“한 번의 공격으로 공장이 멈춘다”…OT보안 강화하려면

지난 5월 30일, 미국 전체 육류 소비 20%를 공급하는 식품가공 대기업인 JBS푸드의 공정이 멈췄다. 사이버 공격으로 전산망이 먹통이 되면서 도축부터 고기를 분리해 포장작업을 하는 미국, 호주 공장 가동이 중단됐다. 조사 결과, 해커들이 연휴에 JBS푸드의 전산망을 장악해 생산시스템을 정지한 뒤, 복호화를 조건으로 기업에게 돈을 요구하는 전형적인 랜섬웨어 공격으로 밝혀졌다.

보안기업 카스퍼스키에 따르면, 올 상반기 전체 산업제어시스템(ICS) 컴퓨터 가운데 33.8%가 공격을 받았다. 공격 요인은 인터넷, 이동매체, 이메일 등 다양하다. 이러한 방식의 운영기술(OT)망을 대상으로 한 랜섬웨어 공격은 꾸준히 이어지고 있다. 한국도 안전지대는 아니다. 카스퍼스키에 따르면, 한국이 포함된 동아시아가 OT공격 피해 1위 지역으로 나타났다. 특히 국내에서 스마트 제조와 스마트 공장 등이 확산되고 있는 가운데, OT 보안의 필요성은 커지고 있다.

강민석 카스퍼스키코리아 기술 이사는 지난달 28일 ‘제조공장, 산업기반시설 OT/ICS 환경 보안 방안 2021’을 주제로 개최된 바이라인네트워크 웨비나에서 OT 보안 해법을 제시했다.

OT망을 노리는 해커들은 기업의 내부 네트워크 침입을 시작으로 공격에 나선다. 지난 2015년 발생한 우크라이나 대규모 정전사태를 보면, 해커들은 피싱 이메일을 통해 내부 네트워크로 침입한 뒤 악성코드를 배포했다. 이후 가상사설망, 자격증명을 도용해 네트워크와 호스트에 대한 정보를 수집한 뒤 악성 펌웨어를 퍼뜨렸다. 결국 원격감시제어시스템(SCADA)을 장악한 해커들은 대규모 정전을 일으켰다.

강민석 이사는 “지능형지속위협(APT) 해커 그룹은 주로 사람에게 피싱 공격을 해 대기업 인프라스트럭처로 침투한 뒤 공급망 공격으로 피해를 확산시킨다”며 “특히 기존의 IT와 격리되지 않은 OT, 각각의 산업 프로토콜로 이뤄져 발생하는 OT 통신의 비가시성, 오래된 OT장비들의 취약점이 해커의 표적이 되고 있다”고 설명했다.

OT 기반의 보안 서비스는 이러한 공격 방어에 최적화됐다. 그 중에서도 카스퍼스키는 지능형위협공격(APT)를 탐지할 수 있는 ‘OT 침입 탐지’, OT 구성 요소와 통신을 탐지하는 ‘자산 인벤토리’, 악성코드 방지와 화이트리스트 기반의 소프트웨어, 디바이스, 기타 구성 요소를 관리하는 ‘OT 엔드포인트 보호’ 등 각종 OT보안 서비스를 제공하고 있다.

OT 보안 솔루션인 ‘KICS 포 네트웍스(KICS for networks)’는 소프트웨어, 가상 어플라이언스와 연결되어 보안위협을 탐지한다. 실시간 기술 프로세스로 통신을 분석해 인증되지 않은 네트워크 호스트와 흐름을 감지한다. 만약 유해한 네트워크 동작 징후가 있을 경우 관리자에게 이를 알린다. 실시간 원격, 과거 데이터 마이닝을 기반으로 보안 위협을 검색한다.

특히 OT 네트워크 환경은 표준 TCP, IP 프로토콜이 아닌 OT 네트워크를 구성하는 벤더 기반의 프로토콜을 사용하기 때문에 프로토콜 지원 유무가 가장 중요하다. 해당 프로토콜을 지원해야 이상징후를 관찰할 수 있기 때문이다.

카스퍼스키는 KICS 포 네트웍스를 통해 다양한 프로토콜을 지원한다고 강조했다. 강 이사는 “산업 장비에서 널리 사용되는 데이터 링크, 상위계층 프로토콜 등 다양한 장비의 트래픽을 분석할 수 있다”고 말했다.

엔드포인트를 보호하는 ‘KICS 포 노드(KICS for nodes)’는 랜섬웨어를 포함한 악성코드 차단, 허용된 애플리케이션 소프트웨어만 실행할 수 있는 애플리케이션 시작제어, 연결된 이동식 저장장치를 제어하기 위한 디바이스 제어 기능을 제공한다.

KICS 포 노드는 기업이 등록한 공격만 차단하는 화이트리스트와 모든 악성 공격을 차단하는 블랙리스트 기능을 모두 지원한다. 기업은 자사에 맞는 방식을 선택할 수 있다. 또 타사와 달리 윈도우XP 악성 멀웨어 탐지와 리눅스 기반의 환경을 제공하는 것이 차별점이다.

폐쇄망이나 업데이트를 거의 하지 않는 환경에서도 KICS 포 노드를 사용할 수 있다. 파일의 불법적인 암호화를 탐지하며 안티 크립토 기능으로 알려지지 않은 랜섬웨어의 공격을 차단한다. 장치, 카테고리, 제품군, 특정장치 아이디 등 다양한 방식으로 이동식 장치, 주변 장치 시스템 버스 접근을 관리한다.

KICS 포 노드를 통해 기업은 서버, HMI, 워크스테이션과 같은 보호 노드에 네트워크 접근 정책을 설정, 적용할 수 있다. 예를 들어 허용되지 않은 와이파이 네트워크 연결은 차단된다. 작업 설정에 나와있는 범위를 모니터링해, 특정파일이나 폴더 내부에서 수행하는 동작을 추적하도록 설계할 수 있다. 윈도우XP SP2와 리눅스 OS에서도 이 기능을 활용할 수 있다.

각종 보안 시스템과 정책을 관리하고 관제를 통합한 중앙 관리 솔루션인 ‘카스퍼스키 보안 센터(KSC)’는 KICS 보안 솔루션의 중앙관리 서버 역할을 한다. 취약점을 탐지하고 패치 관리를 하며, 클라이언트 관리 기능을 제공한다.

아울러 단일화된 정책을 기반으로 작업 스케줄링, 원격 접속을 지원한다. 모든 이벤트를 중앙화 대시보드에서 관리할 수 있으며, 보안관제를 통합한 보안로그 분석이 가능하다.

강민석 이사는 “KICS 산업 보안 솔루션은 모니터링 활동을 통해 워크스테이션, 서버, 임베디드 시스템을 보호하고 서브 네트워크 시스템의 트래픽이 정상적인 프로세스 활동을 할 수 있도록 돕는다”고 강조했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network