CPS 환경 전반서 빈틈없는 가시성·위협 탐지·대응 지원
[데이터넷] 안랩의 통합 사이버 물리 시스템 보안 솔루션 ‘안랩 CPS 플러스’는 제조, 정유, 운송 등 다양한 산업의 OT 엔드포인트와 네트워크, 그리고 OT와 연결된 IT 환경까지 폭 넓게 보호하는 통합 CPS 보안 플랫폼이다.
안랩의 위협 탐지·대응 전문성과 OT 기술력을 결합한 CPS 플러스는 엔드포인트와 네트워크 보안 기술을 바탕으로 IT와 OT를 아우르는 CPS 환경에서 ▲식별(가시성) ▲위협 탐지 ▲대응으로 이어지는 빈틈없는 보안을 제공한다. 플랫폼 내에서 유연하게 연동되는 보안 모듈은 CPS 보안 통합 관리 솔루션 ‘안랩 ICM’을 통해 효율적으로 모니터링 및 운영할 수 있다.
안랩 CPS 플러스의 주요 구성 모듈은 다음과 같다.
ICM: CPS 보안 통합 관리를 담당하는 ICM은 연동 모듈의 현황을 파악할 수 있는 대시보드를 통해 CPS 환경 전반의 통합된 가시성을 제공한다. EPS, XTD, MDS 등의 현황과 자산정보 수집, 이벤트 모니터링으로 조치가 필요한 이슈를 실시간으로 확인할 수 있다. 또한 위협 인텔리전스 플랫폼(TIP)과 연동해 CPS 보안 플랫폼에 위협 인텔리전스를 공급한다.
EPS: OT 설비 보안에 최적화된 EPS는 비즈니스 연속성 확보를 위해 불필요한 프로그램, 이동식 매체, 네트워크 접속 등을 차단한다. 또한 설비의 사용 연한이 환경의 특성에 맞게 윈도우, 리눅스, 임베디드 버전 등 다양한 OS에 대해 구형부터 최신 버전까지 운영을 지원한다. 설비 가용성 보장을 위한 초경량 에이전트로 시스템 리소스 소모를 최소화하며, 허용 리스트 기반 통제 적용 시 3단계 Lock 운영 모드를 지원해 정책을 유연하게 적용할 수 있도록 한다.
엑스캐너(Xcanner): OT 전용 휴대용 안티멀웨어 제품으로, OT 시스템에 보안 솔루션을 설치할 필요 없이 악성코드 감염 의심 시스템을 스캔하고 진단·치료한다. 인가된 이동식 디스크에 탑재하거나, EPS 서버에서 EPS 에이전트로 전송해 원격 실행하는 형태로 사용할 수 있다. 검사 및 치료 현황은 EPS 서버에서 모니터링·관리할 수 있다.
XTD: OT망 네트워크 기반 가시성 및 위협 탐지 모듈로, 다양한 OT 망 자산에 대한 가시성을 제공한다. IT망으로부터 유입되거나 OT망 내부 시스템 간 전파되는 악성코드 혹은 취약점 등 보안 위협을 탐지한다.
OT 설비 가용성을 보장하는 패시브 스캔 방식을 사용하며, 자체 개발한 프로토콜 프로파일링 기술과 심층 패킷 분석(DPI) 기능을 바탕으로 다양한 종류의 설비 식별과 비정상 제어 로직에 대한 탐지 및 분석을 제공한다.
OT 엔드포인트 보안 모듈 EPS 연동을 통해 에이전트 기반으로 수집된 디바이스 상세 정보를 결합해, 폭 넓고 상세한 자산 가시성을 제공한다. 두 모듈을 연동하면 OT망 네트워크로 전파되는 보안 위협을 정확하게 탐지하고 대응할 수 있다. EPS 서버의 레스트풀 API 연동으로 엑스캐너 원격 검사를 지원해 일차적으로 네트워크에서 악성코드 전파 또는 취약점 악용 유해 트래픽이 탐지되면, 엔드포인트 영역에 위치한 의심 시스템에 대해서도 다시 한번 악성코드 검사를 실시할 수 있다.
트러스가드(TrusGuard): 차세대 방화벽 트러스가드는 OT망 경계에서 네트워크 접근 제어와 세그멘테이션을 제공한다. 악성 URL과 C&C 접속을 차단하고 IPSec/SSL VPN 등 보안 통신을 지원한다. 또한, OT 프로토콜 분석 기술이 적용돼 OT망 내부에서 산업용 프로토콜을 상세하게 제어할 수 있다. 구체적으로는 모두버스, DNP3 등 프로토콜 별 제어뿐만 아니라 펑션코드까지 식별해 제어할 수 있다.
데이터 다이오드(Data Diode): 보안 수준이 서로 다른 네트워크 간 연결에서 보안 수준이 높은 곳으로의 접근을 강화하기 위해 물리적 일방향 전송을 바탕으로 필요한 데이터만 안전하게 외부로 전송하도록 한다. 전송하는 데이터에 대해 암호화, 전진 오류 수정(FEC), 데이터 송신 오류 제어, 악성코드 검사 등 다양한 기술을 적용해 신뢰도와 안정성을 극대화했다.
또한 IT와 OT 환경을 아우르는 광범위한 프로토콜 지원 기술을 기반으로 다양한 환경에 최적화된 형태로 적용할 수 있다. 각종 IT/OT 프로토콜, CCTV 스트리밍 데이터, 데이터베이스 등 여러 활용 사례를 맞춤형으로 지원한다.
MDS: 네트워크 샌드박스 모듈 MDS는 고도화되는 알려지지 않은 신종 및 변종 악성코드에 대응하기 위해 생산망 트래픽으로 전송되는 파일을 수집해 악성코드 동적 분석을 수행한다. 또한 공격자의 C&C IP 연결, 악성코드 확산, 취약점 등 다양한 보안 위협에 대한 탐지와 모니터링을 기반으로 탁월한 대응 역량을 제공한다.
OT 엔드포인트 보안 모듈 EPS와 연동 시, MDS의 동적 분석 기능을 바탕으로 신종, 변종 및 알려지지 않은 악성코드까지 모두 방어가 가능해 종합적인 위협 대응 커버리지를 확대할 수 있다.
EPP·V3: CPS 환경에서는 OT 보안뿐만 아니라, OT 환경과 연결된 혹은 OT 환경을 관리하는 IT 영역의 보안까지 고려해야 한다. 또한 필수적으로 요구되는 역량은 패치 관리를 통한 취약점 최소화와 안티멀웨어를 통한 강력한 위협차단도 필요하다.
EPP는 안티멀웨어부터 패치 관리까지 다양한 모듈을 유기적으로 연동해, IT 환경에서의 위협이 OT 환경을 침해하는 것을 방지한다. 다수 엔드포인트 시스템에 대해 안정적이고 폭 넓은 패치 관리 기능을 제공해, 엔드포인트를 하드닝한다. 안티멀웨어 모듈(V3)은 AV-TEST 등 글로벌 인증 평가에서 오랜 기간 최상위 수준 진단율을 기록하고 있으며, 검증된 기술력을 바탕으로 세계 최고 수준의 위협 차단 역량을 제공한다.
