최신뉴스
[OT보안 리포트-3] 스마트공장 품은 사이버보안 솔루션 집중해부
admin
2020-12-11
조회수 888
보안스위치부터 방화벽과 UTM까지, OT/ICS 환경에 적합한 사이버보안 솔루션들
OT/ICS 분야에서의 핵심, 안전한 ‘네트워크 연결’ 위한 보안스위치의 중요성
산업용 네트워크 환경에 최적화된 한드림넷의 화이트리스트 보안스위치 ‘서브게이트 5000 시리즈’ 리뷰
[보안뉴스 원병철 기자] 최근 한 유럽의 대형 생산시설에서 랜섬웨어에 감염돼 큰 피해를 입은 사건이 알려졌다. 해당 생산시설은 처음에는 공격자에게 돈을 주고 감염된 설비를 풀려고 했지만, 공격자들이 몸값을 올리면서 상황이 바뀌게 됐다. 한 보안기업에 해당 사건을 맡긴 것. 보안기업은 빠르게 피해 기업을 방문한 후, 기계들의 설정 파일과 설정 상태를 점검하고 로그파일과 이벤트 로그를 검사했다. 아울러 공격자들이 사용한 도구와 침해지표를 정리했다. 사건 자체의 가시성을 확보한 것이다.
이후 보안기업은 네트워크의 일부가 방화벽이 아닌 NIC(네트워크 인터페이스 카드)로 연결된 것을 확인했고, 이를 통해 공격이 시작된 것을 알게 됐다. 물론 피해기업은 NIC 사용을 전혀 몰랐다. 조사를 진행했던 보안기업은 네트워크에 있는 거의 모든 시스템과 통신하는 주 제어 장치 등을 조사해 네트워크의 실제적인 지형도를 파악했다. 최초의 공격이 어디서 시작됐고, 어떤 장비들이 감염됐으며, 감염된 장비는 어떤 장비에 연결됐는지 등을 확인하고 대응하기 위해서였다. 해당 사건은 OT/ICS 분야에서 ‘가시성 확보’의 중요성을 보여주는 샘플이라 할 수 있다. 아울러 또 한 가지 중요한 점을 시사하는데, 바로 네트워크 연결이다.
OT 혹은 ICS 분야에서 크게 착각하고 있는 것 중 하나가 바로 공장 내부는 무조건 ‘폐쇄망’이라고 믿고 있는 것이다. 이 때문에 공장에서만큼은 사이버보안에 대해 크게 신경 쓸 이유가 없다는 생각을 갖고 있고, 이로 인해 사이버보안 담당자를 두거나, 사이버보안 솔루션을 구입할 생각을 전혀 하지 않는다.
하지만 ‘공장=폐쇄망’이라는 생각은 크게 2가지 문제를 갖고 있다. 첫째는 공장은 폐쇄망이 아니며, 둘째는 설령 진짜 폐쇄망일지라도 스마트폰이나 USB 등 외부에서 들어온 장비가 바이러스에 감염됐을 경우에는 감염이 될 수밖에 없다는 사실이다.
우선 공장은 폐쇄망이 아니다. 과거 공장 장비들은 대부분 시리얼 통신 프로토콜을 이용해 서로 연결됐다. 물론 아직도 현장에서는 이러한 시리얼 통신(Modbus)을 이용하는 장비가 실제 구동되고 있다. 하지만 최근 나오는 장비들은 TCP/IP를 이용하며, TCP/IP는 우리가 흔히 ‘랜선(LAN Cable)’이라 부르는 연결 방식을 이용한다. 쉽게 설명하면 랜선을 통해 장비들을 연결한다는 얘기다. 게다가 시리얼 방식 장비와 TCP/IP 방식 장비를 혼용하게 되면서, 둘을 서로 연결해주는 ‘프로토콜 변환기’를 사용하고 있다. 외부 인터넷과 연결될 수 있는 상황이 된 것이다.
두 번째, 공장에는 직원들도 잘 모르는 외부인이 생각보다 많이 오간다. 특히, 공장의 규모가 크면 클수록 더욱 그렇다. 정규직 외에 하청업체 직원들도 많고, 장비의 관리를 위한 서비스 업체 직원도 많다. 이로 인해 통일된 작업복이나 명찰이 없다면 누가 누구인지 확인조차 어렵다. 이런 상황에서 누가 노트북이나 USB를 공장 장비에 연결할 경우 그냥 그렇게 넘어갈 가능성이 높다. 누가 악의적인 목적으로 바이러스를 심어도, 혹은 자기도 모르게 바이러스에 감염된 노트북을 연결해 장비를 감염시켜도 아무도 모른다는 말이다.
보안스위치를 활용해 공장 내부망 보호하기
공장이 폐쇄망이 아니라는 사실을 인정했다면, 당연히 보안을 위한 최소한의 조취를 취해야 한다. 특히, 대부분의 장비들이 TCP/IP로 연결되어 있는 상황에서 무엇보다 네트워크 보안을 먼저 챙기는 것이 필요하다. 보통 OT/ICT 환경에서 5단계의 레벨(Level 0~Level 4) 중 0에서 3레벨까지 OT 영역으로 보고, 3.5레벨 혹은 4레벨은 IT 영역으로 보는데, 레벨 0부터 모든 장비들이 TCP/IP로 네트워크에 연결된 만큼 모든 단계에서 보안을 생각해야 한다는 말이다.
그렇다면 OT/ICS 환경에서 네트워크 보안을 강화할 수 있는 장비는 어떤 것들이 있을까? 가장 기본적인 것이 바로 네트워크 스위치(Network Switch)다. 사실 네트워크 스위치는 보안 기능은 없이 단순히 장비와 장비 간 네트워크만 연결해주는 장치다. 다만 포트별로 맥(MAC) 주소를 생성하기 때문에 정해진 기기에만 네트워크를 전송한다. 쉽게 설명하면 스위치에 총 4개의 밸브가 연결되어 있는데, 그중 첫 번째 밸브만 열라고 명령할 수 있다는 거다. 스위치와 혼동하기 쉬운 라우터나 허브는 이게 안 된다.
앞서 설명한 것처럼 최근 공장에 장비들이 TCP/IP를 지원하기 때문에 이 스위치를 이용해 장비를 연결하는 곳이 많다. 즉, 많은 공장들이 스위치를 사용하고 있다는 말이다. 실제로 업계에서는 기존 산업용 통신시장의 규모가 늘어날 정도로 OT/ICS 환경에서의 TCP/IP 네트워크 사용이 증가했다고 보고 있다.
참고로 산업 현장은 일반 IT 환경과는 달리 척박한 환경이 많기 때문에 일반 스위치는 사용이 어려우며, 온습도와 방진방폭 등의 기능을 강화한 ‘산업용 스위치’를 많이 사용한다. 그런데 스위치에 외부 환경뿐만 아니라 ‘보안’을 강화하기 위한 제품이 있다. 바로 ‘보안스위치’다. 보안스위치는 전용 보안엔진을 탑재해 각종 보안이슈로부터 내부 장비를 보호한다. 특히, 네트워크를 통해 외부에서 들어오는 공격을 방화벽과 UTM 등의 보안장비가 방어한다면, 보안스위치는 내부에서 들어오는 공격, 예를 들면 프로그램 업데이트를 위해 외부 직원이 들고 온 노트북이나 USB에 숨겨진 바이러스를 상위의 서버나 콘트롤러 혹은 네트워크가 연결된 또 다른 장비 등에 전파되지 않도록 한다.
특히, 보안스위치는 허가받은 단말에 대해 선택적 서비스만 사용할 수 있도록 할 수 있다. 예를 들어, 네트워크 상단의 클라우드, 파일서버, 웹, 그룹웨어 등이 연결되어 있을 때 총무팀 직원의 PC는 클라우드를 제외한 파일서버와 웹, 그룹웨어에 접속할 수 있도록 하고, 외부 용역의 PC는 오직 웹만 접속할 수 있도록 함으로써 혹시나 발생할 수 있는 내부 감염 등을 막을 수 있다.
세계 최초로 보안스위치라는 용어를 사용한 보안기업 한드림넷은 화이트리스트 기반의 보안스위치로 최근 OT/ICS 분야에서 의미 있는 성과를 거뒀다. 한드림넷은 보안스위치를 통해 유해트래픽 차단과 네트워크 장애 예방, 네트워크 가시성 확보와 내부 단말의 통신 경로 제어 등을 해결할 수 있다고 설명했다. 특히, OS 구분 없이 IP를 사용하는 모든 디바이스를 제어할 수 있고, 별도의 Probe와 Agent 없이 네트워크 스위치에서 통신 차단과 제어가 가능하다. 실제로 한드림넷은 국내 공공분야 OT/ICS 환경에 보안스위치를 성공적으로 구축한 것으로 알려졌다.
OT/ICS 보안 솔루션에 방화벽과 UTM 더하기
지금까지 내부에서 발생할 수 있는 문제에 대해 살펴봤다면 이제 외부에서 침입할 수 있는 문제에 대한 해결책을 찾아보자. OT/ICS 환경에서 외부 네트워크를 통해 사이버공격 등이 들어올 경우 이에 대응할 수 있는 방법은 크게 2가지다. 첫 번째는 방화벽과 UTM 등 보안솔루션을 통해 외부의 공격을 막는 방법이고, 두 번째는 망분리 솔루션을 통해 아예 외부와 단절을 하는 방법이다.
방화벽과 UTM(통합 위협 관리, Unified Threat Management)을 이용한 방법은 사이버보안의 전통적인 분야로, OT/ICS 환경에서 영업하는 기업도 포티넷과 시스코 등 대표적인 글로벌 보안기업이다. 포티넷은 스위치와 방화벽, UTM으로 이어지는 네트워크 보안장비를 통
해 통합 보안을 제공한다. 여기에 2019년 인수한 보안 오케스트레이션 자동화 대응(SOAR) 기업 ‘사이버스폰스(CyberSponse)’와 엔드포인트 전문 보안기업 ‘엔실로(Ensilo)’ 등이 OT/ICS 환경 전반의 보안을 이야기하고 있다.
또 다른 글로벌 기업인 시스코는 조금 다른 그림을 그리고 있다. 네트워크 스위치에서 데이터를 복사(미러링)한 후 트래픽 모니터링을 통해 가시성 및 보안위협 상황을 제공하는 한편, 전체 네트워크 트래픽 상황 정보에 대한 실시간 정보를 제공한다. 특히, 스위치를 센서 역할로 활용하는데 기존에 설치된 스위치가 있을 경우 별도의 전용 장비를 사용해 스위치로부터 정보를 받아 활용한다.
방화벽과 UTM은 네트워크 최상단에서 외부 위협으로부터 장비들을 보호하는 보안 솔루션이다. 방화벽(Firewall)은 내·외부에서 인가받지 않은 접근을 막아 주고, UTM은 외부침입을 탐지하고 막아주는 기능을 갖고 있다. 두 제품은 분명 다른 제품이지만, 설명이 비슷한 것처럼 실제 하는 일도 비슷해 가트너 매직쿼드런트에서는 UTM 항목을 없애고 차세대 방화벽으로 통합해 버렸다.
네트워크 분야에서 방화벽은 가장 기본적인 보안제품이면서 전체를 아우르는 제품으로 자리 잡았다. 네트워크와 환경이 발전하고 공격자들의 공격이 다양화·첨단화되면서 이에 대한 방어체계 역시 다양해질 수밖에 없었다. 방화벽은 각 브랜드별로 지원하는 기능이 조금씩 다르기는 하지만, ①애플리케이션을 제어하고 ②사용자를 제어하는 한편, ③새로운 위협에 대응할 수 있는 기능을 강화하면서 ‘차세대 방화벽’으로 성장하기 시작했다. 처음 차세대 방화벽이란 용어를 사용하기 시작한 가트너 역시 기존의 IP 주소와 프로토콜, 포트 기반의 제어는 위협 탐지 및 방어에 한계가 생길 수 있기 때문에 ‘애플리케이션’ 레벨에서 ‘사용자’ 단위로 ‘콘텐츠’를 제어해야 한다고 설명했다.
예를 들면, 방화벽은 IP 주소로 출발지와 목적지를 구분했다. 문제는 IP 주소로 구분할 경우 사용자(공격자)가 이동하면 구분할 수 없다는 점이다. 또한, 기업 입장에서는 같은 포트를 이용하는 애플리케이션을 구분해서 차단하는 것이 필요해졌다. 마치 업무에 사용하는 소셜미디어(SNS)는 풀어주고 사용하지 않는 SNS는 차단하는 것처럼 말이다. 즉, IP에서 사용자 ID 중심으로 바뀌는 중이라고 업계에서는 설명했다.
물론 이러한 움직임은 방화벽뿐만이 아니었다. 2003년 창궐한 웜 바이러스에 대응하기 위해 등장한 침입방지 시스템(IPS: Intrusion Prevention Systems)은 이후 애플리케이션 컨트롤 기능과 웹 필터, APT 등 다른 방어기능들을 추가하면서 차세대 IPS(NGIPS)로 성장했다. 통합위협관리(UTM) 역시 다양한 보안기능을 강화하고 통합해주는 편의성에서 높은 평가를 받으며 차세대 네트워크 보안제품으로 인정받았다.
미국 국립표준연구소(NIST)에서 발행한 ‘산업제어시스템(ICS) 보안 가이드(NIST 800-82)’에 따르면 업무 네트워크와 제어 네트워크 사이에는 경계네트워크(DMZ) 구간을 만들도록 하고 있다. DMZ 구간에는 데이터 이력 관리 장치(Fata Historians)와 데이터 서버 등을 두고 이를 방화벽과 연결해 업무 네트워크와 제어 네트워크의 사이에서 구역 간에 포워딩되는 트래픽 유형을 지정할 수 있다.
방화벽 업무 네트워크에서 오는 임의적인 패킷이 제어 네트워크로 유입되는 것을 차단할 수 있으며, 제어 네트워크를 포함한 기타 네트워크 구역에서 오는 트래픽을 조절할 수 있다. 잘 계획된 룰셋을 사용하는 경우 업무 네트워크와 제어 네트워크 사이를 직접 통과하는 트래픽이 거의 또는 전혀 없이 제어 네트워크와 기타 네트워크 사이를 명확하게 분리된 상태로 유지할 수 있다.
문제는 업무 편의를 위해 DMZ 구간을 임의로 연결하거나 테더링 등 다른 방법으로 네트워크를 연결하는 일이 많다는 사실이다. 게다가 앞서 설명한 것처럼 DMZ가 있더라도 레벨 1~2단계에서 외부 노트북이나 USB 등을 연결하다 바이러스에 감염될 경우 DMZ가 있어도 소용이 없다.
이 때문에 포티넷과 같은 전통적인 사이버보안 기업은 OT 얼라이언스 파트너십을 맺고 관련 기업과의 협업을 강조하기도 한다. 즉, OT/ICS 환경의 전체적인 보안을 위해서는 OT/ICS 보안과 IT 보안의 협업이 이뤄져야 한다는 얘기다. 실제로 현장에서는 GE와 지멘스 같은 OT/ICS 전문기업은 물론 노조미와 클래로티 같은 OT/ICS 보안 전문기업, 그리고 전통의 사이버보안 기업들이 서로간 협업을 통해 전체를 아우를 수 있는 보안을 구축하고 있다.
아직도 OT/ICS 현장에서는 보안 책임자가 명확하지 않아
지금까지 본지는 3회에 걸쳐 OT/ICS 보안에 대해 집중 취재했다. 1회에서는 현재 OT/ICS 보안의 현재를 진단하고, 컨설팅 입장에서 가장 선행되어야 할 보안에 대해 살펴봤고, 2회에서는 대형 공장과 기반시설을 중심으로 적용되고 있는 OT/ICS 보안 솔루션에 대해 알아봤다. 그리고 이번 3회에서는 사이버보안 관점에서 OT/ICS에 적용할 수 있는 보안 솔루션에 대해 이야기했다.
그런데 실제 OT/ICS 환경에서는 보안에 대해 어떻게 판단하고 있을까? 포티넷이 후원하고 MAPI가 조사한 보고서 ‘기반시설·제조분야 운영기술(OT) 인프라를 보호하는 방법’에 따르면 제조분야의 리더 기업들은 비즈니스 관점에서 OT 사이버보안 위험은 다른 비즈니스 위험에 비해 5위 이내(응답자 61%)라고 대답했다. 특히, 이들은 OT 환경의 보안문제 중 ‘매출에 영향을 미치는 운영 중단’을 가장 우려했으며, 브랜드 또는 평판 훼손과 생산성에 영향을 미치는 운영 중단, 물리적 안전을 위험하게 하는 운영 중단 등을 그 다음으로 꼽았다.
이러한 위협 때문인지 전체 응답자의 83%가 OT 인프라 보안 예산이 높아졌다(상당히 상승 27%+다소 상승 56%)고 대답했다. 문제는 OT 보안에 대한 인식에서 발생했다. 우선 OT 인프라 보안 예산의 책임자에 대해 묻자 최고정보책임자 31%, 최고정보보안책임자 21%, 최고기술책임자13%, 최고재무책임자 11%, 최고운영책임자 9%, 운영/제조팀 7% 등 제각각인 것으로 나타났다. 설문조사에 참여한 대부분의 기업들이 연간 매출 10억~100억 달러(한화 약 1조~11조) 수준인 대기업들임에도 불구하고, 보안 책임자에 대한 통일성이 없었다는 점이다.
이는 OT 보안 책임자를 묻는 질문에서도 찾아볼 수 있었다. OT 운영의 IT 책임자를 시작으로 최고정보책임자, IT/OT아키텍트/보안 아키텍트, 최고정보보안책임자, 최고기술책임자, 사업부 리더 등 수많은 담당자가 언급됐다. 이는 책임소재에서도 문제로 나온다. 조직 내에서 OT 보안 현황과 보안 표준 준수사항을 보고하는 대상에 대한 질문 역시 그 대답이 각양각색이었다.
보고서는 제조업체들이 새로운 생산환경 변화에 따른 사이버보안의 영향을 관리해야 한다면서, 이는 침해사고 발생시 상당한 비용이 발생하는 것은 물론 운영 및 재정 안정성과 평판까지 위험에 처할 수 있다고 지적했다. 아울러 효과적으로 IT와 OT를 융합시켜 해결책을 찾아야할 것이라고 강조했다.
이처럼 이제 OT/ICS 환경은 다양한 사이버 위협을 맞이하고 있으며, 단순히 OT/ICS 보안 솔루션만으로는 완전하게 보안을 담보할 수 없게 됐다. 이 때문에 현장에 알맞은 OT/ICS 보안 솔루션을 구축하는 한편, 이미 활성화된 OT/ICS용 IT 보안 솔루션을 함께 적용하는 것이 필요하다. 무엇보다 OT/ICS 환경에서 보안을 총괄할 책임자와 담당자, 담당부서를 명확하게 하고 보안업무를 맡겨야 하는 숙제가 남았다.
[한드림넷의 화이트리스트 보안스위치 ‘SubGATE 5000 시리즈’]
산업 자동화 제어 시스템, SCADA 네트워크에 이더넷 구간암호화 및 화이트리스트 기술로 보안 최적화
한드림넷은 세계 최초로 엑세스 레벨 네트워크 보안스위치를 개발한 네트워크 보안스위치 선두기업으로 강력하고 독보적인 보안엔진인 MDS(Multi Dimension Security) 기술을 바탕으로 차세대 네트워크 보안 솔루션을 제공하고 있다. 한드림넷의 화이트리스트 보안스위치 ‘서브게이트 5000 시리즈(SubGate5000 Series)’는 내부 사용자 또는 단말의 권한에 따라 통신 경로(WhiteList)를 제한하여 허용된 경로 외 모든 통신을 차단하여 보안 위협을 예방할 수 있다.
화이트리스트 보안은 ‘안전’이 증명된 것만을 허용하는 통신 방법으로 폐쇄망, 산업제어 설비망, 보안망 등에 활용될 수 있다. 최근 폐쇄망에서 발생하는 보안사고의 주요 특징은 외부 침입으로 인한 사고보다는 내부 사용자로 인한 정보 유출 및 보안 위협이 증가하고 있다는 것을 볼 수 있다. 폐쇄망의 특성상 외부 침입이 어렵기 때문에 네트워크에 접근이 허용된 내부 사용자를 활용하여 보안위협을 가하고 있는 것이다. 이러한 부분을 예방하기 위해서는 내부 네트워크 접근이 허가된 사용자라 하더라도 권한에 따라 접근할 수 있는 시스템과 통신 경로에 통제가 이루어져야 하고, 사용자의 권한 또는 업무 유형에 따라 접근할 수 있는 시스템은 엄격하게 구분되어야 한다.
하지만 현재 네트워크 구성에서는 사용자 또는 서비스 프로토콜에 따라 네트워크 경로를 제어할 수 있는 방법이 없다. 어떤 형태로든 네트워크 접근 허가를 받는다면 내부에 있는 모든 시스템과 서버에 접속을 할 수 있기 때문이다. 사용자의 업무 형태와 분류에 따라 접근할 수 있는 시스템과 접근할 수 없는 시스템을 구분하고 통신할 수 있는 서비스 프로토콜을 규정하여 화이트리스트(Whitelist)로 등록하고 제어해야만 내부 사용자로 인한 정보 유출과 보안 위협을 최소화 할 수 있다.
SCADA, 산업용 네트워크 환경에 최적화된 보안 기술 제공
화이트리스트 보안스위치는 산업용 이더넷 구간 암호화를 통해 제어 시스템 운영정보, 제어명령 등 모든 전송 데이터의 위·변조를 방지하여 데이터의 기밀성과 무결성을 보장할 수 있다. 또한, 화이트리스트 기반의 트래픽 제어로 네트워크를 용도에 따라 세분화하고 접근제어를 수행해 제어시스템 운영에 필요한 네트워크 및 시스템 간의 접근이 허용된 통신만 가능하게 한다. 또한, 행위기반의 유해트래픽 차단으로 별도의 업데이트 없이 이상 트래픽을 실시간 탐지·차단해 이상 트래픽으로 인한 보안위협과 장애를 예방할 수 있다.
네트워크 및 중요 설비에 대한 가시성 제공
Modbus를 이용한 네트워크 실시간 현황 파악과 네트워크 보안 위협 감지 및 알림이 제공되어 기 운용중인 관리 화면을 통해 네트워크의 주요 정보를 통합적으로 확인할 수 있는 즉각적인 가시성을 제공한다. 네트워크 스위치 기반의 IP 관리 및 접근 제어로 네트워크 접근제어 기능을 제공함으로써 제어시스템의 네트워크에 비인가 단말의 접근을 차단할 수 있으며, 이를 통해 주요 전송 데이터에 대한 보호와 정보 유출을 방지할 수 있다. 또한, 내부 네트워크 외에 원격지 네트워크에도 동일한 보안 정책을 적용해 단말의 이동, 부서 이동 등 다양한 환경 변화에서도 일관된 보안정책을 유지할 수 있다.
한드림넷, 산업용 네트워크 보안 포트폴리오 통한 완벽한 내부 보안체계 구축
화이트리스트 보안스위치는 국제 표준의 ERPS를 준수하여 네트워크 장애시 신속한 복구를 통해 서비스 연속성을 제공하고, 접속기기 장애에 대한 실시간 모니터링과 신속한 대처는 물론 보안 위협으로부터 접속 기기들을 보호해, 안정적인 네트워크 서비스 환경 구축이 가능하다. 또한, 한드림넷은 화이트리스트 보안스위치 외에도 산업용 보안스위치(ISG2000 Series)와 고성능 네트워크 이중화 시스템(AFOS) 등 산업용 네트워크 보안 포트폴리오를 갖추고 있어 에이전트 없이, 기기의 종류 제한 없이 OT 네트워크를 효과적으로 보호하여 제조 설비의 센서, CCTV 카메라 등 산업환경의 엔드포인트 단에서 발생한 공격이 코어망 및 외부까지 잠입하고 확산되는 것을 막아 강력한 네트워크 보안 효과를 누릴 수 있다.
[원병철 기자(boanone@boannews.com)]
출처 : https://www.boannews.com/media/view.asp?idx=93087
OT/ICS 분야에서의 핵심, 안전한 ‘네트워크 연결’ 위한 보안스위치의 중요성
산업용 네트워크 환경에 최적화된 한드림넷의 화이트리스트 보안스위치 ‘서브게이트 5000 시리즈’ 리뷰
[보안뉴스 원병철 기자] 최근 한 유럽의 대형 생산시설에서 랜섬웨어에 감염돼 큰 피해를 입은 사건이 알려졌다. 해당 생산시설은 처음에는 공격자에게 돈을 주고 감염된 설비를 풀려고 했지만, 공격자들이 몸값을 올리면서 상황이 바뀌게 됐다. 한 보안기업에 해당 사건을 맡긴 것. 보안기업은 빠르게 피해 기업을 방문한 후, 기계들의 설정 파일과 설정 상태를 점검하고 로그파일과 이벤트 로그를 검사했다. 아울러 공격자들이 사용한 도구와 침해지표를 정리했다. 사건 자체의 가시성을 확보한 것이다.
[이미지=utoimage]
이후 보안기업은 네트워크의 일부가 방화벽이 아닌 NIC(네트워크 인터페이스 카드)로 연결된 것을 확인했고, 이를 통해 공격이 시작된 것을 알게 됐다. 물론 피해기업은 NIC 사용을 전혀 몰랐다. 조사를 진행했던 보안기업은 네트워크에 있는 거의 모든 시스템과 통신하는 주 제어 장치 등을 조사해 네트워크의 실제적인 지형도를 파악했다. 최초의 공격이 어디서 시작됐고, 어떤 장비들이 감염됐으며, 감염된 장비는 어떤 장비에 연결됐는지 등을 확인하고 대응하기 위해서였다. 해당 사건은 OT/ICS 분야에서 ‘가시성 확보’의 중요성을 보여주는 샘플이라 할 수 있다. 아울러 또 한 가지 중요한 점을 시사하는데, 바로 네트워크 연결이다.
OT 혹은 ICS 분야에서 크게 착각하고 있는 것 중 하나가 바로 공장 내부는 무조건 ‘폐쇄망’이라고 믿고 있는 것이다. 이 때문에 공장에서만큼은 사이버보안에 대해 크게 신경 쓸 이유가 없다는 생각을 갖고 있고, 이로 인해 사이버보안 담당자를 두거나, 사이버보안 솔루션을 구입할 생각을 전혀 하지 않는다.
하지만 ‘공장=폐쇄망’이라는 생각은 크게 2가지 문제를 갖고 있다. 첫째는 공장은 폐쇄망이 아니며, 둘째는 설령 진짜 폐쇄망일지라도 스마트폰이나 USB 등 외부에서 들어온 장비가 바이러스에 감염됐을 경우에는 감염이 될 수밖에 없다는 사실이다.
우선 공장은 폐쇄망이 아니다. 과거 공장 장비들은 대부분 시리얼 통신 프로토콜을 이용해 서로 연결됐다. 물론 아직도 현장에서는 이러한 시리얼 통신(Modbus)을 이용하는 장비가 실제 구동되고 있다. 하지만 최근 나오는 장비들은 TCP/IP를 이용하며, TCP/IP는 우리가 흔히 ‘랜선(LAN Cable)’이라 부르는 연결 방식을 이용한다. 쉽게 설명하면 랜선을 통해 장비들을 연결한다는 얘기다. 게다가 시리얼 방식 장비와 TCP/IP 방식 장비를 혼용하게 되면서, 둘을 서로 연결해주는 ‘프로토콜 변환기’를 사용하고 있다. 외부 인터넷과 연결될 수 있는 상황이 된 것이다.
두 번째, 공장에는 직원들도 잘 모르는 외부인이 생각보다 많이 오간다. 특히, 공장의 규모가 크면 클수록 더욱 그렇다. 정규직 외에 하청업체 직원들도 많고, 장비의 관리를 위한 서비스 업체 직원도 많다. 이로 인해 통일된 작업복이나 명찰이 없다면 누가 누구인지 확인조차 어렵다. 이런 상황에서 누가 노트북이나 USB를 공장 장비에 연결할 경우 그냥 그렇게 넘어갈 가능성이 높다. 누가 악의적인 목적으로 바이러스를 심어도, 혹은 자기도 모르게 바이러스에 감염된 노트북을 연결해 장비를 감염시켜도 아무도 모른다는 말이다.
보안스위치를 활용해 공장 내부망 보호하기
공장이 폐쇄망이 아니라는 사실을 인정했다면, 당연히 보안을 위한 최소한의 조취를 취해야 한다. 특히, 대부분의 장비들이 TCP/IP로 연결되어 있는 상황에서 무엇보다 네트워크 보안을 먼저 챙기는 것이 필요하다. 보통 OT/ICT 환경에서 5단계의 레벨(Level 0~Level 4) 중 0에서 3레벨까지 OT 영역으로 보고, 3.5레벨 혹은 4레벨은 IT 영역으로 보는데, 레벨 0부터 모든 장비들이 TCP/IP로 네트워크에 연결된 만큼 모든 단계에서 보안을 생각해야 한다는 말이다.
그렇다면 OT/ICS 환경에서 네트워크 보안을 강화할 수 있는 장비는 어떤 것들이 있을까? 가장 기본적인 것이 바로 네트워크 스위치(Network Switch)다. 사실 네트워크 스위치는 보안 기능은 없이 단순히 장비와 장비 간 네트워크만 연결해주는 장치다. 다만 포트별로 맥(MAC) 주소를 생성하기 때문에 정해진 기기에만 네트워크를 전송한다. 쉽게 설명하면 스위치에 총 4개의 밸브가 연결되어 있는데, 그중 첫 번째 밸브만 열라고 명령할 수 있다는 거다. 스위치와 혼동하기 쉬운 라우터나 허브는 이게 안 된다.
앞서 설명한 것처럼 최근 공장에 장비들이 TCP/IP를 지원하기 때문에 이 스위치를 이용해 장비를 연결하는 곳이 많다. 즉, 많은 공장들이 스위치를 사용하고 있다는 말이다. 실제로 업계에서는 기존 산업용 통신시장의 규모가 늘어날 정도로 OT/ICS 환경에서의 TCP/IP 네트워크 사용이 증가했다고 보고 있다.
참고로 산업 현장은 일반 IT 환경과는 달리 척박한 환경이 많기 때문에 일반 스위치는 사용이 어려우며, 온습도와 방진방폭 등의 기능을 강화한 ‘산업용 스위치’를 많이 사용한다. 그런데 스위치에 외부 환경뿐만 아니라 ‘보안’을 강화하기 위한 제품이 있다. 바로 ‘보안스위치’다. 보안스위치는 전용 보안엔진을 탑재해 각종 보안이슈로부터 내부 장비를 보호한다. 특히, 네트워크를 통해 외부에서 들어오는 공격을 방화벽과 UTM 등의 보안장비가 방어한다면, 보안스위치는 내부에서 들어오는 공격, 예를 들면 프로그램 업데이트를 위해 외부 직원이 들고 온 노트북이나 USB에 숨겨진 바이러스를 상위의 서버나 콘트롤러 혹은 네트워크가 연결된 또 다른 장비 등에 전파되지 않도록 한다.
특히, 보안스위치는 허가받은 단말에 대해 선택적 서비스만 사용할 수 있도록 할 수 있다. 예를 들어, 네트워크 상단의 클라우드, 파일서버, 웹, 그룹웨어 등이 연결되어 있을 때 총무팀 직원의 PC는 클라우드를 제외한 파일서버와 웹, 그룹웨어에 접속할 수 있도록 하고, 외부 용역의 PC는 오직 웹만 접속할 수 있도록 함으로써 혹시나 발생할 수 있는 내부 감염 등을 막을 수 있다.
세계 최초로 보안스위치라는 용어를 사용한 보안기업 한드림넷은 화이트리스트 기반의 보안스위치로 최근 OT/ICS 분야에서 의미 있는 성과를 거뒀다. 한드림넷은 보안스위치를 통해 유해트래픽 차단과 네트워크 장애 예방, 네트워크 가시성 확보와 내부 단말의 통신 경로 제어 등을 해결할 수 있다고 설명했다. 특히, OS 구분 없이 IP를 사용하는 모든 디바이스를 제어할 수 있고, 별도의 Probe와 Agent 없이 네트워크 스위치에서 통신 차단과 제어가 가능하다. 실제로 한드림넷은 국내 공공분야 OT/ICS 환경에 보안스위치를 성공적으로 구축한 것으로 알려졌다.
▲일반 스위치와 보안스위치의 차이[자료=한드림넷]
OT/ICS 보안 솔루션에 방화벽과 UTM 더하기
지금까지 내부에서 발생할 수 있는 문제에 대해 살펴봤다면 이제 외부에서 침입할 수 있는 문제에 대한 해결책을 찾아보자. OT/ICS 환경에서 외부 네트워크를 통해 사이버공격 등이 들어올 경우 이에 대응할 수 있는 방법은 크게 2가지다. 첫 번째는 방화벽과 UTM 등 보안솔루션을 통해 외부의 공격을 막는 방법이고, 두 번째는 망분리 솔루션을 통해 아예 외부와 단절을 하는 방법이다.
방화벽과 UTM(통합 위협 관리, Unified Threat Management)을 이용한 방법은 사이버보안의 전통적인 분야로, OT/ICS 환경에서 영업하는 기업도 포티넷과 시스코 등 대표적인 글로벌 보안기업이다. 포티넷은 스위치와 방화벽, UTM으로 이어지는 네트워크 보안장비를 통
해 통합 보안을 제공한다. 여기에 2019년 인수한 보안 오케스트레이션 자동화 대응(SOAR) 기업 ‘사이버스폰스(CyberSponse)’와 엔드포인트 전문 보안기업 ‘엔실로(Ensilo)’ 등이 OT/ICS 환경 전반의 보안을 이야기하고 있다.
또 다른 글로벌 기업인 시스코는 조금 다른 그림을 그리고 있다. 네트워크 스위치에서 데이터를 복사(미러링)한 후 트래픽 모니터링을 통해 가시성 및 보안위협 상황을 제공하는 한편, 전체 네트워크 트래픽 상황 정보에 대한 실시간 정보를 제공한다. 특히, 스위치를 센서 역할로 활용하는데 기존에 설치된 스위치가 있을 경우 별도의 전용 장비를 사용해 스위치로부터 정보를 받아 활용한다.
방화벽과 UTM은 네트워크 최상단에서 외부 위협으로부터 장비들을 보호하는 보안 솔루션이다. 방화벽(Firewall)은 내·외부에서 인가받지 않은 접근을 막아 주고, UTM은 외부침입을 탐지하고 막아주는 기능을 갖고 있다. 두 제품은 분명 다른 제품이지만, 설명이 비슷한 것처럼 실제 하는 일도 비슷해 가트너 매직쿼드런트에서는 UTM 항목을 없애고 차세대 방화벽으로 통합해 버렸다.
네트워크 분야에서 방화벽은 가장 기본적인 보안제품이면서 전체를 아우르는 제품으로 자리 잡았다. 네트워크와 환경이 발전하고 공격자들의 공격이 다양화·첨단화되면서 이에 대한 방어체계 역시 다양해질 수밖에 없었다. 방화벽은 각 브랜드별로 지원하는 기능이 조금씩 다르기는 하지만, ①애플리케이션을 제어하고 ②사용자를 제어하는 한편, ③새로운 위협에 대응할 수 있는 기능을 강화하면서 ‘차세대 방화벽’으로 성장하기 시작했다. 처음 차세대 방화벽이란 용어를 사용하기 시작한 가트너 역시 기존의 IP 주소와 프로토콜, 포트 기반의 제어는 위협 탐지 및 방어에 한계가 생길 수 있기 때문에 ‘애플리케이션’ 레벨에서 ‘사용자’ 단위로 ‘콘텐츠’를 제어해야 한다고 설명했다.
예를 들면, 방화벽은 IP 주소로 출발지와 목적지를 구분했다. 문제는 IP 주소로 구분할 경우 사용자(공격자)가 이동하면 구분할 수 없다는 점이다. 또한, 기업 입장에서는 같은 포트를 이용하는 애플리케이션을 구분해서 차단하는 것이 필요해졌다. 마치 업무에 사용하는 소셜미디어(SNS)는 풀어주고 사용하지 않는 SNS는 차단하는 것처럼 말이다. 즉, IP에서 사용자 ID 중심으로 바뀌는 중이라고 업계에서는 설명했다.
물론 이러한 움직임은 방화벽뿐만이 아니었다. 2003년 창궐한 웜 바이러스에 대응하기 위해 등장한 침입방지 시스템(IPS: Intrusion Prevention Systems)은 이후 애플리케이션 컨트롤 기능과 웹 필터, APT 등 다른 방어기능들을 추가하면서 차세대 IPS(NGIPS)로 성장했다. 통합위협관리(UTM) 역시 다양한 보안기능을 강화하고 통합해주는 편의성에서 높은 평가를 받으며 차세대 네트워크 보안제품으로 인정받았다.
미국 국립표준연구소(NIST)에서 발행한 ‘산업제어시스템(ICS) 보안 가이드(NIST 800-82)’에 따르면 업무 네트워크와 제어 네트워크 사이에는 경계네트워크(DMZ) 구간을 만들도록 하고 있다. DMZ 구간에는 데이터 이력 관리 장치(Fata Historians)와 데이터 서버 등을 두고 이를 방화벽과 연결해 업무 네트워크와 제어 네트워크의 사이에서 구역 간에 포워딩되는 트래픽 유형을 지정할 수 있다.
▲업무 네트워크와 제어 네트워크 사이의 DMZ와 방화벽[자료=NIST 800-82]
방화벽 업무 네트워크에서 오는 임의적인 패킷이 제어 네트워크로 유입되는 것을 차단할 수 있으며, 제어 네트워크를 포함한 기타 네트워크 구역에서 오는 트래픽을 조절할 수 있다. 잘 계획된 룰셋을 사용하는 경우 업무 네트워크와 제어 네트워크 사이를 직접 통과하는 트래픽이 거의 또는 전혀 없이 제어 네트워크와 기타 네트워크 사이를 명확하게 분리된 상태로 유지할 수 있다.
문제는 업무 편의를 위해 DMZ 구간을 임의로 연결하거나 테더링 등 다른 방법으로 네트워크를 연결하는 일이 많다는 사실이다. 게다가 앞서 설명한 것처럼 DMZ가 있더라도 레벨 1~2단계에서 외부 노트북이나 USB 등을 연결하다 바이러스에 감염될 경우 DMZ가 있어도 소용이 없다.
이 때문에 포티넷과 같은 전통적인 사이버보안 기업은 OT 얼라이언스 파트너십을 맺고 관련 기업과의 협업을 강조하기도 한다. 즉, OT/ICS 환경의 전체적인 보안을 위해서는 OT/ICS 보안과 IT 보안의 협업이 이뤄져야 한다는 얘기다. 실제로 현장에서는 GE와 지멘스 같은 OT/ICS 전문기업은 물론 노조미와 클래로티 같은 OT/ICS 보안 전문기업, 그리고 전통의 사이버보안 기업들이 서로간 협업을 통해 전체를 아우를 수 있는 보안을 구축하고 있다.
아직도 OT/ICS 현장에서는 보안 책임자가 명확하지 않아
지금까지 본지는 3회에 걸쳐 OT/ICS 보안에 대해 집중 취재했다. 1회에서는 현재 OT/ICS 보안의 현재를 진단하고, 컨설팅 입장에서 가장 선행되어야 할 보안에 대해 살펴봤고, 2회에서는 대형 공장과 기반시설을 중심으로 적용되고 있는 OT/ICS 보안 솔루션에 대해 알아봤다. 그리고 이번 3회에서는 사이버보안 관점에서 OT/ICS에 적용할 수 있는 보안 솔루션에 대해 이야기했다.
그런데 실제 OT/ICS 환경에서는 보안에 대해 어떻게 판단하고 있을까? 포티넷이 후원하고 MAPI가 조사한 보고서 ‘기반시설·제조분야 운영기술(OT) 인프라를 보호하는 방법’에 따르면 제조분야의 리더 기업들은 비즈니스 관점에서 OT 사이버보안 위험은 다른 비즈니스 위험에 비해 5위 이내(응답자 61%)라고 대답했다. 특히, 이들은 OT 환경의 보안문제 중 ‘매출에 영향을 미치는 운영 중단’을 가장 우려했으며, 브랜드 또는 평판 훼손과 생산성에 영향을 미치는 운영 중단, 물리적 안전을 위험하게 하는 운영 중단 등을 그 다음으로 꼽았다.
이러한 위협 때문인지 전체 응답자의 83%가 OT 인프라 보안 예산이 높아졌다(상당히 상승 27%+다소 상승 56%)고 대답했다. 문제는 OT 보안에 대한 인식에서 발생했다. 우선 OT 인프라 보안 예산의 책임자에 대해 묻자 최고정보책임자 31%, 최고정보보안책임자 21%, 최고기술책임자13%, 최고재무책임자 11%, 최고운영책임자 9%, 운영/제조팀 7% 등 제각각인 것으로 나타났다. 설문조사에 참여한 대부분의 기업들이 연간 매출 10억~100억 달러(한화 약 1조~11조) 수준인 대기업들임에도 불구하고, 보안 책임자에 대한 통일성이 없었다는 점이다.
이는 OT 보안 책임자를 묻는 질문에서도 찾아볼 수 있었다. OT 운영의 IT 책임자를 시작으로 최고정보책임자, IT/OT아키텍트/보안 아키텍트, 최고정보보안책임자, 최고기술책임자, 사업부 리더 등 수많은 담당자가 언급됐다. 이는 책임소재에서도 문제로 나온다. 조직 내에서 OT 보안 현황과 보안 표준 준수사항을 보고하는 대상에 대한 질문 역시 그 대답이 각양각색이었다.
보고서는 제조업체들이 새로운 생산환경 변화에 따른 사이버보안의 영향을 관리해야 한다면서, 이는 침해사고 발생시 상당한 비용이 발생하는 것은 물론 운영 및 재정 안정성과 평판까지 위험에 처할 수 있다고 지적했다. 아울러 효과적으로 IT와 OT를 융합시켜 해결책을 찾아야할 것이라고 강조했다.
이처럼 이제 OT/ICS 환경은 다양한 사이버 위협을 맞이하고 있으며, 단순히 OT/ICS 보안 솔루션만으로는 완전하게 보안을 담보할 수 없게 됐다. 이 때문에 현장에 알맞은 OT/ICS 보안 솔루션을 구축하는 한편, 이미 활성화된 OT/ICS용 IT 보안 솔루션을 함께 적용하는 것이 필요하다. 무엇보다 OT/ICS 환경에서 보안을 총괄할 책임자와 담당자, 담당부서를 명확하게 하고 보안업무를 맡겨야 하는 숙제가 남았다.
[자료=한드림넷]
[한드림넷의 화이트리스트 보안스위치 ‘SubGATE 5000 시리즈’]
산업 자동화 제어 시스템, SCADA 네트워크에 이더넷 구간암호화 및 화이트리스트 기술로 보안 최적화
한드림넷은 세계 최초로 엑세스 레벨 네트워크 보안스위치를 개발한 네트워크 보안스위치 선두기업으로 강력하고 독보적인 보안엔진인 MDS(Multi Dimension Security) 기술을 바탕으로 차세대 네트워크 보안 솔루션을 제공하고 있다. 한드림넷의 화이트리스트 보안스위치 ‘서브게이트 5000 시리즈(SubGate5000 Series)’는 내부 사용자 또는 단말의 권한에 따라 통신 경로(WhiteList)를 제한하여 허용된 경로 외 모든 통신을 차단하여 보안 위협을 예방할 수 있다.
화이트리스트 보안은 ‘안전’이 증명된 것만을 허용하는 통신 방법으로 폐쇄망, 산업제어 설비망, 보안망 등에 활용될 수 있다. 최근 폐쇄망에서 발생하는 보안사고의 주요 특징은 외부 침입으로 인한 사고보다는 내부 사용자로 인한 정보 유출 및 보안 위협이 증가하고 있다는 것을 볼 수 있다. 폐쇄망의 특성상 외부 침입이 어렵기 때문에 네트워크에 접근이 허용된 내부 사용자를 활용하여 보안위협을 가하고 있는 것이다. 이러한 부분을 예방하기 위해서는 내부 네트워크 접근이 허가된 사용자라 하더라도 권한에 따라 접근할 수 있는 시스템과 통신 경로에 통제가 이루어져야 하고, 사용자의 권한 또는 업무 유형에 따라 접근할 수 있는 시스템은 엄격하게 구분되어야 한다.
하지만 현재 네트워크 구성에서는 사용자 또는 서비스 프로토콜에 따라 네트워크 경로를 제어할 수 있는 방법이 없다. 어떤 형태로든 네트워크 접근 허가를 받는다면 내부에 있는 모든 시스템과 서버에 접속을 할 수 있기 때문이다. 사용자의 업무 형태와 분류에 따라 접근할 수 있는 시스템과 접근할 수 없는 시스템을 구분하고 통신할 수 있는 서비스 프로토콜을 규정하여 화이트리스트(Whitelist)로 등록하고 제어해야만 내부 사용자로 인한 정보 유출과 보안 위협을 최소화 할 수 있다.
SCADA, 산업용 네트워크 환경에 최적화된 보안 기술 제공
화이트리스트 보안스위치는 산업용 이더넷 구간 암호화를 통해 제어 시스템 운영정보, 제어명령 등 모든 전송 데이터의 위·변조를 방지하여 데이터의 기밀성과 무결성을 보장할 수 있다. 또한, 화이트리스트 기반의 트래픽 제어로 네트워크를 용도에 따라 세분화하고 접근제어를 수행해 제어시스템 운영에 필요한 네트워크 및 시스템 간의 접근이 허용된 통신만 가능하게 한다. 또한, 행위기반의 유해트래픽 차단으로 별도의 업데이트 없이 이상 트래픽을 실시간 탐지·차단해 이상 트래픽으로 인한 보안위협과 장애를 예방할 수 있다.
네트워크 및 중요 설비에 대한 가시성 제공
Modbus를 이용한 네트워크 실시간 현황 파악과 네트워크 보안 위협 감지 및 알림이 제공되어 기 운용중인 관리 화면을 통해 네트워크의 주요 정보를 통합적으로 확인할 수 있는 즉각적인 가시성을 제공한다. 네트워크 스위치 기반의 IP 관리 및 접근 제어로 네트워크 접근제어 기능을 제공함으로써 제어시스템의 네트워크에 비인가 단말의 접근을 차단할 수 있으며, 이를 통해 주요 전송 데이터에 대한 보호와 정보 유출을 방지할 수 있다. 또한, 내부 네트워크 외에 원격지 네트워크에도 동일한 보안 정책을 적용해 단말의 이동, 부서 이동 등 다양한 환경 변화에서도 일관된 보안정책을 유지할 수 있다.
한드림넷, 산업용 네트워크 보안 포트폴리오 통한 완벽한 내부 보안체계 구축
화이트리스트 보안스위치는 국제 표준의 ERPS를 준수하여 네트워크 장애시 신속한 복구를 통해 서비스 연속성을 제공하고, 접속기기 장애에 대한 실시간 모니터링과 신속한 대처는 물론 보안 위협으로부터 접속 기기들을 보호해, 안정적인 네트워크 서비스 환경 구축이 가능하다. 또한, 한드림넷은 화이트리스트 보안스위치 외에도 산업용 보안스위치(ISG2000 Series)와 고성능 네트워크 이중화 시스템(AFOS) 등 산업용 네트워크 보안 포트폴리오를 갖추고 있어 에이전트 없이, 기기의 종류 제한 없이 OT 네트워크를 효과적으로 보호하여 제조 설비의 센서, CCTV 카메라 등 산업환경의 엔드포인트 단에서 발생한 공격이 코어망 및 외부까지 잠입하고 확산되는 것을 막아 강력한 네트워크 보안 효과를 누릴 수 있다.
[원병철 기자(boanone@boannews.com)]
출처 : https://www.boannews.com/media/view.asp?idx=93087
하단영역
본사 : 강원특별자치도 원주시 시청로 553 글로벌빌딩 3층 (Tel 033-762-4500 Fax 033-762-4502)
서울지사 : 서울시 강서구 등촌동 628-9, 7층(더스카이밸리 5차 지식산업센터) (Tel 02-782-7100 Fax 02-782-7107)
대전지사 : 대전시 서구 남선로 65, 2층(탄방동) (Tel 1899-2520)
사업자등록번호 : 107-87-14164 Tel : 1899-2520 E-mail : sh_sales@shcns.co.kr
Copyright © (주)신화씨엔에스 Co., Ltd. All Rights Reserved.