안전한 생산 시설을 위한 다섯 가지 보안 과제

카카오톡이 멈췄을 때, 조금 과장을 보태 사람들의 일상이 멈췄었다. 카카오톡과, 카카오톡 로그인을 통해 사용할 수 있던 서비스를 쓸 수 없게 되면서 일상에 지장이 생겼던 것이다. 메신저 하나가 멈춘 것도 이정도 영향력을 가져오는데 사회 기반 시설에 문제가 생기면 어떻게 될까? 만약 전기나 가스, 수도와 관련한 시설에 문제가 생긴다면 서비스가 멈추는 시간 만큼 손해도 크고, 무엇보다 사람들의 안전이 위협받을 가능성도 커진다.

따라서 기업에 IT 보안 만큼 중요해지는 것이 OT(Operation Technology) 보안이다. IT 기업에서는 내부 정보가 경쟁의 토대인 만큼, 통상 기밀성이 강조되어 왔는데 OT 보안은 이와는 조금 다르다. 회사가, 또는 서비스 인프라가 얼마나 멈추지 않고 작동할 수 있느냐 하는 ‘가용성’을 최우선으로 둔다. 시스템이 얼마나 정상적으로 작동하느냐 여부를 따지는 것인데, 제조산업이나 국가 기반시설에서 일어나는 사고는 경제적 손실이나 안전 문제가 심각하기 때문에 이를 제일 먼저 보는 가치로 치는 것이다.

가용성을 높이기 위해서는 어떤 보안과제가 있을까? 바이라인네트워크가 최근 개최한 ‘제조공장, 산업기반시설 OT/ICS 환경 보안 방안 2022’ 웹세미나에서 남궁석 한국트렌드마이크로 수석이 나와서 ‘스마트 팩토리 및 사회 기반시설 보안을 위한 5가지 요소’를 주제로 발표했다. 남궁 수석은 이 자리에서 “제조산업이나 국가 기반 시설 같은 경우는 한 번 사고가 나면 경제적 손실이 크고 심할 경우 인명피해까지 발생할 수 있다”면서 “따라서 기밀성이나 무결성 보다는 가용성이 최우선 과제가 되는 것”이라고 설명했다.

실제로 올해 상반기에는 OT 보안과 관련해 어떠한 사이버 위협들이 있었을까? 남궁 수석은 그 특징을 ▴뉴 노멀에서 공격 표면의 점진적 증가 ▴랜섬웨어 수익 창출 모델: 서비스형 랜섬웨어(RaaS) ▴APT 공격 그룹 및 러시아·우크라이나 전쟁을 이용한 공격 증가 ▴엔터프라이즈 시스템에서 심각도 높은 결함(취약점) 수 증가 등 네 가지로 요약했다.

이를 조금 더 구체적으로 풀면, 코로나19 이후 재택근무가 늘어나면서 IT 시스템 상당 수가 클라우드 환경으로 넘어간 것에서 비롯했다. 최근 랜섬웨어를 사고파는 마켓이 생겨났는데, 이게 사이버 공격의 진입장벽을 낮췄다. 해킹에 대한 지식이 많지 않아도 시장에서 랜섬웨어를 사서 공격하는 개인이나 그룹이 늘어났다.

이와 더불어 러시아와 우크라이나 간 전쟁으로 인한 사이버 공격 역시 늘어났다고 남궁 수석은 설명했다. 그는 “러시아가 우크라이나 국가기관을 대상으로 사이버 공격을 자행하기도 하고, 익명의 해킹 그룹인 어나니머스가 러시아의 국방부 홈페이지를 마비시키고 일부 데이터를 유출시키는 등의 맞대응 작전이 일어나기도 했다”고 덧붙였다.

엔터프라이즈 시스템에서 심각도가 높은 결함이 증가하고 있다는 것도 주목해 볼 부분으로 남궁 수석은 지적했다. 시간이 흐르면 시스템의 결함은 계속해 늘어나겠지만, 그 결함이 심각도가 높은 데서 오면 문제도 커진다. 지난해 12월 유행했던 ‘로그4j’의 취약점을 대상으로 한 공격 같은 것이 대표적인 예시다. 로그4j는 로깅(소프트웨어 실행 시 이벤트를 추적하는 수단)을 위한 도구이므로 거의 모든 자바 애플리케이션에 쓰여서 사고가 생겼을 때 개발자들이 살펴서 찾아내야 하는 문제가 기하급수적으로 늘어날 수 있다.

이런 사고 유형을 살펴볼 수 있는 실례로 2021년에 벌어졌던 에이서의 랜섬웨어 피해 사건이 언급됐다. 대만 노트북 제조업체 중 하나인 에이서는 그해 3월과 10월에 각각 랜섬웨어 공격을 받았는데, 3월에는 5000만달러에 달하는 몸값을 요구 받았고 10월에는 내부 데이터베이스가 유출되는 피해를 입었다. 카메라를 만드는 올림푸스의 경우에도 랜섬웨어 그룹의 공격으로 내부 정보가 유출됐고, 특정 공장의 경우 시스템 가동이 중지되는 일일 벌어지기도 했다. 기아자동차 역시 랜섬웨어 공격으로 몸값을 요구 받은 일이 있다.

하지만 가장 큰 사건은 역시 미국의 대형 송유관 회사 중 하나인 콜로니얼 파이프라인 해킹 사건이다. 당시 이 회사의 송유관 시스템이 랜섬웨어에 감염되면서 해커들이 일정 금액을 요구했고, 회사는 230억원을 지불하고 나서야 시스템을 복구할 수 있었다. 이 사고로 5500마일 가량의 송유관 시스템이 일제히 가동을 중지해야 했고, 따라서 시민들이 불편함을 겪어야 했다.

이런 공격을 한 조직들의 공통된 비즈니스 모델은 ‘랜섬웨어’다. 랜섬웨어 공격 툴을 사고 팔고 고도화시키는 조직들이 활동을 많이 했는데, 사이버 범죄 갱단으로 불리는 ‘레빌’이 대표적인 곳이다. 레빌은 지난해 4월 애플을 대상으로 신제품 설계도를 공개하겠다면서 거액의 돈을 요구한 바 있다. 남궁 수석은 “2020년 대비 2021년에 사이버 보안 사고가 83%나 증가했고, 제조업체의 경우 61%가 사이버 보안 사고에 대한 경험이 있다고 이야기 하고 있다”면서 점점 사이버 공격이 심해지고 있다고 경고했다.

그렇다면 OT 보안을 어디에서부터 시작을 해야 할까? 남궁 수석은 “최소한의 보안부터 시작하자”고 조언했다. 그 안에는 다섯 가지 방법이 들어가는데, 남궁 수석은 이와 관련해 ▴네트워크를 분리할 수 있는지, ▴가시성을 확보할 수 있는지, ▴고도화된 공격에 대응할 수 있는 가상 패치 기능을 확보하고 있는지 ▴트러스트 리스트를 통한 제로트러스트 ▴폐쇄망에서의 안티바이러스 등을 꼽아 우선적으로 챙겨야 한다고 강조했다.

처음부터 짚어보면, 거의 대부분의 스마트팩토리나 시설 내 설비들이 처음 구축될 때는 네트워크 분리를 크게 중요하게 생각하지 않는다는 점이 언급됐다. 하나의 네트워크로 설비들이 모두 연결되어 있을 경우 하나의 시스템에서 침입이 이뤄지면 인접한 네트워크에 있는 모든 시스템에서 다 문제가 발생할 수 있다. 남궁 수석은 “네트워크를 구분해서 위협의 범위를 감소시키고 더불어 관리에 대한 효용성과 효율성을 지킬 수 있게 해야 한다”고 말했다.

가시성 확보도 중요한 부분이지만 그간 간과되어 왔다는 점에서 유사한 문제를 지적받는다. 운영 시스템이 오래 됐거나 관리 감독이 되지 않을 경우, 어떠한 시스템이 있는지 조차 파악하기가 어렵다. 시스템 파악이 안되면 문제가 일어 났을 때 해결하기는 더욱 어렵다. 내부 시스템이 어떤 프로토콜 통신을 하는지, 어떤 툴을 사용하는지 등 실시간 조회가 가능하도록 가시성을 정확하게 확보해줘야 미연의 사태를 방지할 수 있다.

가시성을 확보한 다음에는 공격에 대한 방어가 필요하다. 그러나 대부분의 공장이나 기관에서는 설비 공정에 보안을 새로 마련할 때 가동 중지나 시스템 멈춤 등의 문제를 우려해 꺼리는 경우가 있다. 여기에서 필요한 것이 네트워크 중단 없이 보안을 마련할 수 있도록 가상의 패치를 할 수 있는 대응책이다. 특히 레거시 시스템에는 보안에 취약한 애플리케이션들이 많으므로, 이들에 최신의 보안을 적용할 수 있도록 업데이트가 되는 패치를 마련해줘야 한다.

마지막으로, 사전에 신뢰 리스트(트러스트 리스트)를 정의하고 이를 기반으로 허가되지 않은 통신을 차단함으로써 트러스트 기반의 보안 정책을 수립할 수 있어야 한다는 것, 통신이 미치지 않는 폐쇄망 구조의 시스템에 대한 악성코드 검사나 자산 가시성 확보는 물론 신규 설비 시스템의 도입 시 사전 검사형태로의 보안 강화책 마련이 필수적이라고 조언했다.

남궁 수석은 이런 조치들이 적용, 시스템에 대한 공격을 사전에 방어한 예시를 언급하기도 했다. 한 반도체 기업의 사례가 꼽혔는데, 이 회사는 공정라인의 주요 자산이 굉장히 오래된 상태였고, 따라서 시스템의 생명 주기를 연장할 필요가 있는 상황에 처해 있었다. 이 외에 통 네트워크를 사용, 보안을 위해서 네트워크 세그먼트 구분이 필요한데다, 보안 시스템에 문제가 있을 때 가용성을 높이기 위해서 하드웨어 바이패스를 지원할 수 있어야 해서 총체적인 문제 해결이 가능한 솔루션이 필요한 곳이었다.

남궁 수석은 “성능이나 안정성을 담보하는 솔루션을 찾는 곳에 트렌드마이크로가 제공하는 엣지파이어(EdgeFire), 엣지IPS 프로-1048(EdgeIPS Pro-1048) 등의 제품을 도입, 반도체 생산라인에 대한 멀웨어나 사이버 공격에 대한 방어체계를 구축할 수 있었다”며 “이 외에 서비스 점검 라인을 대상으로 네트워크 분리 대응을 하는 등 위협 인텔리전스(TI)를 활용해 문제를 방지했다”고 강조했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network