[보안뉴스 문가용 기자] 인터넷의 시대가 시작되고서 첫 20년 동안 공장이나 전력소에 있는 OT 장비들은 IT 요소들과 동떨어진 요소들로 존재해 왔었다. 그래서 IT 시스템에서의 해킹 공격에 대한 우려와 공포가 확산될 때 OT 담당자들은 평온하기만 했었다. OT 담당자들이 걱정할 건 보안이 아니라 안전 문제였다.
[이미지 = utoimage]
하지만 최근 10년 동안에 상황이 바뀌었다. OT 시스템이 점점 컴퓨터화 되기 시작했다. 즉, IT 시스템과의 결합이 무서운 속도로 진행되었다는 것이다. 그래서 현재는 IT 기능이 없는 ‘순수 OT 요소’를 찾아내기가 힘들 정도다. 덕분에 OT의 운영은 훨씬 효율적으로 이뤄질 수 있게 되었고, OT에서 나오는 각종 데이터를 통해 사업적 가치를 높일 수도 있었다.
그래서 요즘 나오는 자동차는 철 덩어리가 아니라 소프트웨어 덩어리다. 제약회사들이 운영하는 공장들 사이에서는 자동화가 빠르게 자리를 잡아가고 있다. 그 덕분에 약들이 보다 빠르게 생산될 수 있게 되었다. 전기 공급망은 ‘스마트 미터’ 기술을 광범위하게 적용하고 있으며, 이를 통해 정전의 징조를 정확하게 탐지할 수 있게 되었다.
하지만 세상 모든 것에는 장단이 공존한다. OT는 IT와의 융합으로 편리해진만큼 위험해지기도 했다. 사이버 공격 때문이다. OT에서 발생하는 사이버 공격은 안전 문제로 이어지기도 하며, 브랜드의 명성과 신뢰도가 크게 하락하기도 한다. 얼마 전 발생한 콜로니얼 파이프라인(Colonial Pipeline) 사태가 좋은 사례다. OT 시스템이 마비되는 바람에 광범위한 지역에서 연료 공급이 중단돼 사회적 패닉이 발생했었다.
디지털 변혁과 초연결 사회가 주는 편리함을 추구한다는 건 이런 식의 위험을 상수로 둘 수밖에 없는 입장이 된다는 뜻이 된다. 또한 안전 문제와 보안이 직결된다는 뜻도 된다. OT를 겨냥한 사이버 공격을 예방, 탐지, 대응하는 기본적인 원리는 다음과 같다.
1. OT 시스템들을 겨냥한 공격 예방
이상적으로 최고의 방어는 ‘예방’이다. 처음부터 공격을 허용하지 않는 것이 최고의 방어라는 것이다. 현실적으로 불가능하다고 해도 이를 추구하는 것을 비난할 수는 없다. OT 환경에서 ‘예방’이란 1) 아이덴티티와 접근 권한을 관리하는 것, 2) 제로트러스트 아키텍처를 구성하고 실천하는 것, 3) 취약점 관리 솔루션을 설치하고 사용하는 것, 4) 망분리를 미리 해 두는 것을 말한다. 이 모든 것들을 충실히 해낸다면 어지간한 실력자가 아니라면 뚫어낼 수 없는 네트워크를 갖추게 된다.
2. OT 사이버 공격의 이른 징조들의 탐지
아쉽지만 위의 4가지를 수립했다고 하더라도 100% 방어란 건 있을 수 없다. 누군가의 실수로 한 순간 구멍이 나기도 하고, 초인간적인 의지력을 발휘한 공격자가 수년에 걸쳐 침투에 성공할 수도 있다. 그러므로 예방 조치는 물론 초기 탐지를 위한 시스템도 갖춰야 한다. 누군가 들어왔다는 가정 하에 피해를 최소화 하는 건 얼마나 빠르게 악성 신호들을 잡아내느냐에 달려 있다.
OT 환경에서 탐지의 속도를 높이려면 1) 지속적인 모니터링이 필수다. 기존의 OT 환경에서도 모니터링 활동은 있었다. 다만 그것이 기능에서 이상이 생기는 것에 초점이 맞춰져 있었기에 보안을 위한 모니터링과는 다르다. 그렇기에 IT와 OT 구성원들 모두에게 ‘무엇을’ 찾아내야 하는가, 어떤 신호가 나타나면 위험하다고 인지해야 하는가 등을 2) 교육하는 것도 필수적이다.
3. OT 공격에 대응하기
누군가 당신의 OT 네트워크를 침투했다. 그리고 그것을 탐지해냈다. 그렇다면 대응을 해야 한다. 탐지까지 빠르게 해냈는데 정작 대응이 느리다면 아무런 소용이 없다. 그러므로 대응의 최고 덕목 역시 속도다. 빠르고 정확하게 대응하려면 무엇보다 대응에 대한 사전 계획을 먼저 수립해야 한다. 악성 요소의 위치를 파악하고 네트워크에서 분리해 내며 불필요한 것들을 삭제해 시스템을 정상화시키는 일련의 과정들이 꼼꼼하게 이 계획 안에 포함되어야 한다.
여기서 한 가지 중요한 건 OT 환경인만큼 ‘안전’을 위주로 대응 계획을 세워야 한다는 것이다. OT 요소들이 망가지거나 오작동을 하면 뭔가가 부서지고 누군가 다치는 등의 일이 일어날 수 있기 때문이다. 안전을 위한 조치들을 미리 계획해 두었다면, 그 다음은 OT의 마비로 인해 발생하는 손실을 최소화 하는 것이 중요하다. OT이기 때문에 이 2가지가 서로 겹칠 수도 있다.
4. 결국 OT 보안 문화가 중요하다
OT와 IT의 융합이 더 넓은 범위에서 이뤄지면 이뤄질수록 결국 지금의 IT 보안처럼 ‘누구나 보안에 참여해야 한다’는 명제가 등장하게 될 것이다. 무슨 말이냐면, 보안 문화가 OT 구성원 모두에 퍼져야 한다는 것이다. OT 환경에서 어떤 역할을 맡고 있던 모두가 보안에 대해 어느 정도 이해한 상태에서 업무 활동을 해야 한다는 뜻이다. 결국 그런 흐름으로 가게 될 것은 뻔한 일이다. 어느 산업에서나 마찬가지다.
OT 환경에서는 이미 ‘안전’에 대한 문화가 오래 전부터 자리를 잡고 있다. 물론 그렇다고 사고가 안 나는 건 아니다. 그러나 대부분 누군가 부주의한 모습으로 일을 하거나 작업 현장에 나타나면 위험해 보인다고 충고 정도는 해 줄 수 있다. 안전모를 쓰라거나, 벨트를 단단히 고정시키라는 등의 말을 해 줄 정도로 안전에 대한 눈이 트여는 있다는 것이다. 보안도 그렇게 되어야 할 것이다. 그런 식으로 컨트롤러를 작동하면 좀 위험할 수 있어, 라고 상식처럼 말해 줄 수 있는 시대가 다가온다.
글 : 그렉 발렌타인(Greg Valentine), 수석 사이버 보안 국장, NA Cyber Center Of Excellence
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>