가용성 보장하는 효과적인 OT보안 전략

인더스트리 4.0과 같은 스마트팩토리 기반 시대가 도래하며 정보기술(IT)과 운영기술(OT) 연계가 활성화되고 있다. 그러나 20년이 넘도록 폐쇄망에서 운영되는 OT 환경 보안에 대해서 아는 사람은 많지 않다. 최근 IT·OT 연계가 활성화되며 IT망에서 있었던 보안 문제가 OT망으로 연결되는 문제가 있고, 따라서 OT망에서 공격 사례가 발생하고 있는 추세다. IT·OT가 연결되면 스카다(SCADA)망에서 PLC까지 적용되는 공격들이 발생하고 있으며, 한 반도체 파운더리가 당한 IT망에서 소셜 네트워크를 통해 공격하는 사례도 있다. 또한, 노르웨이 알루미늄 공장에서 OT망에서 발생한 공격이 있었다.

OT망은 최근까지는 폐쇄망에서 연결됐기 때문에 보안문제를 준비하지 않은 경우가 많았다. OT 망 보안 취약점은 여러 가지가 있는데, 1. 관리되지 않는 OT 요소, 2. 안전하지 않은 인증 방식, 3. 안전하지 않은 프로토콜, 4. 패치되지 않은 디바이스, 5. 안전하지 않은 서드파티 소프트웨어 등이 있다. 실제로 ICS CERT에서 발표한 바에 따르면 ICS 취약점들이 계속해서 증가하고 있다.

OT와 ICS에서 발생하는 공격은 주로 표적 공격이다. 가장 큰 공격의 방법은 단순히 시설 파괴하는 것이 아니라 금전을 요구하는 경우가 많아 피해가 크다. OT망 공격을 통해 PLC나 HMI를 제어하는 경우가 많기도 하다. 최근의 랜섬웨어 공격은 전체가 아니라 표적을 지정해 공격하고 레벨 3부터 최근에는 레벨 0까지 내려가는 경우가 많다.

또 다른 공격 유형은 웜 공격으로 부르는 논 타깃 공격(Non-Targeted Attack)이 있다. 예를 들어 가용성을 보장하고 보안을 생각하지 않는 OT망에서 웜 전파가 일어났을 때, 감염을 빨리 막는 것도 가용성을 보장하는 방법인데, 일차적인 가용성 보장만을 보장이라 생각하는 경우가 있다. 따라서 웜이 전파되고 있을 때 이 웜을 한쪽에 격리하는 것도 가용성 보장이다.

OT보안의 가장 큰 이슈 중 하나는 ICS망 장비를 업데이트하기 위해 CD나 USB를 꽂는 것이다. 또는, 통제권을 가진 사람이 직접 연결하는 방법도 있다. 이 통로를 통해 패치를 할 때 역시 웜 격리를 통해 가용성을 보장해야 한다.

국내에서는 OT나 ICS 망에 대한 거버넌스를 늦게 시작한 경향이 있다. 기본적으로 ICS 망에 대한 액세스 컨트롤, 전파 차단 방법, 격리, 가용성 보장하면서 취약점을 보완하는 방법들을 이야기하고 있다. 트렌드마이크로는 3년 전부터 TXOne을 준비했다. 다양한 사례가 있지만 대만의 파운더리가 소셜 미디어 기반 보안 문제를 겪고 나서 TXOne을 사용한 바 있다.

TXOne은 네트워크 기반, 소프트웨어 기반, 화이트리스트 기반으로 실행되며, 필요하지 않은 실행파일을 모두 실행하지 않는 솔루션이다. 따라서 USB나 CD를 통한 감염을 막을 수 있다. 타깃팅된 랜섬웨어를 방어하기 위한 USB 기반 솔루션도 존재한다. 솔루션은 네트워크 기반, 설치가 필요 없는 USB 기반, 화이트리스트 기반으로 작동한다.

TXOne 네트워크 시스템은 상당히 ICS 망에 설치되는 아주 작은 망이다. 이 디바이스의 경우 설치 후에 자산들의 트래픽 가시성을 확보할 수 있다. 들어오는 트래픽에 대한 차단하거나 악성코드 트래픽을 차단해 진입을 막는 DPI 기능을 갖고 있다. ICS망과 OT망은 전혀 다른 프로토콜이므로 TXOne 솔루션에서는 모든 프로토콜을 진단 가능하고 제어하고 모니터링할 수 있다. 가장 큰 디바이스(엣지 파이어)는 IT망과 OT망 사이에서 구현 가능하고, ICS와 스카다망 사이에도 구현할 수 있다. 광 네트워크 포트들을 가지고 있으면서 100여개의 OT 프로토콜을 분석할 수 있고 트래픽을 분석할 수 있다. 브릿지 모드 형태로 구현할 수 있어서 장비 앞단, 장비 사이, 전체 OT망과 IT망 사이에도 구현 가능하다.

엣지 IPS는 L2부터 L7까지 트래픽을 보는 것이 가능하며 기존 IT망 IPS처럼 OT 망에서 ITS·IDS를 구현할 수 있다. 취약점 탐지와 제어가 가능하다. 네트워크 기반 TXOne 장비의 경우 각각의 장비 트래픽에 대한 가시성 확보가 가능하므로, 각종 공격을 차단하거나 방지하고, 다른 디바이스에 전파되지 않도록 실시간 제어가 가능하다.

USB 기반의 포터블 시큐리티는 보안 소프트웨어를 설치할 수 없는 디바이스에 꽂아서 악성코드를 분석하고 중앙 시스템에서 분석할 수 있는 디바이스다. 보안 USB와 동일한 기능으로도 사용할 수 있다.

TXOne은 네트워크 기반 혹은 USB 기반 제품으로, 소프트웨어 기반의 세이프락(SafeLock)과 함께 구성돼 있다.

네트워크 솔루션의 경우 IT와 다른 OT의 다양한 프로토콜을 인식하고 악성정보들을 제어하고 트래픽 가시성을 확보한다. TXOne One-Pass DPI 엔진을 통해 기기나 프로토콜 인증, 진입 방어, 가상 패치 등을 통해 안전한 형태로 OT·ICS망을 운영할 수 있다.

엣지 파이어의 경우 손바닥만한 크기지만 기가 인터페이스 형태로 OT 망에서 다양하게 구현할 수 있다. 인라인 형태(브릿지 모드)로 스카다망과 ICS망, 또는 HMI 망에서 모두 구현할 수 있다. 미러링 형태로 단순 전체 모니터링만 가능하도록 스위치로도 구성 가능하다.

엣지 IPS는 트렌드 마이크로의 버추얼 패치를 사용할 수 있는 제품으로, OT·ICS망에서 취약점을 분석할 수 있다. 프로토콜을 분석하고 L2부터 L7까지의 프로토콜 가시성을 확보할 수 있다. 패치되지 않은 취약점 공격이 이뤄질 때 탐지하고 방어할 수 있다. 따라서 다양한 ICS망 장비에 설치할 수 있다. 인라인과 미러링 형태 모두 구성 가능하다.

TXOne SafeLock-ICS는 윈도우 기반으로 제어 시스템을 사용할 경우 소프트웨어로 설치해 화이리스트 락다운을 제고한다. OT망의 경우 HMI를 제어하거나 실행파일 제어를 하는 경우가 많은데, 단순히 패턴 기반으로 악성코드를 탐지하기보다는 화이트리스트에 등재되지 않은 파일을 실행할 수 없도록 한다.

보안 소프트웨어를 설치하는 것이 부담스럽다면 포터블 시큐리티(Trend Micro Portable Security 3) USB 기반 보안 솔루션이 있다. USB를 꽂아 설치 없이 백신 패턴으로 악성코드를 찾아내는 디바이스다. 다양한 플랫폼을 지원하며 자산관리 부문에도 포함시킬 수 있다. 데이터를 주고받는 보안 USB로도 사용할 수 있으며, 탐지 이후 중앙 보안 시스템에 꽂아 보안상태를 확인할 수 있다.

TXOne의 관리는 TXOne ODC(OT Defense Console)를 통해 할 수 있다. 엣지 파이어, 엣지 IPS 등을 중앙관리할 수 있는 시스템이다. 주요 기능은 대시보드, 네트워크 트래픽 가시성 확보, 각 보안 센서 관리, 그룹별 보안 정책 관리, OT 프로토콜 화이트리스트 처리, IT 정책 관리, 로그 관리, 사용자 관리 등이다. 작은 시스템들을 OT 환경에 설치하므로 중앙에서 관리할 수 있도록 하는 콘솔이다.

국내에서는 한 업체가 OT·ICS망 공장을 확장하며 OT망 프로토콜 가시성을 확보하는 목적으로 적용했다. IT망에서 오는 허가받지 않은 파일을 방지하거나 제어하는 용도로도 사용했다.

OT·ICS망에서 가장 중요한 것은 가용성 확보다. 가용성 확보는 생산 라인에 부담을 주지 않는 것이며, 공격이 이뤄지고 있을 때 보안을 포기하는 것이 아니라, 감염된 디바이스에서 더 이상 전파가 없도록 격리해 다른 라인의 가용성을 그대로 유지하는 것이다. 트렌드마이크로는 대만 업체와 국내 업체에서 가용성 확보를 검증한 상태다.

글. 바이라인네트워크
<이종철 기자> jude@byline.network