위기의 OT 인프라, 안랩이 제안하는 현실적인 해결책은?

여태껏 운영기술(OT) 환경은 외부에서의 접근이 불가하다는 특징으로 해킹과 관련한 보안 문제에서는 상대적으로 자유로웠다. 그러나 4차 산업혁명이 시작되면서 디지털 전환 시대를 맞이하게 되자, OT 환경 또한 IT와의 접점이 늘어나게 됐다. 이는 양날의 검이다. IT 기술을 통해 생산성은 더 향상됐지만, OT 환경을 노리는 공격이 더 늘어나게 된 것이다. 노후화된 운영체제와 미흡한 패치관리 때문에 대기업을 제외한 대부분의 회사에서는 OT 보안에 곤혹스러운 상황이다.

지난 20일 이종현 안랩 부장은 바이라인네트워크가 개최한 ‘OT・ICS 환경 보안 방안 2022’ 웹세미나에서 “OT 환경에서의 악성코드 공격을 막기 위해선 IT 영역과 OT 영역과 관련한 망분리가 가장 중요하다”고 말했다.

그에 따르면, 2022년 상반기 악성코드 통계에서 66.7%가 ‘인포스틸러’ 종류의 악성코드인 것으로 나타났다. 인포스틸러란 정보를 탈취하는 목적의 악성코드를 말한다. 여러 가지 웹이나 메일을 통해 이런 악성코드 유입이 이뤄지고 있다. 웹 같은 경우 블로그나 포털을 통해 다운로드 받은 자료로 인해 감염되는 경우가 많으며, 메일의 경우에는 첨부 파일이나 문서 본문에 있는 링크를 통해 감염되는 경우가 많다.

OT 해킹은 어떻게 이뤄지는가?

이종현 안랩 부장에 따르면 해킹은 총 세 과정으로 진행된다. 첫 번째 과정은 정보 수집이다. 인포스틸러에 감염되게 되면 여러가지 정보 유출이 발생하게 되는데, 대표적으로 해당 PC에서 접속했던 웹사이트 정보가 노출될 수 있다. 언제 어떤 웹사이트를 접속하게 됐고, 얼마 동안 머물렀는지, 아이디 및 패스워드 등의 정보가 노출된다.

어느 정도 정보가 수집됐다면, 해당 컴퓨터에 백도어(컴퓨터 기능이 무단으로 사용되도록 몰래 설치된 통신 연결 기능)를 설치해 추가적인 악성 코드를 컴퓨터에 심는다. 이 부장은 “해킹 사고의 90% 이상이 정보 유출에서부터 백도어 설치, 추가 공격에 이어지는 단계로 진행되고 있다”며 “공격자는 이미 내부 인프라 확인이 끝난 후에 천천히 공격을 수행하면서 해킹 성공 확률을 높인다”고 말했다.

그렇다면 해킹 피해가 가장 많이 일어나는 산업 분야는 어디일까. 바로 제조 산업이다. 이 부장에 따르면 2021년 상반기 국내 해킹 사고 중 제조 산업 비율은 29.5%에 달한다. 이는 2019년 대비 2배 이상 증가한 숫자다. 제조 산업을 대상으로 해킹 피해가 많이 발생하는 이유는 간단하다. 금융, IT 등의 산업과 달리 제조 산업은 보안 부분이 매우 취약하기 때문에 성공 가능성이 높고, 감염 및 생산망에 강력한 타격을 주기 때문이다.

실제로 혼다 자동차는 IT 망에 침투 공격이 발생하자 미국, 인도, 브라질, 터키 등 11개 공장 생산라인 마비되고, 일본 완성차 출하가 중단되기도 했다. IT 망시스템의 이메일 및 사이트 내 악성 코드 다운로드를 통해 침투된 공격자가 내부 프로토콜을 통해 여러 악성 코드를 배포했고, 그로 인해 생산 가동이 중단돼 엄청난 피해를 입은 것이다.

이 부장은 “이렇게 OT망과 IT망이 서로 구분되지 않는 상황에서 공격이 발생하면, 금전적으로 치명적인 피해를 발생시킬 수 있다”고 설명했다.

OT 보안이 어려운 이유

OT 보안이 어려운 이유 또한 IT 환경과 OT 환경과의 괴리감에서 비롯된다. 대개 OT 보안 사고는 인원은 소수인데 담당해야 할 장비는 매우 많은 상황에서 발생한다. 소수의 보안 담당자가 생산 장비들의 프로세스와 더불어 침투되는 악성코드까지 파악하고 대응하기엔 한계가 있다는 것이다.

보안 담당자들의 여러 요구 사항들로 인해 생산 장비를 운영하는 엔지니어들이 생산 장비를 유지하는 데에 혼돈을 겪고 있다는 점도 문제로 지적된다. 이 부장은 “OT 환경과 IT 환경의 차이로 인해 보안 담당자와 생산 담당자는 이견이 있을 수밖에 없고, 이 부분이 OT 보안 업무 역할과 책임(R&R) 문제로 크게 대두되고 있다”고 말했다.

그는 이러한 상황을 막기 위해서 OT 환경 특성에 맞는 보안 적용이 필요하다고 말했다. 그에 따르면 OT 환경 특성인 ‘최초 구축 환경에서 변화를 주기 매우 어렵다’, ‘현장 가용성을 해치지 않아야 한다’, ‘OT 전용 프로토콜을 사용해야 한다’는 점에 맞게 ▲OT 환경 최초 구축 시 보안 도입 검토 ▲패시브, 미러링 형태의 보안 솔루션 ▲OT 전용 보안 장비를 구축해야 한다.

이는 안랩이 제공하고 있는 솔루션이기도 하다. 이 부장은 “IT 보안 기술에 ICS 프로토콜 분석 기술과 AI 분석 기술을 접목해 다양한 고객환경과 보안문제에 대응하는 맞춤형 보안 전략을 지향하고 있다”며 “OT 보안 주요 요구사항인 악성코드 진단치료부터 공급망 보안, 취약점 패치, 어플리케이션 제어 등 고객 환경에 맞춰진 솔루션을 제공하고 있다”고 전했다.

안랩이 말하는 OT 보안 솔루션

안랩은 식별, 탐지, 대응으로 나눠 솔루션을 제공하고 있다. 그에 따르면 먼저 이미 여러 가지 자산이 존재하는 OT 망을 식별하는 과정이 필요하다. 어떤 공정에서 어떤 담당자를 통해 관리되고 있는지 전용 에이전트를 통해 조사하는 것이다.

네트워크에 대한 식별도 매우 중요하다. 이에 안랩은 네트워크 프로토콜 분석을 통해 장비가 어떤 버전을 가지고 있는 장비인지, 장비 간의 통신 네트워크 세션은 무엇인지 식별하는 솔루션 또한 제공하고 있다고 전했다.

단말 혹은 네트워크를 식별했다면, 이 속에서 발생하는 악성코드와 랜섬웨어 공격을 인지할 탐지 과정도 필요하다. 그리고 비정상적인 움직임을 탐지했을 때, 이를 어떻게 대응해야 할 지와 관련한 해결책도 고려해야 한다.

이 부장은 “중견 이하의 규모에서는 OT에서의 망분리나 프로세스가 명확하게 규정 돼 있지 않거나, 투자가 돼 있지 않는 상황을 많이 보았다”며 “IT 망을 통해 OT 망을 확산되는 공격이 예측되는 상황 속 관련 상세 솔루션을 명확히 인지할 필요가 있다”고 말했다.

글.바이라인네트워크
<박지윤 기자> nuyijkrap@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다