IT와 OT 환경을 함께 지키는 방법

지난 월간안 6월호에서는 OT의 정의와 구조, 침해 사례와 공격 전개 과정을 살펴보고 OT 보안을 IT 보안과 통합해서 봐야 한다는 사실을 확인했다. 그렇다면, 서로 연결된 IT와 OT 환경을 지키기 위해서는 어떤 보안 전략이 필요할까?

이번 글에서는 OT 보안의 요구사항과 접근 방법, 그리고 안랩과 나온웍스 통합 OT 보안 프레임워크의 역할을 소개한다. 

OT 보안 요구사항 및 접근법 

OT 보안은 기본적으로 ‘식별 > 탐지 > 대응’ 프로세스가 필요하다는 점에서 IT 보안과 다르지 않다. 다만, 최신 OT 보안 위협에 효과적으로 대응하기 위해서는 OT 영역 뿐만 아니라, IT와 OT의 접점, 그리고 IT 영역까지 아우르는 ‘IT & OT 융합보안’ 체계를 갖춰야 한다는 사실을 유념해야 한다. IT & OT 융합보안은 ‘식별 > 탐지 > 대응’ 프로세스에 따라 엔드포인트, 네트워크, ICS 보안까지 두루 갖춰야 한다. 다음은 전체 프로세스와 보안영역 별 요구사항을 정리한 내용이다.

  

 

A. 식별

IT & OT 융합보안에서 ‘식별’이라 함은 운영 중인 자산과 관련 정보에 대한 투명한 ‘가시성’ 확보를 의미한다. OT 환경에서 가시성이 필요한 이유는 효율적인 OT 보안을 위한 근간이 되기 때문이다.  OT망에는 다양한 자산들이 존재하고 사용 연한도 길기 때문에 자산의 위치, 상태, 네트워크 통신 등을 종합적으로 관리하기가 쉽지 않다. 따라서, 각 자산이 정확히 식별되지 않으면, 보안 위협이나 가용성을 침해하는 설비 오동작을 탐지하고 대응하기 어렵다. 

 

가시성의 기준은 자산 관점과 네트워크 관점으로 구분할 수 있다. 자산 관점에서는 제어망의 각종 설비들과 운영망의 다양한 서버나 워크스테이션으로 구분할 수 있고, 네트워크 관점에서는 각 자산 간 맺고 있는 네트워크 세션과 이들이 사용하는 다양한 IT/ICS 애플리케이션 프로토콜을 들 수 있다.

 

OT망의 환경적 특성상 IT 환경보다 자산이나 네트워크의 변화가 빈번하지 않기 때문에 식별된 요소들을 베이스라인으로 삼고 식별되지 않은 보안 위협과 이상 행위를 탐지하면 된다.

 

OT망 네트워크를 기준으로 제어망부터 살펴보면, 자산 종류와 제공 벤더, 소프트웨어 버전 등의 자산 정보와 설비의 산업용 프로토콜 및 트래픽 세션을 모니터링해야 한다. 특히, 혼재되어 있는 서로 다른 산업용 프로토콜을 표준으로 통합해 분석할 수 있는 역량이 필수적이다.

 

운영망으로 넘어가면, 엔드포인트와 네트워크 영역 별로 보안 요구사항이 존재한다. 우선, 엔드포인트 영역에서는 시스템 정보에 대한 가시성을 확보해야 한다. 시스템 정보란 시스템 종류와 제공 벤더, 소프트웨어 버전 등 다양한 정보를 포괄한다. 또한, 공정 전체에 걸쳐 사용 중인 애플리케이션과 프로세스, 그리고 이동식 매체까지 파악이 필요하다. 네트워크 영역은 네트워크 프로토콜과 트래픽 세션에 대한 모니터링이 요구된다. 

 

B. 탐지

식별을 통해 가시성을 확보한 뒤에는 OT 환경에 존재하는 위협 요소와 이상징후를 탐지해야 한다. 

 

먼저, 제어망에서는 ICS 설비 이상징후를 파악해야 한다. 제어 명령 오작동, 설비 장애 여부부터 비인가 프로토콜 및 트래픽 세션 존재 여부를 종합적으로 모니터링해 항상 설비의 안정성을 보장해야 한다. 

 

운영망에서는 일단 엔드포인트 영역에서의 악성코드 탐지가 기본적으로 요구된다. 아울러, 인가되지 않은 애플리케이션과 이동식 매체의 존재 여부를 확인해야 한다. 네트워크 영역에서는 공격자 서버(C&C) IP나 악성 URL, 악성코드 전송, 비인가 트래픽 등의 위협 요소가 있는지 지속적인 탐지가 필요하다. 

 

C. 대응 

마지막으로, 대응은 앞서 식별하고 탐지한 내용을 기반으로 최적의 대응 방안을 모색해 공정에 미치는 영향을 최소화하는 것을 뜻한다. 우선, 제어망 ICS 설비에 대한 위협 대응은 설비의 특수성으로 인해 설비 제조업체에서 지원을 받아야 한다.

 

다만, 운영망에 대해서는 능동적인 위협 대응이 가능하다. 엔드포인트 보안 위협을 탐지했을 경우에는 악성코드 검사와 치료를 진행해 피해를 최소화할 수 있다. 매체 제어와 취약점 패치를 통한 전반적인 보안 강화도 가능하다. 네트워크 보안 위협에 대해서는 기본적으로 ‘세그멘테이션(segmentation)’을 통해 네트워크를 세분화하고 모니터링 및 위협 대응 효율성을 향상시킬 수 있다. 또한, IT와 OT간 망분리를 통해 OT 환경을 보호하고 접근 제어를 강화하는 것도 효과적이다. 

 

위와 같은 단계별 보안 역량을 갖추기 위해 필요한 보안 솔루션들을 간단히 살펴보면, 먼저 엔드포인트 영역에서는 안티멀웨어(Anti-Malware), 화이트리스트 기반 매체 제어 솔루션, 패치 관리 솔루션 등이 필요하다. 네트워크에서는 자산 식별 및 위협 탐지를 위한 침입탐지시스템(IDS)이 기본적으로 요구되며, 대응을 위한 단방향 데이터 전송, 방화벽 및 네트워크 접근 제어(NAC) 솔루션을 갖춰야 한다. 마지막으로, ICS 설비는 다양한 산업용 프로토콜을 표준화해 이상 징후를 분석하는 솔루션이 필요하다.

 

이처럼 여러 구성 요소로 이뤄진 IT & OT 융합 보안을 효과적으로 운영하기 위해서는 각각의 개별 솔루션을 넘어 통합 보안 프레임워크를 기반으로 유기적인 연동과 보안 체계가 요구된다.

 

안랩 통합 OT 보안 프레임워크 정의 및 도입효과 

안랩은 지난 2021년 7월, 통합 OT 보안 수요 확대에 대응하기 위해 산업제어 프로토콜 융합 보안 솔루션 전문기업 나온웍스를 인수했다. 나온웍스는 2017년 OT 프로토콜 표준화를 위한 게이트웨이 솔루션 출시를 시작으로, 특화된 OT 프로토콜 식별 및 분석 기술과 보안 플랫폼, 개방형 아키텍처 기반 엣지 컴퓨팅 플랫폼을 기반으로 OT와 ICS 환경에 특화된 보안 솔루션 ‘세레브로(CEREBRO)’ 시리즈를 공급해왔다.

 

기존 탁월한 IT 보안 역량을 갖춘 안랩은 나온웍스를 인수함으로써 자사의 보안위협 탐지 & 대응 및 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합해 통합 OT 보안 프레임워크를 구축했다. 다음은 OT 환경 계층 별로 안랩 통합 OT 보안 프레임워크 구조를 정리한 것이다. 

  

 

사용자 입장에서 안랩 통합 OT 보안 프레임워크의 가장 큰 가치는 OT 환경 전계층에 걸쳐 ‘식별 > 탐지 > 대응’으로 이어지는 보안 프로세스를 구축할 수 있다는 것이다. 안랩과 나온웍스의 솔루션은 보안 프레임워크 하에서 필요한 역할을 수행하며 시너지를 낸다. 또한, 플랫폼 관점에서 연동을 지속적으로 강화해 사용자의 관리 효율성도 향상시키고 있다. 다음은 안랩 통합 OT 보안 프레임워크 구성 솔루션의 보안 단계 별 역할을 정리한 것이다. 

 

 

간단히 종합하면, 안랩은 엔드포인트와 네트워크 영역에서 OT 환경을 보호하는 다양한 솔루션들을, 나온웍스는 산업용 프로토콜 표준화 및 분석 솔루션과 물리적 단방향 데이터 전송 솔루션을 갖추고 있다. 또한, 양사는 OT 자산과 트래픽을 식별하고 위협을 탐지하는 ‘CEREBRO-IDS’ 솔루션을 공동 개발 중에 있는데, 이는 통합 OT 보안 프레임워크에 깊이를 더해줄 것으로 기대된다. 

 

통합 OT 보안 구성 솔루션들의 역할 

안랩 통합 OT 보안 프레임워크를 구성하는 솔루션들은 구체적으로 어떤 역할을 할까? 위 [그림 5]의 내용을 구성 솔루션 별로 자세히 알아본다. 

 

AhnLab ICM

다양한 보안 솔루션을 운영할 경우, 솔루션이 탐지한 정보와 각종 이벤트를 통합적으로 수집해 모니터링 및 분석하여, 보안 복잡성을 해소하고 효율성을 향상 시켜야 한다. 이 관점에서 AhnLab ICM은 OT 환경 통합 매니지먼트를 제공한다. 

 

 

 

사용자는 직관적인 인터페이스로 시스템 모니터링 및 로그 분석을 진행할 수 있다. 또, 다양한 리포트와 알림 기능을 통해 적합한 조치를 취하고, 관리로 발생되는 총 소유 비용(TCO)을 절감하는 등 보다 효과적으로 시스템을 관리할 수 있다. 현재, 엔드포인트 솔루션인 AhnLab EPS, Xcanner, MDS를 포함하는데, 향후 네트워크와 나온웍스 솔루션까지 범위를 확대할 계획이다.

 

AhnLab EPS

AhnLab EPS는 안랩의 대표적인 OT 엔드포인트 보안 솔루션으로, 국내외 반도체, 디스플레이, 자동차 등 다양한 제조 생산 공장에서 사용되고 있다. AhnLab EPS를 사용하면 우선 웹 기반 관리 시스템을 통해 각각의 설비 시설에 산재되어 있는 시스템을 식별해 효율적으로 통합 관리할 수 있다. 또한, 화이트리스트 기반으로 인가된 프로세스와 매체만 사용을 허용해 OT 환경에 가해질 수 있는 위협을 최소화한다. 관리자 입장에서는 별도의 애플리케이션 허용리스트 생성 작업을 할 필요가 없어 정책 설정 부담 없이 유연하게 관리할 수 있다. 

 

 

악성코드 탐지 및 분석은 EPS 중앙 관리 서버에서 수행해 운영 안정성을 보장한다. 단말 시스템에 설치되는 초경량 에이전트(EPS Agent)와 중앙 모니터링 및 정책 관리 서버(EPS Server)로 구성되는 것이 특징이다. 또한, 윈도우 XP와 같은 구형 운영체제와 다양한 리눅스 배포판 환경 및 임베디드 환경에서도 에이전트 운영을 지원한다.

 

AhnLab Xcanner

OT 환경의 특성 상, 에이전트를 설치할 수 없는 시스템들이 존재한다. 이와 같은 시스템에 대해 비상주형 안티바이러스 솔루션 AhnLab Xcanner를 통해 휴대용으로 악성코드 검사와 치료를 진행할 수 있다. 실시간 대응이 어려운 악성코드 감염 시스템에 대한 보안 조치 필요성이 높아짐에 따라, 관리자가 감염된 시스템을 효과적으로 사후 치료할 수 있도록 지원한다. 

 

 

AhnLab Xcanner는 운영 상황에 맞게 대응할 수 있는 검사 및 치료 옵션을 설정할 수 있으며, 검사 불필요 폴더나 파일에 대한 예외를 둘 수 있어 사용자 입장에서 효율적으로 활용할 수 있다. 또한, 기존 설치된 보안 에이전트 삭제 없이 충돌을 최소화하기 때문에 운영에 대한 부담 없이 검사와 치료를 진행할 수 있다. 

 

AhnLab MDS

최근, 사이버 위협이 지속적으로 고도화되면서 지능형지속위협(Advanced Persistent Threat: APT)과 신/변종 악성코드가 증가하는 추세다. 따라서, 기존 알려진(Known) 악성코드 뿐만 아니라 알려지지 않은(Unknown) 악성코드에 대한 분석과 대응이 필요해졌다.  

 

 

안랩의 샌드박스 기반 APT 대응 솔루션 AhnLab MDS는 생산망 트래픽에 존재하는 파일을 수집해 분석하고, 알려지지 않은 악성코드에 대한 동적 분석을 진행한다. 또한, 공격자의 C&C IP 연결까지 탐지하여 분석하므로 OT망 악성코드 확산 경로, C&C, 취약점 등 다양한 보안 위협에 대한 모니터링과 감염 장비에 대한 치료 및 대응을 제공한다.

 

기존 알려진 악성코드를 탐지해 대응하는 AhnLab EPS와 연계하면, 알려진 혹은 알려지지 않은 악성코드까지 모두 방어가 가능해 종합적인 위협 대응 커버리지를 확대할 수 있다.

 

AhnLab TrusGuard

네트워크 영역에서는 차세대 방화벽 AhnLab TrusGuard가 중추적인 역할을 한다. 우선, OT망 경계에서 유해 트래픽을 탐지해 접근을 차단하고, IPSec/SSL VPN 등 보안 통신과 네트워크 세그멘테이션 등의 기능도 지원한다. 

 

 

 

또한, 나온웍스의 프로토콜 분석 기술을 적용해 OT망 내부에서 산업용 프로토콜을 상세하게 제어할 수 있다. 구체적으로는 Modbus, DNP3 등 프로토콜 별 허용 및 차단 뿐만 아니라 사용하지 않는 명령어 코드도 제어가 가능하다. 

 

CEREBRO-C

나온웍스의 CEREBRO-C는 OT와 ICS 네트워크 통합 관리를 위한 산업용 프로토콜 게이트웨이다. 다양한 설비의 프로토콜을 보안성이 탑재된 OPC-UA, MQTT 등 표준 프로토콜 변환하여 전달함으로써 제어망의 보안을 강화한다. 

 

 

 

CEREBRO-C는 필드버스(Fieldbus), 이더넷(Ethernet) 등 다양한 장치 연결, 상위 시스템 인터페이스 연동, 윈도우/리눅스/컨테이너 멀티 플랫폼 지원 등 탁월한 호환성을 자랑한다. 데이터 수집과 연계 및 현장 통합 관리를 위한 시스템을 구축하거나 신규 설비를 도입하는 경우, 기존 네트워크 구성 변경 없이도 서로 다른 통신 프로토콜로 인한 연동 문제를 해결할 수 있다.

 

CEREBRO-DD

OT 보안에서 중요한 요소 중 하나가 바로 망분리다. 이는 보안 수준이 높은 OT망의 데이터 유출을 막고, 외부망으로부터 악성코드 등 위협 및 접근을 차단하기 위함이다. 하지만 최근 OT와 IT 간 연계의 중요성이 커지면서 분리된 망 간 안전한 데이터 전송에 대한 필요성이 대두되고 있다. 

 

보안 수준이 서로 다른 망 간 데이터 연계를 가능하게 하면서 OT 등 보안 영역으로의 외부 보안 위협을 원천 차단하는 것이 바로 ‘물리적 일방향’이다. 물리적 일방향 보안 솔루션 CEREBRO-DD는 OT에서 IT로의 안전한 데이터 전송 환경을 조성하고, 완벽하게 OT망을 보호한다.

 

 

[그림 10] CEREBRO-DD 개념도 (TX: 송신 서버 / RX: 수신 서버)

 

CEREBRO-DD는 보안 강화를 위해 일방향 통신 구간에 알려지지 않은 프로토콜을 사용한다. 또한, 안랩 V3에 장착된 TS 엔진을 적용해 다각도의 검사를 진행한다. 자료 전송 시 정책 검사, 시그니처 검사, 악성코드 검사를 수행해 데이터의 안정성을 보장한다. 

 

CEREBRO-IDS

마지막으로, 안랩과 나온웍스가 공동 개발 중인 CEREBRO-IDS는 나온웍스의 프로토콜 분석 기술과 안랩의 보안 위협 탐지 기술을 결합한 솔루션이다. OT 프로토콜 분석을 통해 OT망 자산과 네트워크 가시성을 제공하고, 보안 위협을 실시간으로 탐지하여 대응할 수 있도록 가이드 한다. 

 

 

CEREBRO-IDS는 ICS 설비가 있는 Level 1/2 영역과 일반 OT 자산이 있는 Level 3 영역에 기존 설비 네트워크 가용성을 침해하지 않는 ‘미러 모드(Mirror Mode)’로 설치된다. 여러 공정에 다수의 센서를 설치하고 중앙 서버에서 통합적으로 관리하고 모니터링 한다. 이를 통해, ICS 설비와 트래픽을 손쉽게 파악할 수 있고, 비정상적인 제어 명령 등의 이상 행위도 탐지가 가능하다. 

 

결론 

OT 환경의 보안 위협은 날이 갈수록 심화되고 있다. IT 환경에 비해 피해 영향이 크고, 사회적인 문제로 연결되거나 기업에 막대한 손실을 입히기도 한다. 이러한 이유로 OT 보안에 대한 관심이 매년 높아지고 있다. 그러나, 기존 IT 환경과 다른 특성을 가진 OT 환경은 설비의 운영을 멈추고 보안 솔루션을 도입하기가 쉽지 않아, 아직까지는 적극적인 움직임을 취하지 않는 기업들이 많다. 하지만, 매년 OT 보안 사고 발생률이 증가하고 있는만큼, 관망하기 보다는 능동적으로 OT 보안에 대한 고민을 할 때라고 여겨진다.

 

아직은 OT 보안이 기술적으로 생소하고 어렵게 느껴질 수 있다. 만약 그렇다면, 다음 3가지를 꼭 기억해 두길 바란다.

 

#1. OT 환경을 보호하려면, IT 보안도 함께 고려해야 한다. 

OT 환경의 보안위협도 OT 환경과 연결된 IT 환경으로부터 시작되며, OT 영역이 침해당하면 피해가 순식간에 확산된다. IT & OT 융합 보안이 필요한 이유다.

 

#2. OT 보안은 기본적으로 ‘식별 > 탐지 > 대응’ 프로세스가 필요하다.

OT 환경은 자산이나 네트워크의 변경이 적다. 따라서, 자산에 대한 가시성을 확보하고 식별 베이스라인을 통해 보안 위협을 탐지하고, 적절히 대응해 나가는 프로세스가 필요하다. 

 

#3. OT 보안을 위해서는 OT 환경 전 계층을 아우르는 통합 OT 보안 프레임워크가 필요하다. 

IT & OT 융합 보안은 네트워크에 따라 IT망, OT 운영망, OT 제어망으로 나뉜다. 각 계층별 특징에 따라 적절한 보안 대책이 필요하며, 이를 위해 다양한 관점으로 관리적인 부분과 적절한 보안 솔루션들을 고려한 OT 보안 프레임워크를 구성해야 한다. 

 

안랩은 나온웍스와 손잡고 최적의 OT 보안 파트너로서 통합 OT 보안 프레임워크를 계속해서 고도화해 나가고 있다. OT 보안의 중요성이 어느 때보다 부각되고 있는 만큼, 더 많은 기업들이 견고한 보안 체계를 수립해 안전한 비즈니스 환경을 조성하기 바란다.