마이크로소프트 애저 디펜더가 만드는 OT 보안 체계
자산 파악부터 OT 특화된 환경 위협 탐지·대응, IT보안과의 연계·통합까지
“운영기술(OT) 보안을 보다 전문적으로 수행하려면 OT 환경에 어떠한 디바이스가 있는지 파악하는 것부터 시작해 발생하는 여러가지 행위를 지속적으로 모니터링해 이상행위 발생시 즉각 대응할 수 있는 체계를 구축해야 한다. 그리고 IT와 OT가 통합된 형태로 관제가 이뤄질 수 있고 자동으로 대응할 수 있는 체계를 갖춰야 한다.”
신호철 한국마이크로소프트 보안 사업 총괄 매니저는 최근 개최된 ‘제조공장, 산업기반시설 OT/ICS 환경 보안 방안 2021’ 온라인 세미나에서 OT 환경 보안 강화 방안을 이렇게 제시했다.
이와 함께 최근 두드러지게 강조되고 있는 제로트러스트 보안 원칙을 OT 보안에도 고려해야 한다는 점을 강조했다.
OT 환경에 상존하는 보안 위험들…오래된 OS, 업데이트 미비, 원격 접속 허용 등
신 매니저는 먼저 “많은 기업·기관들이 OT 환경을 보호하기 위해 다양한 대책들을 수립하고 있지만 OT 환경 특성으로 인해 여러 위험에 노출돼 있는 게 사실”이라며, 지난해 마이크로소프트가 전세계 1800개 이상의 산업제어시스템(ICS) 취약점을 조사해 발표한 보고서의 주요 내용을 소개했다.
이에 따르면, 전체 조사 대상의 71%는 ICS 디바이스에 지원이 중단된 오래된 운영체계(OS)를 사용하고 있다. 예를 들어, 여전히 시스템에 윈도우XP나 윈도우7을 많이 사용하고 있는 상황이다.
신 대표는 “생산시설을 설립했을 때 그 환경에 최적화된 애플리케이션 개발해 운영해온 경우 만일 시스템을 업그레이드를 하면 문제가 발생할 수 있다”며 “그럼에도 불구하고 이러한 취약한 OS를 쓰는 것 자체는 보안 위험에 노출될 수 있다”고 지적했다.
또 64%는 ICS 네트워크 환경을 분석 결과 데이터가 암호화되지 않은 평문 형태로 전송되고 있었다. 이 경우 공격자가 스니핑으로 쉽게 패스워드를 탈취할 수 있다.
66%는 실제 OS나 혹은 안티바이러스가 설치돼 있다고 하더라도 업데이트를 자동으로 수행하지 못하는 상태로 구성하고 있다. 신 매니저는 “OT 환경이 완전히 폐쇄망에서 운영되는 경우가 많기 때문에 자동 업데이트가 어려운 측면이 있다. 실제로 자동으로 업데이트 했을 경우에 자칫 생산라인에 문제를 일으켜 더 큰 피해가 생길 수 있어 함부로 자동 업데이트를 하지 못하는 측면도 있을 것”이라고 풀이했다.
아울러 54%는 OT 환경 디바이스에 대한 원격접속을 허용하고 있고, 27%는 디바이스들이 인터넷에 연결돼 있는 것으로 나타났다.
신 매니저는 “원격접속 허용은 현장에 있는 디바이스를 편리하게 관리하기 위해서, 사무실에서 원격으로 접속해서 통제하는 편의성을 목적으로 사용할 수 있다. 자칫 상시적으로 이렇게 사용할 경우 공격자에게 공격 루트를 허용할 수 있기 때문에 예의주시해야 한다”며 “여러 보안대책을 한다고는 해도 이같은 여러 상황들이 있기 때문에 면밀하게 환경을 파악하지 않으면 제대로 대응하지 못하게 되고, 실제로 발생했던 여러 보안 사고들을 일으키는 문제로 발전할 수 있다”고 경고했다.
CISO가 OT 보안까지? IT와 OT 보안 통합 추세
OT 환경은 IT 환경과는 다르다. 때문에 기존 IT와는 다른 차별성 있는 전략이 필요하다는 게 전문가들의 이야기다.
신 매니저 역시 이 점을 집었다. 그에 따르면, OT 환경은 IT 환경과는 달리 보안의 최우선 목적이 데이터의 기밀성이 아닌 가용성, 그리고 안전(safety)이다. 생산라인이 중단될 경우 그 피해규모가 엄청나기 때문에 항상 가용성을 최우선으로 여길 수밖에 없다. OT 디바이스는 여러 제조사(벤더)가 사용하는 특화된 프로토콜을 사용해 IT 보안 솔루션이 전용 디바이스와 프로토콜을 지원하지 못하는 문제가 있다. 또 폐쇄망 운영으로 인해 자동 업데이트에 한계가 있을 수밖에 없다. 때문에 디바이스 등 자산 파악조차 어려운 경우가 많다. 결국 OT 환경을 잘 이해해야만 그에 맞는 OT 보안을 수립할 수 있다.
그럼에도 불구하고 최근 OT 환경 보안 책임은 생산설비 관련 담당 임원보다는 정보보안책임자(CISO)가 IT뿐 아니라 OT 보안까지 담당하는 추세가 감지된다는 게 신 매니저의 얘기다. 그는 “OT 보안 사고나 계속 발생하고 있고 갈수록 보안 이슈가 점점 더 중요해지면서 IT와 OT 각각의 보안을 누가 오너십을 갖고 진행할 것인가에 대한 논의가 활발히 진행되고 있다”면서 “대체적인 추세를 보면 보안이라는 관점에서 CISO가 IT와 OT 전체를 아우르는 형태로 보안을 책임지는 모델로 점차 전환되는 것으로 보여진다. 이를 위해서는 기존에 IT 보안을 담당했던 관제센터(SOC)에서 OT 보안에 대한 여러 정보를 확인하고 문제점을 계속 발견해 대응할 수 있는 체계를 만드는 것이 상당히 중요해지는 것”이라고 했다.
이어 “그렇게 할 수밖에 없는 이유 중에 하나가 대부분의 지금까지 알려진 여러 OT의 보안 사고들을 보면 OT 환경을 직접 공격하는 것보단 IT 망을 통해 OT 망을 공격하는 경우가 대부분이다. OT 환경은 대부분 폐쇄망으로 돼 있기 때문이다. 이 관점에서 보면 IT와 OT 보안을 지속적으로 통합해 모니터링하고 관리할 수밖에 없을 것”이라고 덧붙였다.
신 매니저는 지난해 미국 CISA(Cyber Security and Infrastructure Security Agency)가 내놓은 보안 권고문도 소개했다. “CISA는 핵심 기반시설(Critical infrastructure)에 대한 악의적 공격자들의 정교한 행위가 지속될 것으로 내다본 보고서에서 OT 환경 보안을 위해 세가지를 권고를 했다. 먼저 OT 인프라의 전반적인 구성을 파악해야 한다는 것이다. 이를 인프라스트럭처 지도(map)라고 표현했다. 그리고 자산 재고(asset inventory)를 정확히 상세하게 파악해 위험요인이 있는지 조사해야 한다. 또 이에 대한 지속적인 모니터링으로 이상행위가 있을 때 즉시 탐지하고 대응할 수 있는 체계를 갖춰야 한다는 것이다.” 이는 앞서 신 매니저가 강조한 내용과도 같다.
마이크로소프트는 IT와 OT 환경 통합 요소까지 포함해 이같은 OT 보안 강구 방안에서 필요한 요소들을 충족하는 형태로 OT 보안 방안을 제시하고 있다.
직접적인 OT 보안 솔루션으로 ‘마이크로소프트 애저 디펜더 포 IoT(Azure Defender for IoT)’를 제공한다.
마이크로소프트가 보안 솔루션 영역을 나누고 있는 두가지 XDR(eXtended Detection and Respose)와 SIEM(Security Information Event Management)/SOAR((Security Orchestration, Automation, and Response) 가운데 XDR, 그 중에서도 사용자 업무 환경 보안을 담당하는 마이크로소프트365가 아니라 클라우드 인프라를 보호하는 애저 디펜더 제품군에 속한다. 마이크로소프트의 XDR 관련 보안 제품군들은 SIEM과 SOAR 기능을 수행하는 애저 센티넬과 연동돼 유기적으로 통합돼 운영되고 수집·분석돼 자동 대응이 이뤄지는 구조로 구성된다.
OT 환경 걸맞게…에이전트리스·타 솔루션 연동·모든 프로토콜·다양한 구성방식 등 지원
신 매니저에 따르면, 애저 디펜더 포 IoT는 에이전트를 함부로 설치하거나 패치할 수 없는 환경에서 이용될 수 있도록 에이전트리스(Agentless)로 구축해 운영할 수 있다. 또 다양한 디바이스 정보들을 자동으로 수집해 자산을 확인하고 디바이스 간 연결·관계를 파악해 여기서 발생하는 취약점이나 위협행위 등을 발견하고 모니터링할 수 있는 체계를 운영한다. 이를 위해서는 OT 환경에 특화된 다양한 프로토콜을 인식하는 것이 중요하다. 아울러 IT와 OT를 연계해 종합적이고 통합적으로 보안 모니터링할 수 있는 체계를 구축할 수 있도록 SIEM·SOAR와 연동하는 것은 물론, 애플리케이션프로그래밍인터페이스(API)을 제공해 다양한 솔루션들과 연동할 수 있도록 지원한다.
구성 방식은 폐쇄망을 위한 온프레미스(자체 구축형), 하이브리드, 클라우드 세 가지를 지원한다. 하이브리드 방식의 경우, 애저 센티넬처럼 클라우드 SIEM과 연계 운영하는 방법 또는 센서는 온프레미스에 두고 관리만 클라우드에서 하는 방식으로 구성할 수 있도록 제공한다.
신 매니저는 디펜더 포 IoT의 기능으로 5가지를 꼽았다. “▲첫째는 자산을 자동으로 파악해 어떤 프로토콜을 쓰고 어떤 것과 통신하는지 자동으로 알 수 있게 한다. ▲두 번째는 분석된 자산 정보를 바탕으로 어떤 취약점이나 위험 요인이 있는지를 발견할 수 있다. OS 정보 등을 모두 탐지할 수 있기 때문에 알려진 취약점을 자동으로 파악할 수 있고, 나아가 실제 디바이스들이 어떻게 동작하고 행위를 하는지, 혹시 악성행위나 이상행위는 없는지 실시간 모니터링하고 대응한다. ▲또 하나는 운영 관점의 시그널을 수집해 제공하는 것이다. OT 환경에서 사이버공격 외에 디바이스 고장 등 운영상의 이슈들이 생길 수 있는데, 사이버공격인지 운영상 문제인지 구분하기 쉽지 않기 때문이다. ▲이에 더해 IT와 OT를 통합하고 서드파티(제3자) 솔루션과도 연계할 수 있는 기능을 제공한다. TCP IP가 아닌 다양한 벤더 프로토콜 대부분을 지원한다. 새롭게 만들어진 프로토콜도 마이크로소프트가 별도로 특허 받은 호라이즌이라는 소프트웨어개발키트(SDK)를 활용해 즉각적으로 인식할 수 있도록 지원하고 있다. 프로토콜 인식으로 자산 파악, 네트워크 간 맵도 자동으로 그려준다. ▲이후 각각 디바이스에서 위협 행위 경보(alert)을 자동으로 알려주고 해결을 위한 조치 방법까지 확인할 수 있도록 지원한다. 이는 2주간의 학습과 프로필 설정 정보를 기반으로 행위·프로토콜·정책·멀웨어 탐지·운영 관련 5가지 엔진을 사용해 수행한다.”
마이크로소프트 위협 인텔리전스 조직에는 인수한 사이버엑스(CyberX)에서부터 운영해온 OT 위협 분석 전문가 팀인 ‘섹션52’가 결합해 OT에 특화된 위협에 대한 연구를 계속 수행하고 있다. 이들이 발견한 위협과 공격 캠페인 분석 결과 등 위협정보는 실시간 업데이트 된다.
신 매니저는 “제로트러스트 원칙도 OT 보안에 있어 굉장히 중요하게 고려해야 한다”며 “마이크로소프트는 보안의 대원칙을 제로트러스트에 두고 있고, 그 제로트러스트 원칙 세가지를 제시하고 있다. 확실하게 검증하라, 최소 권한을 허용하라, 항상 침해를 가정하라로, OT 보안도 이러한 제로트러스트 원칙이 적절하게 적용돼야 한다”고 강조했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
