“스마트팩토리 보안을 위한 5가지 요소”
사물인터넷(IoT)·스마트팩토리의 확산으로 기업의 제조 및 운영시설(OT)에 대한 보안위협이 커지고 있다. 과거에는 OT 환경이 폐쇄적이어서 외부 해커의 침입이 불가능했지만, 이제는 외부 네트워크와 연결되는 시스템이 하나둘씩 생기면서 해커들의 타깃이 됐다.
문제는 기존 OT 시스템들이 보안에 취약한 구조를 가지고 있다는 점이다. 보안패치조차 잘 되지 않은 경우가 많고, OT 환경을 위한 보안기술도 부족했다.
이 때문에 최근들어 큰 사고도 잦아지고 있다. 이란의 원심분리기 1000여기를 파괴한 스턱스넷이 대표적이다. 워너크라이와 같은 랜섬웨어도 OT환경을 공격한다. 혼다의 경우 지난 해 랜섬웨어 해킹으로 인해 전세계 11개의 공장이 멈춘 적이 있다. 과거에는 스턱스넷처럼 시설 파괴목적의 해킹이 많았지만, 최근에는 돈을 요구하는 공격도 늘어나고 있다.
이처럼 OT/ICS 환경에 대한 보안위협이 커지고 있는 가운데, 이를 막을 방안은 무엇일까? 지난 10월 27일 바이라인플러스가 주최한 제조공장, 산업기반시설 ‘OT/ICS 환경 보안’ 방안 2021 웨비나에서 트렌드마이크로 김석주 이사는 ‘변화하는 OT 환경, ICS 시스템의 보안을 위한 5가지 방안’이라는 주제의 발표를 했다.
김 이사는 OT 환경 보호를 위한 첫번째 대안으로 ‘네트워크 분산 관리 및 가시성’을 꼽았다. 서로 통신을 굳이 하지 않아도 되는 시스템을 분리시키는 방안이다. 이 경우 혹시 해킹 피해를 입는다고 해도 피해를 최소화시킬 수 있다. 다만 네트워크 분리와 함께 가시성 확보는 꼭 필요하다고 김 이사는 설명했다. 정보자산에 대한 현황파악, 그리고 그 자산들이 사용하고 있는 실시간 통신내역을 한눈에 살펴볼 수 있어야 한다는 것이다.
김 이사가 제시한 두번째 보안요소는 산업용 IDS(침입탐지시스템)다. OT환경은 일반 인터넷에서 사용하는 TCP/IP가 아닌 별도의 프로토콜을 사용하고, 보안 패치나 업그레이드가 잘 이뤄지지 않아서 기존 IT 환경의 기술을 그대로 적용하기 어렵다. 이 때문에 김 이사는 “반드시 산업용 IDS와 같은 툴을 통해서 취약한 자산을 보호해야 한다”고 강조했다.
세 번째 보안요소는 OT 프로토콜 보호다. OT 환경에서 사용하는 프로토콜을 인지하는 네트워크 보안 툴을 사용해야 한다는 것이다. 기존 IT 환경의 툴은 OT 네트워크의 프로토콜을 인지하지 못하는 경우가 있다. 김 이사는 “OT 프로토콜에 대한 인지를 통해서 비허가된 권한으로 통신이 시도되는 부분을 사전에 탐지하고 필요에 따라서 제어도 할 수가 있어야 한다”면서 “프로토콜 별로 정의되고 사전에 약속된 펑션에 대해서만 허가를 하고 그 외적인 어떤 통신 프로토콜을 활용한 이 명령이나 펑션에 대해서는 사전에 제약을 둬야한다”고 강조했다. 그래야 해커가 침입해도 그 프로토콜을 통한 전파나 다른 시스템에 감염되는 것을 막을 수 있다.
네번째는 자체적인 ICS 시스템 레벨에서 보호하기 위한 보안 적용을 위한 요소다. OT 환경에서는 애플리케이션 변경이 자주 일어나지는 않는다. 이 때문에 트러스트 기반의 엔드 포인트 시스템 보안 적용이 효과적이라고 김 이사는 설명했다. 트러스트 기반으로 보안 툴을 적용을 하게 되면 해당 시스템의 모든 파일과 프로세스 등 다양한 개체에 대해서 사전에 허가 항목을 정의하게 된다. 정의된 개체는 어떤 경우에도 변조가 불가하도록 그렇게 보안 정책을 세울 수가 있다. 이렇게 하면 정의되지 않은 개체가 들어와서 뭔가 IO를 발생하거나 동작하려고 할 때 원천적으로 막을 수 있다.
김 이사는 마지막으로 USB 타입의 안티 바이러스 솔루션을 제시했다. 이를 통해 폐쇄망이나 분리된 네트워크에서 악성 코드 검사를 할 수 있다. 소프트웨어 설치 없이 보안점검을 할 수 있다.
김 이사는 “OT/ICT 환경에는 보안패치가 되지 않은 취약한 시스템들이 존재하기 때문에 해커의 의도대로 공격이 상당히 쉽게 이뤄질 수 있다”면서 “앞서 언급한 다섯가지 보안요소를 통해서 최적화된 보안정책을 적용할 수 있다”고 강조했다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network