산업제어시스템(ICS)·스카다(SCADA) 제조사의 익스플로잇 출현 규모와 빈도가 계속 증가하고 있다. 사이버범죄자들은 기존 IT위협과 공격방식을 재활용해 OT 시스템 대상 공격에 활용하고 있다. 발견된 대다수 위협이 OT 전용 프로토콜인 OPC 클래식, BAC넷(net), 모드버스(Modbus)에 집중돼 있다.

글로벌 보안업체인 포티넷이 조사해 지난해 발간한 운영기술(OT) 보안 트렌드 보고서에 담긴 핵심 내용이다.

이같은 위험이 현실화된 사례는 지난 2018년 워너크라이(WannaCry) 변종으로 인해 공장 가동이 중단된 TSMC 사고와 미라이(Mirai) 봇넷에 의한 BACnet 프로토콜 대상 공격이 꼽힌다.


IT 위협이 OT 환경도 위협한다…랜섬웨어 보안사고 증가


지난 2010년 이란 원자력시설을 대상으로 한 스턱스넷 공격처럼 그동안 산업기반시설 대상 사이버공격이 간혹 발생해왔다. 그러다 2017년부터 2019년 사이에는 유명 기업이 잇달아 보안사고로 공장 가동이 멈추는 일이 발생했다.

머크제약, 머스크, TSMC, 사우디 페트로케미컬, 노르스크하이드로 알루미늄 공장 등은 잇단 사이버공격으로 생산이 중단돼 각각 큰 경제적 손실과 피해를 입었다.

포티넷코리아에서 OT 보안을 담당하고 있는 문귀 전무는 “모두 랜섬웨어 공격으로 발생한 사고”라면서 “IT망에서 발생한 위협과 공격 패턴이 주기적으로 OT망 공격에 재활용되고 있다”고 지적했다.


오래 쓰고 프로토콜은 제각각…패치·보안관리 어려운 OT 환경


위협 동향이나 실제 빈번하게 발생하는 보안사고 사례로 볼 때 OT·ICS 환경의 보안 위험이 커지고 있다는 것을 알 수 있다. 더욱이 IT와 OT 환경 접점이 갈수록 많이 네트워크 연결성과 첨단 지능형 기술 활용이 확산되는 사물인터넷(IoT)과 스마트팩토리 전환이 추진되는 상황에서 보안위협은 더욱 증가할 것이란 전망이 나오고 있다.

더욱이 OT 환경의 시스템들은 한 번 구축하면 20년 이상 오랜 기간 사용해 유지보수가 종료됐거나 지원하는 보안 솔루션이 부재한 경우가 많다. 사용하는 장비마다 제조사마다 프로토콜도 다 다르다. 때문에 만일 취약점이 발견되었어도 패치나 보안관리가 쉽지 않아 상당기간 그대로 운영할 수밖에 없는 현실이다. 그리고 이 환경은 IT 환경과는 달리 기밀성 등 보안성보다는 가동이 중단되지 않는 가용성 확보가 가장 중요하다고 꼽히는 것이 사실이다.


그 이유로 포티넷은 OT·ICS 환경의 특수한 상황과 위협 동향을 감안한 보안 방안을 제시하고 있다. 수많은 글로벌 OT·ICS 기술·제조사들과 폭넓은 파트너십을 확보하고 있는 것이 대표적이다.


퍼듀 모델 기반 보안 아키텍처 제시, 폭넓은 프로토콜·ICS 제조사 지원


문 전무는 “글로벌 사이버보안 선두기업인 포티넷은 슈나이더 ABB GE 지멘스 슈나이더일렉트릭 요코가와 등 ICS 업체, 그리고 노조미 사이버엑스 클래로티를 포함한 OT 가시성·기술 업체와 SI업체까지 폭넓은 얼라이언스 파트너십을 바탕으로 긴밀히 협력하고 있다”면서 “가장 많은 프로토콜을 지원할 것”이라고 강조했다.

포티넷은 OT·ICS 보안을 위해 퍼듀(Purdue) 레퍼런스 아키텍처 모델(ISA99, IEC62443)을 기준으로 레벨 1~3, 3.5까지 아우르는 인프라 보안 방안을 제시한다. 산업용 차세대방화벽·통합위협관리시스템(UTM)을 비롯해 OT 인프라 보안과 가시성·통합관리, 보안운영센터(SOC) 통합관제, 지능형위협 탐지·방어 기술 등을 제공하는 솔루션 제품군을 포괄적으로 제공하고 있다.

문 전무는 OT 인프라 보호 방안으로 ▲세그멘테이션(분할)과 접근제어 ▲OT 엔드투엔드 네트워크 보안 가시성 ▲OT 보안관리와 지능형지속위협(APT) 탐지 방어 세 가지를 제시했다.


ICS 네트워크 위협 탐지·방어, 보안 패브릭으로 통합 관리


그에 따르면, 기존 인프라 환경에는 네트워크 상단에 방화벽을 설치해 보안 게이트웨이로 활용했다. 그러다보니 내부에서 움직이는 멀웨어 등 악의적 행위를 탐지하거나 방어할 수 없었다. 이같은 한계를 보완하기 위해서는 ICS 내부 네트워크단에 산업용 차세대방화벽(포티게이트)을 설치해 서로 다른 ICS 네트워크를 세부 분할함으로써 내부 위협 탐지·방어를 할 수 있게 된다. 사용자와 단말은 인증 솔루션(포티오센티케이터)을 사용해 아이디(ID)와 단말 종류를 구분해 접근제어를 수행하면 된다.

퍼듀 모델을 기반으로 한 마이크로 세그멘테이션(세부 분할) 방식으로 프로세스 계층에 추가 보안을 적용할 수 있다.

문 전무는 “스위치를 사용하면 단말(PLC) 간 통신을 제어할 수 없다. 단말 간 직접 통신이 불가피하다. 이 경우 멀웨어에 감염되면 스위치를 통해 다른 단말로 퍼져나갈 수 있다. 모든 트래픽을 포티게이트를 통하도록 해 단말 간 통신을 제어할 수 있다. 보안정책을 적용해 위협 행위 탐지, 방어를 단말별로 세부적으로 수행하는 체계를 만든다”고 설명했다. 이어 “인가되지 않은 트래픽 플로우는 차단하고 인가된 트래픽은 포티게이트 보안 솔루션을 거쳐 통과해 세밀한 보안 정책을 적용해 세밀한 위협 탐지, 로깅을 수행할 수 있다”고 덧붙였다.

포티넷은 무선 액세스포인트(AP)(포티AP)와 스위치(포티스위치), 차세대방화벽(포티게이트)을 바탕으로 네트워크를 구성할 경우 그 토폴로지를 물리·논리적 지도(Map)으로 나타낸다. 네트워크 연결 위치, 네트워크 사용량, 트래픽 형태와 양, 단말 형태와 정보, 애플리케이션 유형, 보안위협, 컴플라이언스 등을 세부적으로 구분해 한 눈(포티뷰)에 보여준다.


문 전무는 “포티넷 솔루션은 ‘시큐리티 패브릭’으로 유무선 네트워크와 방화벽 솔루션이 하나의 장비처럼 묶여있기 때문에 엔드투엔드 가시성 확보는 물론 네트워크 보안 구성과 유무선 통합관리가 가능하다”고 부각했다.


AI 기반 분석으로 실시간 위협 탐지, 산업 보안 시그니처로 패치 없어도 보호


인프라 보호를 위한 네트워크 분할과 접근제어, 가시성 확보 체계가 구축된 이후에는 SOC 보안관리와 알려지지 않은 위협을 포함한 지능형 위협 방어 체계를 구축해야 한다는 것이 포티넷의 제안이다. OT 가시성·관리성·보안성 즉 OT VMS 확보를 위한 대시보드와 가상환경 악성코드 분석 시스템(샌드박스)와 인공지능(AI) 기반 위협 분석 체계를 구현해 지능형 위협을 실시간 탐지할 수 있는 체계를 구현한다는 것이다.

문 전무는 “포티SIEM, 포티SOAR, 노조미와 같은 솔루션과 연동해 OT 가시성과 관리성 확보가 가능하다. 포티샌드박스는 물론 최근 포티넷이 선보인 포티AI 가상보안분석가 솔루션으로 심층신경망을 통해 지능형 위협을 식별·분류해 실시간 탐지할 수 있다”고 소개했다.

한편, 문 전무는 포티넷이 제공하는 OT 보안 솔루션의 장점 두가지로 ICS 시스템을 위한 침입방지시스템(IPS)·앱컨트롤 기능과 가상 보안 패치(Virtual Security Patch) 기능을 꼽기도 했다.

그는 “해외 한 그룹사에서 포티넷을 선정한 이유로 OT 시그니처가 가장 많다는 점과 더불어 포티뷰와 시큐리티 패브릭에 감명받았다고 말한 사례가 있다”면서 “포티넷의 IPS·앱컨트롤 기능에는 BACnet, IEC 61850 OPC 등 다양한 프로토콜을 지원하며 수많은 ICS 애플리케이션과 벤더를 지원한다”고 강조했다.

이어 “ICS 장비는 보안 패치나 업그레이드가 수주에서 수개월 걸린다. 패치를 하려고 해도 ICS 제조사 엔지니어가 직접 나와야 할 수 있다”며 “포티넷은 산업 보안 침입방어 시그니처를 내장, 버추얼 보안 패치를 제공해 OT 제품 취약점 패치가 없더라도 우선 보호해준다”고 말했다.

포티넷은 다양한 OT 프로토콜을 식별해 위협 트래픽 패턴을 탐지하고, 그에 맞는 산업 보안 시그니처를 생성해 OT용 차세대방화벽에서 통제하는 방식을 제공한다. 이 시그니처를 활용해 산업 현장에서 사용 중이거나 꼭 필요한 프로토콜은 허용하고 불필요한 패턴은 탐지·차단하는 방식으로 애플리케이션 제어를 수행한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

* 이 글은 바이라인네트워크가 개최한 ‘OT/ICS 환경 보안 방안 웹세미나’에서 발표한 내용을 토대로 작성됐습니다.


SOAR 중심의 보안운영 자동화 혁신 방안을 알아볼 수 있는 기회! 바이라인플러스 웹세미나가 개최됩니다. 사전등록은 이미지 클릭.