전문가에게 듣는 ICS·OT 보안 방안 : “표준 모델로 보안 아키텍처·거버넌스 마련해야”

2010년 스턱스넷 공격을 기점으로 전세계적으로 스카다(SCADA), 산업제어시스템(ICS), 운영기술(OT) 환경을 운영하는 공장, 발전소 등 산업시설·기반시설을 대상으로 한 사이버공격이 꾸준히 발생하고 있다.

해외에서는 물론 국내에서도 공장에서 사용하는 윈도우 기반 산업용 PC와 제어장치(PLC)가 랜섬웨어 등 악성코드에 감염돼 오작동을 일으키거나 운영이 중단되는 사고가 발생하는 일이 발생하기도 했다.

미국의 ICS·OT 보안 전문기업인 사이버엑스(CyberX)는 최근 전세계 제조·철강·엔지니어링·화학 분야 200개 이상 기업의 시스템들에 대해 데이터 탈취 등을 노린 지능형지속위협(APT) 공격이 진행되고 있다고 밝혔다. ‘강남 인더스트리얼 스타일(Gangnam Industrial Style)’이라고 명명된 이 캠페인의 공격 대상기업 가운데 약 60%가 국내 기업으로 나타났다.

OT 환경 대상 사이버공격은 증가하는 추세라는 게 보안업계와 전문가들의 공통된 지적이다.

ICS와 OT 환경에서 보안사고가 발생하는 경우, 그 위험성과 파급력은 매우 크다. 정보유출 목적보다는 파괴, 운영 중단 목적의 지능화된 공격이 주로 이뤄지기 때문이다.

전통적인 ICS, OT 환경은 과거에는 IT 환경과 분리된 폐쇄망 환경을 운영하고 있고, 제조사별 자체 제어 프로토콜과 운영체제(OS)를 활용해 특수목적형 하드웨어에서 실행되기 때문에 상대적으로 안전하다고 여겼던 것이 사실이다. 하지만 환경 변화에 따라 최근에는 폐쇄망 환경도 안전지대가 아니다.

제조기업의 공장만 해도 ‘스마트 팩토리’가 추진되면서 자동화를 넘어 지능화된 환경으로 탈바꿈하는 추세다. 공장 내에서 발생하는 수많은 데이터를 모아 분석해 활용하고 있고, 머신러닝 기술도 접목하는 등 기업 IT 환경에서 사용하는 첨단 기술들이 적극 도입되고 있다.

이미 특화된 산업 제어 프로토콜 외에 TCP/IP 환경을 운영하고 있고, 인터넷을 사용하는 사내망과 연결된 지점도 존재한다. 무선 네트워크 연결도 많아지고 있다. IT와 OT 환경은 점점 융합되고 있는 상황이다.

이로 인해 최근 ICS, OT 보안의 필요성과 중요성이 크게 대두되고 있지만, 전통적인 환경이 혼재돼 있는 상황에서 보안대책을 수립하고 운영하는 것이 쉬운 일은 아니다.

실제로 국내에서는 제대로된 OT 보안 아키텍처와 대응 방안을 구현한 사례를 찾아보기 힘들다는 지적도 나온다.

EY한영의 기업 리스크 파트너 출신으로 기업과 산업시설 보안 컨설팅을 담당해온 이상용 법무법인 광장 전문위원과 OT 보안 방안에 대해 이야기를 나눠봤다.

OT 보안 적용이 어려운 산업 환경 : 오래된 설비와 수많은 프로토콜, 자산 관리 미흡 한계

이 전문위원은 먼저 산업시설에 보안을 적용하는데 많은 어려움이 있다고 지적했다. 오래 전부터 사용해온 설비가 많은 탓이다. 최대 수십년 전에 설치한 기계설비도 있어 백신(안티바이러스)을 적용하거나 이를 위한 용량 증설이 어렵고, 제어나 분석을 수행할 수도 없는 환경을 운영하고 있는 경우가 많다.

또한 많은 설비 제조사들마다 전용 산업 프로토콜을 사용하고 있어 전체 설비나 제어 네트워크에 대한 모니터링이나 관리도 불가능하다.

제조현장에 기기와 장치들이 계속 증가해왔지만 운용만 하는 경우가 많다. 자산 이력관리가 안되고 있어 자산 식별이 어렵기도 하다.

24시간 365일 운영되는 생산 환경의 경우엔 보안 취약점을 점검하거나 보안 조치를 강구하기 위한 시간을 확보하기도 어렵다.

현장의 직원들은 안전에 대한 인식은 높지만 사이버보안 인식은 부재하다. 그렇다고 IT 보안 담당인력이 OT 보안을 수행하기도 쉽지 않은 상황이다. OT 환경이나 업무 이해도가 높은 IT 보안인력, 즉 융합보안 인력이 부족하고, 이같은 현실은 IT보안 전문기업들도 마찬가지다.

이 전문위원은 “생산시설 시스템 통제가 불가능하고 자산에 대한 가시성이 부재하다. 사용되는 서로 다른 산업용 프로토콜도 너무 많은 상황”이라며 “OT 환경 아키텍처와 거버넌스를 만들고 개선해야 한다. 이후 OT 취약점에 대응할 수 있는 환경을 구현해야 한다”고 제시했다.

아키텍처 구현 : 보호 자산 식별·보호 방안 수립, 가시성 확보

일단은 자산을 분석한 뒤 보호할 자산을 골라내 리스크를 분석하고 그에 따른 보호 방안을 수립해야 한다. 예를 들어 공장제어·공정데이터 업무망, 제어공정 시스템관리망과 장비망, 장비별로 분류하고 보호기술 적용을 수행할 수 있다. 이를 대상으로 지속적인 가시성을 확보해 비정상·이상징후를 탐지해야 한다. 사고가 발생하더라도 원인 파악이 가능한 환경을 운영하고, 대응과 복구 방안도 수립해야 한다.

결과적으로 식별-보호-탐지-대응-복구로 이어지는 보안 프레임워크가 마련되는 셈이다.

이 전문위원은 아키텍처 개선 방안으로 “생산과 운영을 위한 제어 설비와 장치 등을 안전하게 보호하기 위해 격리된 네트워크를 설계하고, 자산을 배치하기 위해 각 자산의 데이터 흐름을 분석해야 한다”며 “OT 가시성을 확보하기 위해서는 자산을 분석하는 것이 매우 중요하다. OT 특화 방화벽이나 분산된 산업 네트워크를 중앙에서 통합 모니터링할 수 있는 장비를 활용할 수 있다”고 말했다.

거버넌스 개선 : OT 보안 R&R 정의, 정책과 지침 마련 중요

거버넌스 개선을 위해서는 먼저 “누가 어떠한 일을 할지, 조직과 업무 분석을 바탕으로 정책과 지침이 정해져야 한다”라면서 “OT 아키텍처와 네트워크를 구축하고 거버넌스를 개선할 때에는 OT·ICS 관련 국제 표준을 활용할 것을 제안한다”고 강조했다.

이 전문위원은 “미국, 유럽 등 해외에서는 정부 주도로 OT 보안 관련 표준을 제정해 OT보안 구현을 강제하거나 인증을 권고하고 있다. 대표적인 국제 표준은 ISA/IEC 62443, NIST 800-82 등이 있다”라면서 “OT 보안은 워너크라이 등 특정 랜섬웨어를 막기 위해 백신 위주의 솔루션을 적용하는 방식으로는 해결책이 될 수 없다. 공장이나 스마트팩토리 시설 전체를 이해해 표준화된 모델로 큰 그림을 그려나가는 것이 제대로된 방향”이라고 지적했다.

이어 “아키텍처 모델을 만들고 책임과 역할(R&R)에 대한 거버넌스를 정의한 뒤에 필요한 OT 제조사가 제공하는 보안 기술이나 OT 전문 보안, IT 보안 기술과 솔루션을 배치해야 한다”고 덧붙였다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

2 댓글

  1. 지능형 지속 공격 ATP공격이 아니라 APT 공격 아닌가욤?~
    다 약자로 쓰셨는데 풀네임을 써주시지…예를 들어 OT 같은거요…

    1. APT입니다. 실수로 바꿔썼네요. 수정했습니다. 알려주셔서 고맙습니다. OT는 기사 맨 앞에 한글로 풀어서 운영기술(OT)이라고 적었습니다. 영문까지 전체 괄호로 넣으면 너무 길어지고 지저분해 보여서 보통 기사에는 이렇게 표현합니다. 다른 매체들도 비슷합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다