[자료 제공=나온웍스]
OT 환경을 안전하게 지키는 방법 중 첫 가장 중요한 것은 OT 환경의 구조와 올바른 보안 접근법을 이해하는 것이다. OT(Operation Technology)란 산업의 운영 기술 환경으로, 산업제어시스템(Industrial Control System: ICS)뿐만 아니라 IT와 연결되거나 함께 사용되는 광범위한 영역을 뜻한다. 그리고 OT 보안은 위와 같은 OT 환경을 보호하는 행위나 체계를 일컫는다.
그렇다면 OT 보안은 IT 보안과는 어떻게 다를까? 이 질문에 대한 답을 내리기 위해서는 IT와 OT의 본질과 차이점을 이해해야 한다. 해답은 단어 자체에 포함되어 있다. IT(Information Technology) 보안은 ‘정보’에 초점을 두는 반면, OT(Operation Technology) 보안은 ‘운영’에 초점을 둔다. 단순히 보기에는 크게 다르지 않을 수 있지만, 이러한 본질의 차이는 근본적인 접근법을 다르게 한다.
IT 보안과 OT 보안의 차이
보안의 3가지 속성은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이다. 3가지 모두 보안에서 필수적으로 충족되어야 하는 요소이지만, 우선순위를 나눠볼 수는 있다. 통상적으로 IT 보안에서는 기밀성을 가장 우선시하며, 무결성과 가용성 순으로 중요도를 보고 있다. 이를 영문 약자로는 ‘C.I.A’라 한다.
반면, OT 보안은 우선순위가 조금 다르다. 가용성을 보장하는 것이 가장 중요하고, 무결성과 기밀성 순으로 우선순위가 정립된다. 영문 약자로는 ‘A.I.C’로 볼 수 있다. 그럼 왜 이와 같은 차이가 있는 것일까? 이유는 간단하다. 컴퓨터는 재부팅하면 되지만 공장 설비는 절대 멈춰서는 안되기 때문이다.
IT와 OT 환경은 구성되는 기기에도 차이가 있다. IT 환경은 잘 알려진 대로 PC, 노트북, 모바일, 서버 등의 IT 기기로 구성이 된다. OT 환경은 기존 IT 기기에 ICS가 추가된다. 산업 제어 설비는 대표적으로 PLC(Programmable Logic Controller)를 꼽을 수 있다. PLC는 쉽게 설명하면 펌프, 밸브, 로봇 팔 등 공장 내 기기에 제어 명령을 내리는 설비다.
OT 보안 침해 사례
최근 주요 OT 보안 사고를 보면 공격은 제조업에 집중되고 있으며 발전, 에너지 등 사회 기반 시설을 노리기도 한다. OT 환경을 향한 공격의 형태를 보면 크게 두 가지로 분류할 수 있다. 첫째는 IT 환경의 공격 기법을 OT 환경에 적용하는 것으로 대다수가 랜섬웨어 감염이다. 또 하나는 제어 명령을 변조해 공정 자체를 타격해 피해를 입히는 것이다.
2019년 대만 반도체 기업 TSMC는 워너크라이(WannaCry) 랜섬웨어에 감염돼 48시간가량 공장 가동이 중단되었고, 연매출의 3%에 해당하는 약 3천억 원의 손해를 입은 바 있다. TSMC의 랜섬웨어 감염은 OT망 내부 설비에 비인가 USB를 사용하면서 시작되었고, 이터널 블루(Eternal Blue) SMB 취약점을 통해 빠르게 확산됐다. 해당 공장과 연결된 해외 다른 공장까지 랜섬웨어가 전파되며 피해가 커졌다.
또한 미국 플로리다 주의 도시 올즈마(Oldsmar) 수처리 시설이 해킹되는 사건도 있었다. 공격자는 취약점을 통해 시설 관리자가 방문할 만한 웹사이트에 악성코드를 심었고, 업무망 시스템에 침투하여 계정 정보와 제어 설비 연결 정보를 탈취했다. 이후, 원격 접속 프로그램 팀뷰어(TeamViewer)를 통해 물의 수산화 나트륨 농도를 조작하려 했으나, 다행히 모니터링 중이던 관리자가 마우스의 이상한 움직임을 포착하여 공격을 막아냈다.
미흡한 OT 보안 인식 현황
이처럼 OT 환경은 보안에 미흡한 부분이 여럿 존재하고 피해 규모가 커지고 있지만, 보안 적용은 비교적 더디게 진행되고 있다. 주요 원인으로는 가용성을 우선순위에 두는 OT 환경의 특수성, OT 보안에 대한 인식 및 전문성 부족, 체계적인 정책 부족 등이 꼽힌다. 하지만 이제는 OT 환경의 폐쇄성이 안전을 보장하지 않는다는 사실이 분명해진만큼, OT 보안은 더 이상 미룰 수 없는 사안이 되었다.
가트너(Gartner)가 발간한 ‘2021 OT 보안 마켓 가이드(2021 Market Guide for Operational Technology Security)’에 따르면, OT 보안의 단계는 다음 6단계로 나뉜다.
1단계: OT 보안의 중요성 인식
2단계: 자산 식별 및 네트워크 토폴로지 매핑
3단계: 문제점 파악
4단계: 대응 및 보안 전략 수립
5단계: IT-OT 보안 융합
6단계: 최적화
보고서에 따르면, 전 세계 기업 중 60%가 1단계인 보안 필요성 인식에 머무르고 있으며, 6단계인 최적화까지 수행한 기업은 10% 수준이다. 또한, OT 보안을 추진하는 동력으로는 실제 침해 사고 경험, 혹은 경영진 및 정부 정책 등이 꼽혔다. 전 세계적으로, OT 보안 체계가 견고하게 확립되어 있지 않으며, 실질적인 조치를 취하지 않다가 실제 공격을 당해 막대한 피해를 입고 나서야 보안 전략과 체계를 수립할 가능성이 높다는 점을 시사한다.
국내 상황도 글로벌과 크게 다르지 않다. 안랩이 지난 2021년 기업들을 대상으로 진행한 설문조사 결과에 따르면, OT/IoT 보안 솔루션의 실제 도입을 진행 중이거나 운영 중이라는 응답은 31%에 그쳤다. 응답자 중 48%는 ‘도입 예정’이라고 밝혔고 16%는 ‘잘 모르겠음’, 5%는 ‘계획 없음’이라고 답했다. 전체적으로 높은 수준의 보안을 갖췄다고 보기에는 어려운 것이 사실이다.
OT 보안을 위한 CEREBRO-IDS 솔루션
현 상황에서 OT 보안 체계는 구체적으로 어떻게 수립해야 할까? 효과적인 OT 보안 전략을 수립하려면 먼저 OT 환경 구조를 이해해야 한다. 한국인터넷진흥원(KISA)의 ‘스마트공장 계층구조 아키텍처’에 따르면, 스마트팩토리는 레벨 0부터 5까지 총 6개 계층으로 나뉜다.
Level 0: Field Device(현장 장치) - 현장에서 운영되는 설비.
Level 1: Basic Control(공정 제어) - 2계층에서 내려오는 명령을 처리하고 0계층으로 전달.
Level 2: Supervisory Control(공정 통제) - 현장 설비들을 원격으로 관리하고 운영하는 시스템.
Level 3: Operations Management(생산 관리) - 전체적인 생산 체계 관리.
Level 3.5: Industrial DMZ(완충지대) - 산업용 DMZ. OT 환경과 외부 IT 환경이 연결되는 지점.
Level 4~5: Enterprise Biz System(전사 관리) - 기업이 일반적으로 IT 환경에서 사용하는 자원
나온웍스와 안랩이 공동 개발한 CEREBRO(세레브로)-IDS는 나온웍스의 프로토콜 분석 기술과 안랩의 보안 위협 탐지 기술을 결합한 솔루션으로, OT 프로토콜 분석을 통해 OT망 자산과 네트워크 가시성을 제공하고, 보안 위협을 실시간으로 탐지하여 대응할 수 있도록 가이드 한다.
CEREBRO-IDS는 ICS 설비가 있는 Level 1/2 영역과 일반 OT 자산이 있는 Level 3 영역에 기존 설비 네트워크 가용성을 침해하지 않는 ‘미러 모드(Mirror Mode)’로 설치된다. 여러 공정에 다수의 센서를 설치하고 중앙 서버에서 통합적으로 관리하고 모니터링 한다. 이를 통해 ICS 설비와 트래픽을 손쉽게 파악할 수 있고, 비정상적인 제어 명령 등의 이상 행위도 탐지가 가능하다.
IT와 OT가 연결되고 외부와의 접점이 증가하는 상황에서 OT망 내부로 유입되거나 OT망 내부에 존재하는 보안 위협에 효과적으로 대응하기 위해서는 무엇보다 OT 전용 IDS 보안 솔루션이 필요하다. 나온웍스와 안랩의 기술력을 결합한 CEREBRO-IDS는 OT 보안을 위한 최적의 솔루션이 될 수 있다.
