OT 보안사고 막으려면...보안표준 준수·보안관제·인증체계 중요

#2020년 6월 9일. 일본의 혼다 자동차 공장이 멈추는 사고가 발생했다. 랜섬웨어가 운영기술(OT) PC를 암호화해 가동중인 제어망을 셧다운한 것이다. 당시 공격에 사용된 것은 특수목적시스템 타깃 랜섬웨어인 ‘스네이크 랜섬웨어’로, 네트워크를 공격해 모든 기기를 암호화한다. 상품을 생산하는 공장은 사이버 공격을 받을 경우 공정 차질이 불가피하다.

#지난 4월, 이스라엘의 한 수처리 공장이 사이버 공격을 당했다. 당시 공격자들은 모니터링의 사각지대가 발생하기 쉬운 주말을 이용해 사이버 공격에 돌입했다. 공격자들은 염소 농도를 이용해 상수를 소독하는 시스템에 접근했다. 다행히 공격이 실패해 상수원의 염소가 높아지는 끔찍한 사고를 막을 수 있었다.

이밖에도 OT를 대상으로 한 사이버 공격은 오래전부터 꾸준히 발생하고 있다. 지난 2017년 사우디아라비아의 한 정유 공장이 사이버공격으로 인해 두차례 셧다운됐다. 조사 결과, 공격자는 특정 산업제어시스템(ICS)을 제어할 수 있는 공격 툴을 미리 만들어 놓은 뒤, 엔니지어링워크스테이션(EWS)에 이를 옮겨놨다. 결국 이 정유사의 펌웨어 업데이트가 이뤄지면서 이 툴이 다운로드됐고, 셧다운이 발생하게 된 것이다.

정해식 클래로티코리아 책임 컨설턴트는 바이라인네트워크가 최근 개최한 ‘OT/ICS 보안 방안’ 웹세미나에서 이같은 OT 보안 침해사고를 소개하며 “사이버 공격은 공장 셧다운 뿐만 아니라, 공정을 터트릴 수 있는 끔찍한 사고로 이어질 수 있다. 이제 더 이상 ICS, OT 침해 사고는 보안사고가 아닌 생명을 위협하는 안전사고”라고 밝혔다.

OT·ICS 사고가 발생한 원인으로 이상징후 탐지(보안관제)가 이뤄지지 않았고, 제어시스템에 대한 인증체계 부재를 지목했다. 만약 보안관제 서비스와 제어시스템 인증체계가 구축됐다면 공격을 사전감지하고, 인증되지 않은 펌웨어를 막아 랜섬웨어 감염을 막을 수 있었다는 것이 그의 주장이다.

우리 공장은 안전하다? “오해는 곧 사고로”

정 컨설턴트에 따르면, 대부분의 공장에서는 폐쇄망을 구축했다는 이유로 자사의 OT·ICS가 안전하다는 오해를 한다. 그러나 실제 현장에 가면, 사무자동화(OA)망에서 공장 네트워크 프로세스를 한 눈에 볼 수 있다. 이러한 구조는 완전한 폐쇄망이라고 할 수 없다.

또 다른 오해는 방화벽을 100% 신뢰하는 것이다. 정 컨설턴트는 “대부분 공장에서 방화벽, 제어망을 중요도에 따라 레벨 분류하지 않았다”며 “또 다양한 외산벤더를 사용하는 만큼 적절한 방화벽 정책을 세우지 못한 것이 현실”이라고 지적했다.

이 모든 것을 해결하는 방법은 보안표준을 지키는 것이라고 강조했다. 이날 클래로티의 총판사이자 협력사로 참여한 방혁준 쿤텍 대표는 “공장에서 요구되는 보안 사항은 크게 조직, 시스템, 디바이스로 나눈다. 이를 모두 포함하는 표준이 ‘IEC62443’”이라고 설명했다.

방 대표에 따르면, 사이버보안관리시스템(CSMS, cyber security management system)에는 여러 산업군이 포함된다. OT에서는 ‘IEC62443’ 인증체계가 대표적이다. 최근 국가표준으로도 지정이 된 만큼 강력한 보안성을 요구한다.

IEC62443는 7가지 기본 요구사항을 갖췄다. 보안등급을 1부터 4까지 총 4가지 단계로 구성해 레벨에 따른 보안을 지원한다. 제어시스템 가용성, 공장보호, 공장운용 및 시간, 임계적 시스템 응답을 목표로 하며, 작동중지(셧다운)을 가장 피해야 하는 이벤트로 간주한다.

IEC62443에 맞는 OT·ICS 환경을 구축하기 위해서는 총 7단계의 과정이 필요하다. 기존 시스템 평가, 정책 및 절차 문서화, 직원 및 계약자 교육 및 훈련 프로그램, 제어 시스템 네트워크 분할, 시스템에 대한 엑세스 제어, 시스템 구성 요소 식별 및 강화, 모니터링 및 시스템 보안 유지다. 순서는 중요하지 않지만, 강력한 보안을 위해서라면 7가지 단계 모두 고려해야 할 사항이다.

IEC62443를 충족하는 OT 보안관제

다른 IT산업의 환경과 달리, OT의 경우 운영체제(OS), 제어시스템, 하드웨어가 서로 다르다. 따라서 중요한 것이 보안관제다. 어떤 위협이 어디로 들어오는지 탐지하는 것이 중요하다.

클래로티의 보안관제 서비스는 비정상적인 데이터 전송 패턴, 새롭거나 허용되지 않은 프로토콜을 감지한다. 시간별 데이터 트래픽을 확인할 수 있으며, 고스트자산이나 외부MAC 또는 IP주소와 통신을 한다. 시스로그(SYSLOG)를 중앙 로깅 서버로 전송한다. 이러한 기능은 IEC62443의 보안 요구사항에 해당된다.

또 기존자산, 누락된 자산을 자동으로 탐지해 레벨별로 이를 시각화해서 보여준다. 클래로티의 시큐어 리모트 액세스 기능은 외부에서 내부로 안전한 시큐어 채널을 생성하고, 원격으로 모니터링할 수 있도록 돕는다. 보안정책 외에도 기술적 방법으로 패치관리, 안티바이러스, 인증, 식별, 암호화, 시스템 보안 완화방안 등도 지원한다.

방혁준 쿤텍 대표는 “쿤텍과 클래로티는 IEC62443에서 필요로 하는 운영뿐만 아니라 컨설팅, 인증식별 암호화 등을 전반적으로 지원하고 있다”고 밝혔다.

화이트암호박스 기술 적용된 인증암호체계

방 대표에 따르면, IEC62443에서 가장 까다로운 것이 인증암호체계 구현이다. 또 인증암호체계의 핵심은 안전하게 키를 보관하는 것이다. 공격자가 키를 손에 쥔다면, 모든 OT·ICS 권한이 공격자에게 넘어가는 것과 다름없다.