“간혹 유해 화학물질이 유출되거나 공장 센서가 제대로 작동하지 않아 대규모 인명피해가 발생하고 있다. 이런 사고들은 산업제어망(OT) 보안과 무관하다고 할 수 없다.”

수년 간 실제 현장에서 OT 보안 컨설팅과 구축 프로젝트를 진행한 전문가들의 의견이다. 주요정보통신기반시설의 보안을 보안 솔루션 하나만으로 해결할 수 없으며, OT 보안 사고가 발생하기 전 이를 탐지할 수 있는 솔루션을 도입해야 한다는 이야기다.

산업 사이버 보안 전문기업 클래로티는 산업제어망 보안모니터링(OTMS) 플랫폼을 제공하고 있다. 보안위협에 대한 가시성, 위협 감지, 취약점 관리, 위협 분류 및 완화 등 넓은 범위의 OT 보안 기능을 제공한다. 기존 IT보안 인프라와 통합이 가능하며, 에이전트를 설치하지 않아도 된다.

정해식 클래로티코리아 수석 엔지니어와 최진영 파로스네트웍스 기술총괄 이사는 바이라인네트워크가 주최한 ‘OT/ICS 환경보안’ 웨비나에서 OTMS 검토, 구축, 운영을 위해 알아둬야 할 OT보안 방법론을 제시했다.

먼저 그동안 폐쇄망으로 일관했던 보안방식인 경계통제를 행위통제로 바꿔야 한다는 제언이 이어졌다. 최진영 이사는 “OT환경을 전략, 전술적 정책이 포함된 체재로 전환해야 한다”며 “OT망 단순 통제에서 보안정책 수립으로, 예방에서 탐지의 관점으로 바꿔야 할 필요가 있다”고 말했다.

이러한 관점에서 클래로티를 적용할 경우 자산 취약점관리와 패치관리, 네트워크 접근통제, OT 환경 실시간 위협탐지, OT 위험평가를 통한 자산 중요도 분류 및 위협 시나리오 작성, OT 자산 및 보안정책 관리가 가능하다.

정해식 엔지니어는 “클래로티의 솔루션을 활용하면 OT보안 사고가 발생하기 전 탐지가 가능하다”며 “만약 OT보안 사고가 발생하더라도 원인 파악이 가능해 근본적인 법적 책임을 논할 수 있으며, 재발방지 마련 대책을 세울 수 있다”고 강조했다.

가장 빈번하게 발생하는 OT보안 사고 사례 중 하나가 ‘비인가 접속’이다. 해커들은 주요 제조, 설비 서버 로그인을 우회하거나 관리자 권한을 획득한다. 이를 통해 시스템을 임의로 조작해 제조를 방해한다.


최 이사는 비인가 접속이 발생한 실제 사례를 소개했다. 해커는 특정 기업에 비인가 접속을 한 후 1분 동안 TCP 1433, 3306, 5432, 3351, 1521을 사용해 100회 이상 내부 데이터베이스(DB)를 스캔했다.

관련해 최 이사는 “실제로 클래로티는 어떤 단말이 취약한지 표시해 관리자들이 분석하는데 도움을 주며, 실제 현장에서 클래로티를 대시보드화 한다면 보안관제에도 효과적”이라고 설명했다.

최 이사는 보안 정책을 수립하고 적용하기 전, 가장 먼저 정책적 분석을 해야 한다고 강조했다. 대시보드를 이용해 각 현황을 분석하고, 결과를 바탕으로 다음 단계의 위협 개념을 모델링한다. 베이스라인 접점분석이나 원격, 파일전송, 접점 네트워크 현황파악 등 통계 데이터를 분석한다.

예를 들어 제조의 경우 원격 쉘 접속, 원격 데스크톱 접속, 원격파일 공유 접속으로 나눌 수 있다.

다음 단계로, 위협 이벤트를 개념화하고 모델링해야 한다. 최 이사는 “리스크가 될 수 있는 모든 요소를 나열해야 한다”며 “예를 들어 비인가 접속, HMI 로그관리, PLC 백업기준, EWS 관리 취약 등을 살펴봐야 한다”고 설명했다.

현실적 측면을 고려해 정책을 상세화 하는 작업도 중요하다. 기업의 입장에서는 불가피하게 취약 프로토콜이나 원격접속을 사용할 수밖에 없다. 단, 이때 발생할 수 있는 위협은 유추할 수 있다.

예를 들어, 180초 내 동일한 소스에서 존재하지 않는 사용자 이름으로 로그인이 10회 이상 실패하거나, 사용자가 5회 이상 로그인을 실패한 후 300초 안으로 로그인이나 암호 변경이 성공하는지 등의 구체적인 사례를 만들어 위협으로 설정할 수 있다.

최 이사는 “이러한 행위 리스크를 만드는 것은 OT보안에 중요한 작업”이라며 “클래로티를 통해 기업에 쌓인 노후 데이터를 가공해 위협정책을 수립할 수 있다”고 전했다.


결과적으로 위협 이벤트를 개념화, 모델링하고 위협 시나리오를 작성하는 작업이 보안정책에 가장 중요하다. 이를 위해선 자사의 장비 유형, 데이터 공정 흐름을 파악하는 작업이 선행되어야 한다.

최 이사는 “행위기반의 상세한 정책을 수립하고, 혁실적인 측면을 배제해 보안지침을 수립하는 것을 권고한다”고 강조했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다.