엔드포인트부터 네트워크까지 중단없는 보안 환경 구성 지원
[데이터넷] “사이버 물리 시스템(CPS)은 퍼즐조각과 같이 다양한 기술과 디바이스가 얽혀있다. 각각의 퍼즐 조각이 취약점을 갖고 있으며, 이를 감염시키면 전체 OT에 피해를 입힐 수 있다. 그러나 딱 맞춰 설계된 퍼즐에 보안을 추가하는 것은 매우 어려운 일이다.”
황재훈 안랩 융합제품서비스기획팀 부장은 ‘OT & ICS 보안 인사이트 2024’에서 CPS 보안을 퍼즐에 비유하면서 OT 보안문제를 해결하기 어려운 현실을 지적했다.
제조업 타깃 공격, 5년간 3배 늘어
최근 5년간 산업별 보안사고를 분석하면 제조업을 대상으로 한 공격이 2019년 8%에서 2023년 25.7%로 3배 이상 늘었으며, 에너지 산업은 6%에서 11%, 헬스케어 3%에서 6.3%로 2배 증가했다. 연도별로 살펴보면 2017년까지 오일, 가스, 기반시설 대상 APT 공격이 주를 이뤘으며, 이후에는 제조, 운송 등 여러 산업군을 대상으로 한 금전·정치적 목적의 공격이 등장했다.
이칸스(EKANS) 랜섬웨어의 경우, IT와 OT를 동시에 노렸는데, 설비 운영을 위한 다양한 프로세스를 종료할 수 있는 ICS 취약점을 직접 이용해 공격, 제조 설비 운영에 장애를 일으켰다. 우크라이나 전력시설을 마비시킨 프로스티굽(Frosty Goop)은 라우터 취약점을 이용해 전력망 내부 설비로 접근했으며, 허가되지 않은 명령을 실행해 설비 운영에 장애를 일으켰다.
황재훈 부장은 “전 세계 4만6000개 ICS 기기가 인터넷 환경과 연결되어 있으며, 얼마든지 공격에 악용될 수 있다. 인터넷에 직접 연결된 PLC는 센시스 등 검색엔진에서 쉽게 찾을 수 있으며, PC 제조사, 모델 정보, 사용하는 서비스와 포트 정보까지 알 수 있어 공격자에게 쉬운 먹잇감이 된다”고 말했다.
악성코드 전파 용이한 OT 환경
황재훈 부장은 OT 타깃 공격의 킬체인에 대해 자세히 설명했다. USB, 피싱, 보안 담당자 등을 통해 내부 시스템으로 악성코드가 침투하며, 내부 정보가 공격자에게 전달된다. 공격자는 수집된 정보를 바탕으로 공격코드를 내부망에 주입하고, 공격 코드를 대상 시스템으로 전달해 감염시킨다. 그리고 데이터 유출, 암호화, 설비 중단, 오작동 등의 공격을 실행한다.
OT에는 다양한 보안 취약점이 있다. 지원 종료된 OS와 소프트웨어가 사용되고 있지만, 보안 패치 적용이 매우 어렵다. 자산 가시성이 부족하고, SMB와 같은 보안에 취약한 프로토콜을 사용해 악성코드의 내부 전파가 용이하다. 인터넷 연결 접점이 늘어나면서 악의적인 공격자의 접근이 쉽다.
OT 보안은 풀기 어려운 난제로 가득하지만, 단계적으로 해결해나가면 보안 수준을 끌어올릴 수 있다. 가장 먼저 자산 가시성을 확보하고 취약점을 식별해 조치하는 것이 필요하다. 또한 OT 가용성을 보장하면서 취정밀한 모니터링으로 위협을 식별하고 대응하는 방안을 마련해야 한다.
OT 보안 전문성 내재화한 프레임워크 제공
황 부장은 ‘공포는 무지에서 온다’는 에머슨의 말을 인용하며, 가시성 확보의 중요성을 언급했다. OT 보안을 위해 가장 먼저 해야 할 것은 네트워크에 연결된 다양한 자산을 식별하고 평가하며, 엔드포인트 자산 정보도 파악해야 한다. 또한 엔드포인트 하드닝과 허가된 프로세스만을 수행하도록 해 랜섬웨어·악성코드 등의 보안위협이 작동하지 않도록 한다.
특히 엔드포인트, 네트워크, OT 특화 보안을 함께 고려해야 하는데, 이 세 요소를 한 번에 만족시키는 것이 쉽지 않기 때문에 단게적으로 각 영역의 보안 조치를 취하는 것이 좋다. 안랩은 OT 보안 자회사 나온웍스와 함께 설계한 OT 보안 프레임워크를 제안하면서 단계적인 OT 보안 강화를 돕고 있다.
안랩은 2010년 개발해 지속적으로 고도화해 온 엔드포인트 보안솔루션 EPS와 나온웍스의 OT 가시성 및 보안위협 탐지 솔루션 ‘세레브로 XTD’를 결합해 엔드포인트부터 네트워크까지 빈틈없는 가시성, 위협 탐지를 제공한다.
더불어 보안수준이 높은 망에서 낮은 망으로 데이터를 전송하는 일방향 망연계 솔루션을 통해 OT 망을 보호하면서 효과적으로 운영할 수 있도록 한다. 나온웍스의 일방향 망연계 기술을 기반으로 설계한 ‘안랩 데이터 다이오드’는 모니터링이 필요한 정보를 업무망 복제 서버로 전송해 산업용 데이터베이스에 접근하지 않도록 모니터링 해 외부 접근을 차단하면서 안전한 OT를 운영할 수 있게 한다.
안랩 OT 보안 플랫폼 ICM은 다양한 소스에서 수집한 자산 정보와 이벤트를 종합해 분석하며 모니터링한다. 안랩 위협 인텔리전스와 연동해 탐지된 위협에 대한 심층 정보를 제공해 효율적인 위협 대응이 가능하다.
황 부장은 “OT 보안을 위해서는 엔드포인트, 네트워크, OT 프로토콜에 대한 종합 대응이 필요하다. 각 제품간 유기적인 연동과 통합 모니터링을 통한 협업이 중요하다. 안랩은 OT 보안 전문성이 높은 솔루션과 서비스를 통해 중단없는 IT-OT 보안을 지원한다”고 말했다.
