급증하는 OT·ICS 보안 위협, 이글루시큐리티의 대응전략은?
OT/ICS 보안 위협이 급증하고 있다. IT와 OT의 접점이 점점 넓어지면서 공격자가 노릴만한 공격 대상이 더 확정됐기 때문이다. 공격자들은 일반 기업에서부터 공공기관까지 그 대상을 가리지 않는다.
2010년 이란 원자력 발전소 제어시스템이 악성코드에 감염돼 원심분리기 등의 오작동 위험이 있었던 것을 시작으로, 2015년 우크라이나의 대규모 정전, 2018년 대만 TSMC의 악성코드 감염으로 인한 3000억 손실, 최근인 지난 2월에는 미국 플로리다 올즈마(Oldsmar)의 수자원 시스템 해킹으로 주민들이 오염된 물을 사용할 위기에 처하기도 했다.
보안업체인 이글루시큐리티는 이같은 OT/ICS 보안 사고를 막을 수 있도록 관련 위협을 분석하고, 이에 맞춘 대응전략을 제시한다. 장기간 축적한 보안관제·컨설팅 경험을 바탕으로 선보이는 솔루션 ‘스파이더(SPiDER) OT’가 과연 어떤 보안 위협에 대응할 수 있는지 이글루시큐리티 보안관제센터 융합보안센터장인 이시종 상무로부터 들어봤다.
이글루시큐리티가 조사한 1988년부터 2020년까지의 OT/ICS 사고유형 현황 분석 자료에 따르면, 보안 위협 사고는 크게 침해사고와 장애사고로 분류된다. 침해사고의 경우 악성코드나 해킹, 네트워크 통신 구간에 다량의 패킷을 발생시켜 통신장애를 일으키는 서비스 거부 등이 대표적이다. 장애사고의 경우 시스템 또는 네트워크 장애, 인적요소, RF 간섭, 천재지변 등이 있다.
특히 주목해야할 점은 OT/ICS 영역에서 발표된 취약점 수가 매년 증가하고 있다는 것이다. 2017년부터 작년 대비 1.2배 이상의 신규 취약점이 꾸준히 발견되고 있다. 그만큼 피해액도 급증했다. OT/ICS 보안 사고 1건당 피해 예상액은 2010년 1600만달러(한화 약 190억원)에서 2018년 2800만달러(한화 약 330억원) 규모로 증가했다. 게다가 실제 피해액은 예상액 대비 약 9배가 큰 것으로 조사됐다.
OT/ICS 보안사고사례 동향은?
이글루시큐리티는 실제 사고사례를 분석해 대응방안을 도출한다. 2001년 호주 하수처리시스템 외부원격접근, 2017년 슈나이더일렉트릭 APT 공격, 2018년 TSMC 워너크라이 랜섬웨어, 2019년 노르스크하이드로 록커고가(LockerGoga) 랜섬웨어, 2021년 플로리다 수도 인프라 공격 등의 사례를 면밀히 분석해보면 다음 4가지 보안사고 사례 동향을 도출해낼 수 있다.
먼저 공격 범위가 다양해지고 있다. IT 환경 외에도 OT/ICS 환경으로 공격 범위가 늘어났으며, DT 가속화에 따라 클라우드나 Active Directory 등이 목표물로 떠올랐다. 또 공격도구가 보편화됐다. OT/ICS 전용 악성코드에서 랜섬웨어, 원격 접속 프로그램 등이 추가된 것이다. 그만큼 공격 파급력도 확대됐다. 사회기반시설 등이 공격당할 경우 시스템 마비나 파괴를 넘어 인적 피해가 발생한다. 가용성 위주의 산업 특성상 보안패치 적용에 한계가 있다는 게 약점이다. 마지막으로 융합보안 인식이 부재하다. IT 위주의 보안 거버넌스 수립에 따라 OT 환경의 특성 파악이나 가이드라인이 미흡한 것이다. 폐쇄망에 대한 담당자의 보안 인식 결여도 주된 원인 중 하나다.
어떤 대응 전략이 효과적인가?
OT 영역의 보안이 어려운 이유는 가시성 확보가 어렵기 때문이다. SCADA 영역은 IT와 OT 연결성 증가로 인해 다양한 보안 위협에 노출돼 있다. PLC 영역은 기존 보안 장비의 한계로 OT 보안 기술 적용이 미흡하다. 센서(Sensor)/액츄에이터(Actuator) 영역은 다양한 이기종 장비가 혼재돼 분석의 한계가 있기 마련이다. 이 모든 영역을 통합적으로 관리·분석할 수 있는 전략이 필요한 것이다.
관련해 각각 관리적·물리적·기술적 차원의 대응방안을 수립할 필요가 있다. 관리적 차원에서는 먼저 IT와 OT 환경의 융합 보안 거버넌스와 모니터링 체계 수립이 필요하다. IT/OT를 고려한 비즈니스연속성계획(BCP)와 재난복구시스템(DRS)을 수립할 필요도 있다. 물리적 차원에서는 사용자 출입통제와 점검 방안을 수립하고, PLC와 HMI 등 제어시스템에 대한 물리적 통제와 점검이 필요하다. 기술적 차원에서는 융합 보안 모니터링 도구와 대응활동, 주기적인 보안성 검토와 모의해킹 수행, OT/ICS 기반의 위협 사냥(Threat Hunting) 수행 등이 필요하다.
OT 보안관리 솔루션 ‘스파이더 OT’란?
이글루시큐리티의 OT 보안관리 솔루션 ‘SPiDER OT’는 이기종 장비와 센서를 연동해 OT 위협을 탐지 및 분석할 수 있는 통합 솔루션이다. 빅데이터를 기반으로 IT-OT 이기종 보안 이벤트의 연관검색과 보안정책 적용을 통합적으로 관리할 수 있으며, 사용자 정의 OT 관제 맵 시각화를 통해 실시간 가시성 확보를 돕는다. 또 위협정보시스템과 연동해 선제대응체계를 구축할 수 있다. YARA, 스노트 룰(Snort Rule) 기반 보안정책을 적용해 신규 위협에 대한 대응이 가능하다.
스마트팩토리에서 스파이더 OT는 산업 DMZ에서 매니저를 설치하고, OT 센서를 각 모니터링 구간에 설치해 운영할 수 있다. 공장 내 제어시스템을 식별하고, 자산의 이상 징후를 탐지·분석하는 프로세스를 제공해 융합 OT 보안 관제가 가능하다. 스마트빌딩에서도 냉·난방, 전기, 조명, 기계설비 등의 이상이나 보안 이력을 모니터링하여 사이버 위협 대응체계를 강화할 수 있다. 향후 재난관리시스템과 연동해 통합 재난관리시스템을 제공할 예정이다.
OT 보안 컨설팅도 가능한지
이글루시큐리티는 자체 방법론을 기반으로 모듈화 한 OT 보안 컨설팅 서비스를 제공한다. OT/ICS 사업 환경에 따라 유연하게 컨설팅을 수행할 수 있으며, 프로그램 시작 시 요구사항 파악과 전략 수립이 선행된다. 이후 자산분석, 위협분석, 위험도를 산정해 기업별 맞춤 보안 대책과 로드맵을 수립하는 서비스를 제공하고 있다.
글. 바이라인네트워크
<신승윤 기자> yoon@byline.network