악하는데 힘을 쏟는다.
물론 이것도 쉬운 일은 아니다. 생산관련 장비들은 고유의 프로토콜(Protocol, 장비끼리 정보를 주고받을 때의 통신방법에 대한 규칙·약속)이 있기 때문에, 이 프로토콜을 다 파악하지 못하면 장비를 연결할 수 없다. 예를 들어, 물리보안에서도 같은 규격의 CCTV와 DVR이 아니면 연결해서 사용할 수 없는 것과 마찬가지다. 이럴 경우 일일이 프로토콜을 맞춰가며 서로 연결해야 하는 것처럼, OT/ICS 역시 해당 장비의 프로토콜을 파악해야만 연결이 가능하다. 문제는 10년 이상 사용하는 생산장비의 특성상 이 프로토콜을 파악하기가 쉽지 않다는 점이다. 너무 오래된 장비라 제조사에서도 파악이 안 될 수도 있고, 이미 제조사가 망해버렸을 수도 있기 때문이다. 이때 발생하는 문제를 쉽게 해결하는 것이 브랜드의 파워를 좌우한다. 글로벌 양대 기업인 노조미 네트웍스(NOZOMI Networks)나 클래로티(CLAROTY) 같은 기업이 OT/ICS 분야에서 두각을 나타내는 이유이기도 하다.
이렇게 장비들, 즉 자산정보를 한눈에 파악할 수 있게 되면 외부 혹은 내부에서 어떤 문제가 발생하는지, 혹은 발생할 가능성이 있는지를 분석하는 것이 가능해진다. OT/ICS 보안 솔루션은 바로 이러한 문제점이나 징후 등 ‘위협’을 탐지할 수 있다.
이 두 가지가 현재까지의 OT/ICS 보안의 주요 영역이다. 물론 이 다음 단계도 존재하지만 생산을 최우선으로 하는 공장과 생산시설의 특성상 이 단계까지 적용하는 것도 쉬운 일이 아니라고 OT/ICS 보안전문가들은 말한다.
한편, 이 단계의 주요 플레이어는 미국의 노조미 네트웍스(NOZOMI Networks)와 이스라엘의 클래로티(CLAROTY)다. 또한 시스코도 IIoT(Industrial Internet of Things, 산업 사물인터넷) 전문기업 프랑스 센트리오(Sentryo)를 인수하면서 OT/ICS 보안 영역에 진입했으며, 마이크로소프트 역시 OT/ICS 전문기업 사이버엑스(Cyber X)를 인수했다.
스마트공장 중심으로 OT/ICS 보안 솔루션 구축 움직임
그렇다면 현재 OT/ICS 보안 솔루션의 구축현황은 어떨까? 기본적으로 OT/ICS 보안 솔루션은 기존 공장이나 산업시설에 별도로 구축하기보다는 대부분 ‘스마트공장(Smart Factory)’ 개념을 도입하면서 함께 구축하는 경우가 많다. 앞서 설명한 것처럼 생산성, 안전성에 초점을 맞춘 공장·생산시설이기에 스마트공장을 새로 짓거나 기존 공장을 스마트공장으로 업그레이드 하면서 보안도 강화하는 경우가 대부분이라는 거다. 이 때문에 OT/ICS 보안 솔루션이 가장 활발하게 구축되는 곳은 미국과 유럽 등 스마트공장이 가장 활발하게 움직이는 국가라고 업계 전문가들은 설명한다. 다만 코로나19로 인해 2020년은 조금 멈춰있는 모양새다.
이와 관련해 한국과 일본 등 동아시아를 중심으로 스마트공장이 빠르게 구축되고 있다. 특히, 미국과 유럽이 기반기술은 뛰어나지만 정부주도의 스마트공장 구축은 한국이 더 빠르다고 업계에서는 설명한다. 특히, 초기에 스마트공장을 구축하는 국가기관이나 대기업은 대부분 전국단위로 연결되거나 해외 생산기지와도 연계가 되기 때문에 프로젝트의 규모가 크다.
해외는 굵직한 프로젝트들이 이미 완료된 상태지만 한국도 최근 몇몇 대형 프로젝트가 이뤄지고 있다. 보안을 중시하는 한국기업의 특성 탓에 외부에는 잘 알려지지 않았지만, 반도체와 화학, 발전 등 분야의 대표기업들이 현재 OT/ICS 보안 솔루션을 구축하고 있다.
[이미지=utoimage]
[OT/ICS 보안 솔루션 글로벌 구축사례_1] NOZOMI Networks+이탈리아 에너지 국영기업 ‘ENEL’
OT/ICS 보안 솔루션을 통한 발전소와 네트워크의 안전성·효율성·보안성 향상
4개 대륙, 30개 국가에서 운영되는 다국적 에너지 기업 ENEL은 세계 최대 규모의 복합전력 및 가스 운영기업 중 하나다. ENEL은 신뢰와 효율성, 사이버 보안성을 향상하고, 수동적이고 비효율적인 ICS 모니터링 업무의 자동화와 문제 해결 등을 위해 노조미 네트웍스의 솔루션을 도입했다.
ENEL은 ICS와 제어 네트워크의 관리, 모니터링 및 분석 업무를 위해 표준 네트워킹 도구를 사용하고 있었다. 하지만, 해당 방식은 수동적이며 많은 시간이 소요됐다. 정보는 수집하기 어려웠으며, 담당자는 해당 내용을 이해하고 보완해야 했다. 이에 ENEL은 새로운 접근방식으로 효율성과 안정성 및 보안성을 개선하고자 했다. 또한, ‘IEC 62351’의 보안 요구사항에 대한 전원 시스템 모니터링 및 제어에 사용되는 SCADA 프로토콜 ‘IEC60870-5-104’의 심층적인 지원이 필요했다.
ENEL과 NOZOMI Networks는 함께 협력해 Regional Control Center에 Guardian™을 우선 배치했다. 광범위한 테스트와 세부조정을 거친 후 본격적인 롤아웃을 진행했다. 첫 단계로, 이탈리아 운영 네트워크를 모니터링하기 위해 Guardian 프로브가 모든 Regional Control Centers에 설치됐다. 또한, ENEL과 TSO 간의 연결을 모니터링하기 위해 Interconnection Centers에도 설치됐다. 다음으로, 중앙제어실에서 프로브를 운영하고, 모니터링하며, 업데이트하기 위해 Central Management Console™이 설치됐다. 마지막으로 조사와 문제 해결이 필요한 세그먼트를 모니터링하고 분석하기 위해 Guardian 휴대용 P500 어플라이언스가 도입됐다.
배포 후 ENEL은 NOZOMI Networks 솔루션을 활용해 산업제어 네트워크를 중앙 위치에서 모니터링하고, 데이터를 분석하며, 자산을 보호할 수 있게 됐다. 정보를 수집하는 작업은 관련성이 높으며 의미 있는 정보를 제공하는 자동화된 프로세스로 구축됐다. 이를 통해 작업의 효율성이 향상됐으며, ENEL의 직원들은 운영 핵심 업무에 집중할 수 있게 됐다.
<도입효과>
- ENEL 제어 네트워크 전체의 가시성 및 모니터링. ENEL과 TSO간의 연결 뿐 아니라 원격 및 격리된 위치의 현장 포함
- 잘못된 구성, 비정상적인 활동, 중요 상태, 표준 및 고급 보안공격 탐지 등의 진화된 운영 인사이트 및 관리는 ENEL의 ICS 및 IEC 60870-5-104와 같이 지원 가능한 SCADA 프로토콜에 대한 심층적인 이해를 활용
- 사용자 지정 규칙 및 보안 정책에 의해 트리거되는 경고를 포함, 관심 지표에 대한 자동 실시간 알림
- Guardian의 특장점 중 하나인, 현재·과거·미래 시점의 분석을 위한 네트워크 비교 분석 기능.
[OT/ICS 보안 솔루션 글로벌 구축사례_2] CLAROTY + 다국적 제약·바이오 회사
풍부한 지적재산(IP)과 생산운영 보호를 위한 OT/ICS 보안 솔루션 도입
풍부한 지적 재산(IP)을 보유한 글로벌 제약회사 A는 생산운영 보호의 중요성을 알고 있는 곳이다. 회사의 운영은 다양한 제조 공장의 OT 네트워크에 연결된 중요한 공정과 기계들에 의존하기 때문에, OT 환경에서 요구되는 생산에 대한 보안의 중요성을 알고 있었던 것이다. A사는 여러 벤더를 평가한 후, 클래로티 솔루션만이 제공하는 OT 가시성과 종합적인 OT 보안 컨트롤 기능을 제공한다고 평가했다.
규제가 심한 업계의 많은 기업들과 마찬가지로, A사는 OT보안을 처리하는데 있어 복잡한 문제에 직면했다.
1. 인수합병으로 인한 일관되지 않은 보안 이슈 : 제약 업계에서 흔히 볼 수 있듯이, 이 회사는 이전에 여러 다른 회사들을 인수했고, 보안에 대한 자신들만의 접근 방식뿐만 아니라, 서로 다른 OT 자산들에 대한 비정기적인 펌웨어 패치작업을 진행하고 유지 관리하기 위해 서로 다른 벤더들의 고유한 패치 방법을 활용했다.
2. 랜섬웨어 위험 : A사를 포함한 주요 제약회사들은 그들의 회사 규모, 사업 범위, 업종 특성상 랜섬웨어의 빈번한 공격대상이 되는 경향이 있다. 이러한 공격들은 일반적으로 VPN 접속을 통해 시작된 다음, IT에서 OT 네트워크로 확산되어 심각한 다운타임 및 운영 중단을 초래할 수 있다
3. OT 이상징후 탐지 기능 부족 : OT 전문가의 부족에도 불구하고, 회사의 IT 보안팀은 최근 OT 보안을 관리하게 되었다. 회사 내 각 제조 공장에 있는 OT 네트워크에는 ICS 이상징후 탐지 시스템이 없기 때문에 보안팀은 회사 IT 네트워크에서 사용하는 것과 동일한 시스템을 사용하려고 시도했다. 그러나 그러한 시스템이 OT 환경과 호환되지 않는다는 것을 곧바로 깨닫게 됐다. 그 결과, 보안팀은 회사의 OT 네트워크에 잠재적이고 악의적인 위협 활동을 찾아내지도 못할 뿐 아니라, 심지어 위협활동을 평가하거나 완화시킬 수 없다는 것을 알게 되었다.
짧은 테스트 기간이지만 예상을 넘어서는 기대 효과를 본 후, 클래로티 솔루션은 회사의 각 제조 현장에 설치됐다. 솔루션 구성요소는 다음과 같다.
- Continuous Threat Detection(CTD) : 전체 OT 자산 가시성, 지속적인 보안 모니터링 및 실시간 위험 정보를 제공하면서도 운영 프로세스 및 기본 장치에 영향을 주지 않는다.
- Secure Remote Access(SRA) : 직원 및 서드파티 벤더를 포함한 원격 사용자들의 관리되지 않고 모니터링 되지 않은 접속을 통해 발생하는 위협으로부터 OT 네트워크를 보호한다.
- Enterprise Management Console(EMC) : 클래로티 솔루션의 데이터를 통합하고 여러 사이트의 자산, 활동 및 경고에 대한 통합된 뷰를 제공함으로써 전반적인 관리를 단순화한다. 이 기능은 또한 IT 보안 인프라와 완벽하게 통합된다.
<도입효과>
클래로티 솔루션을 활용하여 해당 회사는 다음을 수행할 수 있게 됐다.
- 완벽한 OT 가시성 확보 : CTD는 OT 자산을 신속하게 발견해 이전에는 없던 세부정보들을 제공했다. 예를 들면, 어떤 테스트를 통해 A사는 65개의 OT자산이 있다고 인식하고 있었는데, 클래로티 솔루션은 95개의 OT 자산을 발견했다.
- 안전한 OT 원격 접속 : SRA는 플랜트 직원 및 서드파티 벤더에게 OT 자산에 원격으로 쉽고 안전하게 접속하고 서비스할 수 있는 사용자 친화적인 인터페이스를 제공한다. 또한, SRA는 권한 접근제어와 사전 모니터링을 통해 원격 사용자들로 인해 발생할 수 있는 위험을 최소화했다.
- IT 보안 툴과 연동해 OT 보안 강화 : 클래로티 솔루션은 IT 보안 인프라와 완전하고 완벽하게 융합됐다. SIEM 솔루션과 통합함으로써 회사의 IT 보안팀은 OT 환경 전반에 걸쳐 전체적인 보안을 달성하기 위해 친숙한 기존 툴을 활용할 수 있었다.
[OT/ICS 보안 솔루션 대표 기업_1] 노조미 네트웍스 ‘Guardian’
인공지능 기반 OT/ICS 위협 분석 솔루션 ‘Guardian’
산업용 제어시스템 전문 보안업체 노조미 네트웍스, 한글화 등 한국 시장 지원 확대
[이미지=노조미 네트웍스]
노조미 네트웍스의 ‘Guardian(가디언)’은 OT/ICS의 자산 현황 파악, 취약점 분석, 네트워크 시각화 등의 위협탐지 시스템(IDS) 기능을 기본으로, 범용화되지 않은 산업용 프로토콜을 인식하고, 오래된 레거시 시스템에도 적용이 가능하다.
또한, 폐쇄망 환경에서도 외부 서버와의 연계 없이 동작하는 등 제어시스템 환경에 특화된 기술을 적용, 다양한 OT/ICS 현장의 보안성과 운영 효율성을 획기적으로 향상시킬 수 있는 OT/제어망 전용 보안 솔루션이다. 가디언은 머신러닝 기반의 비정상 행위 식별, 스냅샷을 통한 전후상황 비교, 현장 컴포넌트의 실제 공정 변수값 확인이 가능하며, 100% 패시브 모드 방식으로 동작해 무중단 설치와 무위험 운영이 가능하다.
사용자 편의성 및 ICS 환경의 특성 반영
새로운 솔루션 도입 시 자주 간과하게 되는 주요 포인트 중 하나는 바로 사용 편의성이다. 솔루션의 기능과 특장점이 아무리 유용하더라도 관리하기 복잡하거나, 많은 지식과 오랜 숙련도가 필요하다면 해당 솔루션이 도입 현장에서 제 기능을 발휘하는데 제약사항이 따른다.
또한, OT/ICS 환경의 특성상 IT 분야, 생산&설비 분야, 보안 분야 등 각 부서별 및 외주 업체별로 업무와 도메인 지식이 다르기 때문에 사업 규모가 클수록, 분야별 전문 담당자가 많을수록 오히려 보안 공백이 많아지는 경향이 있다. 노조미 네트웍스의 솔루션은 이러한 환경에 착안해 가디언 제품의 도입에서부터 운영 및 관리까지 모든 주요 기능들이 대부분 자동화되어 있으며, 직관적으로 쉽게 관리할 수 있도록 설계됐다.
가디언은 자동으로 현장의 자산을 목록화해 구성 상태를 즉각적으로 시각화한다. IT 자산의 취약점 및 악성코드 감염여부 등을 포함해 OT/IoT 자산과 SCADA 통신 등의 비정상 상황 또는 위협 등을 파악하고 해당 내용에 대한 설명 및 이유와 함께 알림을 발생시킨다.
업계 최고 수준의 탐지능력
‘무엇을 모르는지를 모르는 상태가 가장 위험하다.’ 이 문구는 보안 및 운영 분야에서 가장 많이 언급되는 경구다. 노조미 네트웍스의 가디언은 시그니처 기반, 행위 기반, 인공지능 학습 기반의 베이스라인 등 여러 방법론을 복합적으로 적용해 업계최고 수준의 탐지 능력을 보유하고 있다.
실제 현장에 노조미 네트웍스의 가디언 제품 도입 이후 도출된 인사이트를 살펴보게 되면, 전혀 인지하지 못하고 있던 위험상황과 감염여부가 상당수 탐지된다. 보안과 비용의 균형 관점에서 조치를 취해야할 우선순위를 정하고, 업데이트 & 유지보수 예산, 스케줄을 세우거나 감수할 수 있는 위협수위를 결정하고 해당 파트를 지속적으로 모니터링 하는 것만으로도 해당 현장 및 비즈니스의 보안과 운영 효율성이 놀라운 수준으로 향상된다.
유연한 배포 옵션 및 기존 자산의 효율성 극대화
현재 가동 중인 생산라인 및 비즈니스 업무의 중단 없이 새로운 솔루션을 도입하는 작업은 일반적으로 쉽지 않다. 이러한 상황은 OT/ICS 환경에서 더욱 중요하며, 무엇보다도 도입 이후에도 기존의 제어망이나 설비 자산에 영향을 미치지 않아야 한다. 이러한 특수성이 바로 노조미 네트웍스의 가디언이 산업용 제어시스템을 대상으로 최적화되어 출시된 이유다. 또한, 중앙관리콘솔(Central Management Console)을 활용해 여러 대의 가디언 및 또 다른 CMC를 중앙집중식으로 관리·관제할 수 있으며, 원격수집장치(Remote Collector)를 가디언에 연결해 지리적으로 더 넓은 범위의 지역을 커버할 수 있다.
노조미 네트웍스의 제품군은 H/W 형태와 가상화 형태 모두를 지원하며, 고객의 상황에 따라 컨테이너 형식, 클라우드 형태의 배포 등 유연한 아키텍처와 간편한 확장이 가능하다. 다양한 ICS 벤더사와 산업용 프로토콜을 지원하는 장점 외에도, 다양한 서드파티 방화벽, SIEM 장비 등과의 연동을 지원해 기존의 IT 보안 솔루션과 시너지 효과를 발휘한다.
올해 9월, 노조미 네트웍스는 제어시스템 및 산업용 IoT 분야의 여러 취약점 및 악성코드를 찾아내고, 이를 연구해 발표한 공로를 인정받아 미국 국토보안부의 CVE 프로그램에서 CVE 번호를 부여하는 공인기관(CNA: Committed CVE Numbering Authority)으로 승격됐다. 24
개국의 136개의 보안 전문업체가 CNA 인증 업체로 등록되어 있으며, OT/ICS 전문 업체로서는 노조미 네트웍스가 최초다. 국내에서는 올해 5월부터 EK시큐리티코리아가 노조미 네트웍스의 독점 총판으로 활동 중이며, EK시큐리티코리아는 ‘가디언’을 한글화해 정식 언어로 추가하고, 기존 고객에게 한글화된 가디언을 무료로 배포한다고 밝혔다.
[OT/ICS 보안 솔루션 대표 기업_2] 클래로티 ‘CTD/EMC/SRA’
안전한 스마트 팩토리/플랜트를 위한 산업제어망 보안 모니터링(OTSM) 필요성
클래로티(Claroty), OT 자산 가시화 및 ICS 이상징후 모니터링 체계 구축
[이미지=클래로티]
클래로티는 글로벌 산업제어시스템 보안 기업으로 산업제어시스템 관리를 위한 OT 기반 네트워크 모니터링 및 보안 솔루션을 제공한다. 클래로티는 제어시스템에 최적화된 보안 설계와 관리를 지원하기 위해 지속적인 위협 탐지를 지원하는 CTD(Continuous Threat Detection), 엔터프라이즈 관리 콘솔인 EMC(Enterprise Management Console), 안전한 원격 액세스를 지원하는 SRA(Secure Remote Access)의 세 가지 플랫폼을 제공한다.
클래로티의 각 플랫폼은 별도의 에이전트 설치가 필요 없으며, 기존 IT 보안 인프라와 원활하게 통합할 수 있다. 또한, OT 자산에 대한 완벽한 가시성 확보를 기반으로 위협 탐지, 취약점 관리, 위협 분류, 위협 완화의 4가지 측면을 통한 가장 광범위하면서도 뛰어난 OT 보안 기능을 제공해 각종 보안 위협으로부터 OT 자산을 지킬 수 있는 최적의 OT 보안 솔루션이라는 평가를 받고 있다.
완벽한 가시성 확보를 통한 지속적인 위협 탐지 플랫폼, CTD
CTD는 클래로티가 제공하는 자산 분석 플랫폼으로 OT와 관련된 전문 지식이 없어도 OT 네트워크를 구성하는 모든 자산을 자동으로 식별하고 학습해 전체 네트워크에 대한 가시성을 확보할 수 있도록 지원하며, 이러한 완벽한 가시성을 토대로 OT 자산에 대한 지속적인 위협 및 취약점 모니터링을 수행한다. CTD는 알려진 취약점은 물론 알려지지 않은 제로데이 취약점까지도 실시간으로 탐지할 수 있으며, OT 네트워크 마이크로 세그먼트를 제공해 각종 사이버 보안 위협으로부터 ICS 자산을 효율적으로 지킬 수 있도록 지원한다. 또한, CTD는 OT 자산 중 PC 형태로 구성된 자산에 대한 보안 패치 여부를 확인할 수 있는 기능을 제공하고 제어시스템에서 사용하는 전용 쿼리를 이용, 실자산에 영향을 미치지 않는 학습 수행을 통해 구축한 DB를 기반으로 취약점에 대한 빠른 탐지 및 식별이 가능하도록 지원한다.
엔터프라이즈 관리 콘솔, EMC
EMC는 여러 곳에 분산되어 있는 OT 네트워크 및 제어시설과 관련된 각종 데이터를 집계하고 관리할 수 있는 중앙집중식 인터페이스 플랫폼으로, 통합 보고서를 제공해 각 제어시설을 구성하는 전체 자산에 대한 경고 및 위험 분석을 지원한다. EMC는 제어시설의 가동이 중단될 위험 없이 빠르고 안전하게 설치 및 운영할 수 있으며, 보안운영센터(SOC) 구축에 이상적인 거버넌스 구조로 구성되어 SIEM, SOAR, NAC, 방화벽 등 기존 IT 보안 인프라와의 원활한 통합을 지원하는 것이 특징이다.
안전한 원격 액세스 관리 플랫폼, SRA
SRA는 OT 네트워크 및 제어시설에 대한 원격 접속을 관리할 수 있는 플랫폼으로 원격 사용자의 연결 및 인증을 관리할 수 있는 기능, OT 자산과 관련된 소프트웨어의 업데이트 내역, 정기유지 보수내역 등을 제공해 내·외부 사용자 모두를 위한 간편하면서도 안전한 원격접속을 지원한다. SRA는 OT 보안담당자가 원격 접속자의 접속날짜, 접속시간, 접속 가능한 장비 등에 대한 상세정보를 설정하고 원격 접속자의 행위를 실시간으로 모니터링할 수 있도록 지원하며, 원격 접속자에 의한 악성행위가 발생했을 경우 이를 즉시 차단할 수 있다.
고도화된 스마트 제조 환경, 클래로티 플랫폼으로 관리
각종 공장, 제조시설, 발전소 등으로 대표되는 산업제어시스템 및 OT 네트워크는 폐쇄적인 구조로 구성되어 있어 해커가 외부에서 침입할 수 없기 때문에 사이버 보안위협으로부터 안전하다고 여겨져 왔다. 그러나 최근 각종 OT 장비에 IT가 융합되고 제어시설의 효율적인 유지보수를 위해 외부 네트워크와의 연결이 발생하는 등 OT 네트워크의 개방성이 점차 확대되고 있다. 이에 따라 산업제어시설 역시 사이버 보안 위협으로부터 더 이상 안전하지 않은 상황이 되었고, 제어시설을 노리는 랜섬웨어로 인한 피해가 지속적으로 발생하면서 자연스럽게 OT 보안을 위한 전문적인 솔루션의 필요성이 주목받고 있다.
클래로티는 IT와 OT의 사이버 보안 격차를 해소할 수 있는 기술 통합 에코시스템을 제공해 사용자가 OT 환경의 자산을 효율적으로 관리하고 ICS의 보안을 지킬 수 있도록 지원하며, 이러한 독자적인 기술력을 인정받아 이미 반도체, 제조시설, 발전소, 자동차, 화학, 바이오/제약, 식음료, 공공기관 등 다수의 글로벌 및 국내 고객을 확보하고 있다. OT는 시스템 정지 및 오류로 인하여 잠시라도 가동이 중단될 경우 막대한 손실이 발생할 수 있고, 제3자의 악의적인 행위로 인해 고유 기술 또는 취약점이 노출될 경우 기업의 존폐 여부가 달린 막심한 피해가 발생할 수 있다. 이와 같은 OT만의 특성으로 인해 발생하는 문제를 해결하기 위해서는 OT 환경에 대한 깊이 있는 이해를 기반으로 설계된 전문적인 OT 보안 솔루션을 통해 선제적 보안 시스템을 구축하는 것이 필수적이다.
보안의 첫 걸음은 결국 가시성 확보다. 보이지 않는 자산을 지킬 수는 없기 때문이다. 독보적인 자산 스캔 기술로 완벽한 가시성을 확보해 안정적이고 효율적인 보안체계를 구축할 수 있는 클래로티 플랫폼을 도입함으로써 스마트 제조 환경으로 진화하고 있는 식품, 음료 등의 제조 분야의 보안성을 확보할 수 있을 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
