제조산업이 사이버공격의 주요 표적이 되고 있다. 발전소와 같은 기반시설, 제조사 공장의 운영기술(OT)과 산업제어시스템(ICS) 환경은 폐쇄망으로 비교적으로 안전하다고 여겨져왔지만 사이버공격이 최근 크게 늘어나며 보안사고가 지속적으로 발생하고 있다. OT·ICS 환경은 악성코드 감염 등으로 보안사고가 발생하면 가동이 중단될 수 있어 침해사고로 인한 피해규모와 파급력이 일반 정보기술(IT) 환경 대비 크다. 하지만 보안대책 수립마저 쉽지 않은 상황이다.

바이라인네트워크가 최근 개최한 ‘OT/ICS 보안 방안’ 웹세미나에서 문병기 SK인포섹 인더스트리(Industry)사업그룹장은 “2019년 전체 사이버공격 중 제조산업이 차지하는 비율은 전체 4위라는 포네몬의 조사 결과가 있다. 국내 산업을 조사해보니 2019년 사이버공격이 가장 많았던 부문은 IT가 1위 제조가 2위였지만, 2020년 상반기에는 제조산업이 1위에 올랐다”고 경고했다.


국내 제조사 대상 공격 건수 1~2위, 피해규모 갈수록 급상승


SK인포섹이 상반기에 발표한 사이버공격 통계에서도 제조산업은 공공기관 다음으로 많은 공격을 받은 것으로 나타났다. 해외에서 대형 보안사고들이 잇달아 발생하고 있다는 소식이 전해지고 있는 가운데, 국내에서도 소리소문 없이 제조산업 대상 공격이 증가하고 있는 상황이다.

문 그룹장은 “제조산업 타깃 공격이 급속도로 증가하고 있다”며 “대만의 반도체 기업인 TSMC가 랜섬웨어 공격에 감염돼 빠르게 피해가 확산된 것처럼 피해액 규모도 점점 커지고 있고 앞으로도 상당히 증가할 것”이라고 내다봤다.

포네몬의 2016년 분석 결과에 따르면, 보안사고가 한 건 발생했을 때 추정되는 경제적 손실액은 2800만달러 규모였다. 2018년 TSMC 보안사고의 경우 실제 피해액은 2억5000만달러 규모로 분석됐다. 2016년 대비 피해액 규모는 거의 9배에 달한다.

SK인포섹이 상반기에 발표한 사이버공격 통계에서 제조산업은 공공기관 다음으로 많은 공격을 받은 것으로 나타났다. 해외에서 대형 보안사고들이 잇달아 발생하고 있다는 소식이 전해지고 있는 가운데, 국내에서도 소리소문 없이 제조산업 대상 공격이 늘어난 상황이다.

그 이유로 문 그룹장은 “공격자들에게 돈이 되고, 특정 목적을 달성하기 용이하기 때문”이라며 “매년 취약점이 상승하고 있다”고 분석했다. 최근 매년 평균 1.2배 이상의 신규 보안취약점이 OT·ICS 분야에서 나타나고 있다. 카스퍼스키랩의 ICS CERT 분석에 따르면, 2017년 발견된 신규 취약점 수는 322개였는데 2019년에는 509개에 달했다.

더욱이 OT·ICS 환경은 높은 가용성을 요구하는 분야이므로 취약점에 즉시 대응하기 어려운 것이 현실이다.


문 그룹장은 “보안 취약점은 산업제어장비 32.6% 산업제어 소프트웨어 20.4%로 두 분야가 50% 이상을 차지하고 있다. 14.7%인 네트워크 장비까지 통합해보면 70% 이상”이라며 “이 분야가 OT·ICS 환경에서 주된 표적이 되고 있다. 이 분야의 보안을 강화해야한다”고 말했다.

이어 “OT·ICS 취약점 공격을 보면 운영체제(OS)와 응용소프트웨어 취약점을 이용한 랜섬웨어와 악성코드 공격은 11건, PLC 등 ICS 대상 전문화된 공격은 6건 정도 나타나는 수준”이라고 전하면서 “SK인포섹은 앞으로 이 두 공격이 결합된 공격이 시도될 것으로 전망하고 있다. 랜섬웨어로 진입해 ICS 공격이 이뤄지는 전략적 공격 위협이 이뤄질 것”이라고 내다봤다.

OT·ICS 보안위협 양상은 다양하다. 인터넷 구간의 악성코드 감염으로 업무망과 ICS 영역 접점을 통해 감염된 악성코드가 유입될 수 있다. 또 업무망에서 OT 장비를 제어할 수 있는 원격 조작, 내부자의 OT 영역 PC에서의 정보 유출. OT 장비 및 소프트웨어 취약점 공격, OT 생산장비 취약점 노후화된 OS에 대한 취약점 위협 등이 공통적인 위협으로 나타나고 있다.


표준화돼 있지 않은 환경, 자산관리 미비, 보안조직 부재…리스크 식별 중요


제조산업이 이렇게 보안위험 상황에 처한 것이 사실이지만 아직까지 OT·ICS 환경 보안 수준은 낮은 실정이다. 제조기업 대부분은 보안 정책, 수행 조직 등 보안관리체계가 마련되지 않았거나, 보안 업데이트가 생산에 차질을 줄 수 있다는 우려 때문에 보안 활동이 제대로 구현되지 못한 곳들이 많다.

실제 SK인포섹이 OT 자산에 대한 보안 점검 등을 수행한 결과 IT 환경 대비 절반에도 못미치는 낮은 보안 점수를 확인했다. 문 그룹장은 “IT보안의 정보보호관리체계(ISMS) 인증을 받는다는 전제로 점검시 획득하는 보안점수 평균이 80점이라면, OT 환경은 40점 수준이다. 이 역시 마이너스 요소인 지속적 실행력을 반영한다면 20~30점 수준으로 판단된다. PLC HMI 부문은 10~20점, 생산망 공정 20~30점, 윈도우 서버 40점, 무선 액세스포인트(AP) 40점 OT 보안 장비 수준 50점 수준”이라고 평가했다.

문 그룹장은 “OT·ICS 보안 위협이 커진 원인은 보안 조직이 부재해 생산라인에서 보안 이슈가 생겼을 때 책임 소재에 대한 사각지대가 존재하며, 어떻게 대응할지 보안기준도 부재하다. 보유하는 OT 생산 설비와 자산도 관리되지 못하고 현행화 되지 않고 있다. TSMC처럼 한 번 감염되면 급속도로 전파가 전파될 수 있는, 보안이 고려되지 않은 네트워크 구성도 문제”라며 “일반적인 용어로도 볼 수 있긴 하지만 사람, 프로세스, 기술이 대응방안이 된다”고 지적했다.

그러면서 “IT에서는 모든 인프라가 표준화돼 있지만 OT 표준화돼 있지 않은 프로토콜과 개별장비를 보유하고 있어 각 공정별로 보안기준을 수립해야 한다. 기술을 같은 형태로 사용할 수 없는 것이 OT 보안을 어렵게 하는 요인”이라고 덧붙였다.

이에 따라 SK인포섹은 OT·ICS 보안 전략으로 솔루션 하나 도입하는 일차원적인 단일 보안 방책으로는 해결될 수 없다고 보고 다각도의 심층 보안전략을 수립하고 있다. ▲OT 리스크 분석 컨설팅을 통해 OT 보안 거버넌스를 정의하고 ▲OT 물리보안과 ▲OT 네트워크·장비를 포괄하는 기술적 보안대책을 만들어 구축하고 이를 ▲통합 모니터링하는 체계를 수립하는 방식이다.

문 그룹장은 “OT에서 중요한 건 표준화된 프로토콜이나 인프라가 아니기 때문에 장비 업무 속성 들여다보고 무슨 리스크 가지고 있는지 명확하게 식별해야 한다. 명확히 분석돼야 방향성을 수립할 수 있다. 그래서 리스크 분석 컨설팅을 중점 진행하고 있다”며 “물리보안은 단순 출입통제가 아니라 OT 구역 중요장비 출입 관리를 권한관리 측면에서 체계를 수립해야 한다. 네트워크 프로토콜 어떻게 분석하고 견고성 어떻게 확보할건지, 보안정책은 어떻게 수립할지 복합적으로 들여다보고 리스크를 도출, 분석하고, 대응방안을 설계해야 한다”고 강조했다.



OT·ICS 보안, 방역 서비스 모델로 접근


SK인포섹은 OT·ICS 보안을 사이버방역 서비스 모델로 접근하고 있다. 문 그룹장은 “스마트팩토리는 다른 프로토콜, 다양한 OS, 다른 EOS(End Of Service) 등 환경이 다 다르기 때문에 맞춤형 치료제가 정확하게 존재하지 않는다. 그동안 사업을 수행하면서 판단한 결과, 솔루션 하나로 OT 보안 해결하지 못하는 조건이기 때문에 코로나19와 같이 백신과 치료제가 없는 상황에서 식별부터 치료까지 전과정을 매우 촘촘하게 관리하는 방역 모델을 차용해 접근하고 있다”고 설명했다.

그에 따르면, SK인포섹의 OT·ICS 사이버방역 서비스 모델은 자산 식별부터 방역기준 수립, 각 자산의 건강상태 확인과 네트워크 확산 조사를 통해 집중 치료체계를 지속적으로 반복한다. 이로 인해 스마트팩토리 안에 있는 공정 장비들이 건강상태를 유지하는지 집중 관리하는 체계를 운영한다.

생산 효율과 연속성을 보장하면서 주요 생산·제조 설비 환경을 중심으로 방역체계 관점으로 사이버공격에 예방, 대응하기 위한 보안 서비스를 제공한다. OT 컨설팅부터 OT 솔루션, OT 통합관제, OT 운영서비스로 구성된다. 특정 보안 장비나 단일 서비스 중심으로 보안을 제공하는 것이 아니라, 공장 전반에 대해 보안 계획을 수립하고 유지·관리하는 일련의 보안 활동을 지원하는 것이 특징이다.

공장 내에 있는 보호해야 할 정보·기기 자산을 식별하는 것부터 ▲생산·제조 공정을 고려한 기술적·관리적 보호 방안 수립 ▲보안 솔루션 구축 및 운영 ▲취약점 진단, 모의해킹, 관제 등 예방·대응 활동 등 종합적인 보안 서비스를 제공한다.

SK인포섹은 그간 반도체, 화학, 에너지 등 80여개의 제조 관계사 및 관련 소재 회사를 대상으로 보안 서비스를 제공해 왔다. 지난해부터는 한국인터넷진흥원(KISA)이 주관하는 스마트공장 보안 취약점 점검 및 보안모델 개발 사업 파트너로도 참여하고 있다. 이처럼 다양한 사업 수행 경험을 사이버 방역 서비스에 체계적으로 반영해왔고 앞으로도 고도화한다는 방침이다.

최근 SK인포섹은 스마트공장을 대상으로 한 OT·ICS 보안 사업에 본격 나선다고 공식 밝히면서, OT·ICS 사이버 방역 서비스 모델로 제조산업 혁신 분야의 보안 리더로 자리매김하겠다고 선언했다.

올 하반기 OT·ICS 보안 사업 확대를 위한 조직 구성도 마쳤다. 인더스트리 사업그룹에는 사전 영업 및 컨설팅 조직, 제조 분야별로 사이버 방역 서비스를 맡고 있는 조직 등 총 5개 단위 조직으로 이뤄져 있다. 전담 인력만 280여명에 이른다. 또한 OT·ICS 보안과 관련한 특허 기술 출원도 준비하고 있다.

문 그룹장은 “제조산업은 잠깐의 네트워크 장애만 일어나도 막대한 인적, 물적 피해로 이어질 수 있기 때문에 생산 공정의 연속성과 작업자의 안전성을 고려하며 공장 시설 전반에 대한 촘촘한 보안 운영을 해야 한다”면서 “SK인포섹은 다양한 제조시설 현장에서 쌓은 경험과 자체 개발한 방역 서비스 모델을 무기로 스마트 공장 시장을 선점해 나갈 것”이라고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


* 지식에 지식을 더하다 – 바이라인플러스 웨비나 바로가기 

Similar Posts

One Comment

답글 남기기

이메일 주소는 공개되지 않습니다.