클래로티가 제언하는 OT보안 정책 수립방안

“간혹 유해 화학물질이 유출되거나 공장 센서가 제대로 작동하지 않아 대규모 인명피해가 발생하고 있다. 이런 사고들은 산업제어망(OT) 보안과 무관하다고 할 수 없다.”

수년 간 실제 현장에서 OT 보안 컨설팅과 구축 프로젝트를 진행한 전문가들의 의견이다. 주요정보통신기반시설의 보안을 보안 솔루션 하나만으로 해결할 수 없으며, OT 보안 사고가 발생하기 전 이를 탐지할 수 있는 솔루션을 도입해야 한다는 이야기다.

산업 사이버 보안 전문기업 클래로티는 산업제어망 보안모니터링(OTMS) 플랫폼을 제공하고 있다. 보안위협에 대한 가시성, 위협 감지, 취약점 관리, 위협 분류 및 완화 등 넓은 범위의 OT 보안 기능을 제공한다. 기존 IT보안 인프라와 통합이 가능하며, 에이전트를 설치하지 않아도 된다.

정해식 클래로티코리아 수석 엔지니어와 최진영 파로스네트웍스 기술총괄 이사는 바이라인네트워크가 주최한 ‘OT/ICS 환경보안’ 웨비나에서 OTMS 검토, 구축, 운영을 위해 알아둬야 할 OT보안 방법론을 제시했다.

먼저 그동안 폐쇄망으로 일관했던 보안방식인 경계통제를 행위통제로 바꿔야 한다는 제언이 이어졌다. 최진영 이사는 “OT환경을 전략, 전술적 정책이 포함된 체재로 전환해야 한다”며 “OT망 단순 통제에서 보안정책 수립으로, 예방에서 탐지의 관점으로 바꿔야 할 필요가 있다”고 말했다.

이러한 관점에서 클래로티를 적용할 경우 자산 취약점관리와 패치관리, 네트워크 접근통제, OT 환경 실시간 위협탐지, OT 위험평가를 통한 자산 중요도 분류 및 위협 시나리오 작성, OT 자산 및 보안정책 관리가 가능하다.

정해식 엔지니어는 “클래로티의 솔루션을 활용하면 OT보안 사고가 발생하기 전 탐지가 가능하다”며 “만약 OT보안 사고가 발생하더라도 원인 파악이 가능해 근본적인 법적 책임을 논할 수 있으며, 재발방지 마련 대책을 세울 수 있다”고 강조했다.

가장 빈번하게 발생하는 OT보안 사고 사례 중 하나가 ‘비인가 접속’이다. 해커들은 주요 제조, 설비 서버 로그인을 우회하거나 관리자 권한을 획득한다. 이를 통해 시스템을 임의로 조작해 제조를 방해한다.

최 이사는 비인가 접속이 발생한 실제 사례를 소개했다. 해커는 특정 기업에 비인가 접속을 한 후 1분 동안 TCP 1433, 3306, 5432, 3351, 1521을 사용해 100회 이상 내부 데이터베이스(DB)를 스캔했다.

관련해 최 이사는 “실제로 클래로티는 어떤 단말이 취약한지 표시해 관리자들이 분석하는데 도움을 주며, 실제 현장에서 클래로티를 대시보드화 한다면 보안관제에도 효과적”이라고 설명했다.

최 이사는 보안 정책을 수립하고 적용하기 전, 가장 먼저 정책적 분석을 해야 한다고 강조했다. 대시보드를 이용해 각 현황을 분석하고, 결과를 바탕으로 다음 단계의 위협 개념을 모델링한다. 베이스라인 접점분석이나 원격, 파일전송, 접점 네트워크 현황파악 등 통계 데이터를 분석한다.

예를 들어 제조의 경우 원격 쉘 접속, 원격 데스크톱 접속, 원격파일 공유 접속으로 나눌 수 있다.