실체적 위협 대응 위한 OT 보안

[테크월드=신동윤 기자] OT(Operational Technology)는 운영 기술이라고 보통 얘기하지만, 이는 주로 산업용 기계나 공정의 운영을 위한 기술로 여기에는 ICS를 비롯한 SCADA, PLC, DPC 등의 다양한 기술이 포함돼 있으나, 일반적으로 OT 보안은 ICS 보안을 의미하는 경우가 많다.
ICS(Industrial Control System, 산업 제어 시스템)는 말 그대로 산업용 기기, 즉 공장의 각종 기계류와 공정을 제어하기 위한 시스템을 말한다. 과거 이런 시스템들은 전용 하드웨어에 전용 운영체제, 그리고 전용 소프트웨어를 사용할 뿐 아니라 인터페이스 등을 비롯한 대부분이 전용 규격을 사용하기 때문에 별다른 보안의 필요성을 느끼지 않았다.
이런 기기들은 심지어 네트워크 프로토콜조차 전용을 사용해 왔기 때문에 네트워크 보안은 물론이고 무선이 아닌 유선으로 연결돼 있으며, 인터넷 연결조차 안되는 경우가 대부분이었기 때문에 보안 위협이 상대적으로 적었다.

하지만 이런 ICS조차 인터넷에 연결되는 시대가 다가오면서 IT 영역의 보안 위협이 OT 영역으로 확장되고 있다. 문제는 지금까지 보안에 대한 경각심을 갖지 못하고 있던 OT 영역에서 보안에 대한 대비책을 마련해야 하는 시기가 도래했다는 것이다. 하지만 보안에 대한 경험이 적은 OT 영역에서, 그리고 OT에 대한 경험이 적은 IT 보안 영역에서 서로 OT 보안을 추진하려다 보니, 상호간에 대한 이해의 부족이 두드러지고 있다.

점차 중요도 높아지는 OT 보안
OT는 과거 공장 등 제조업에서 주로 사용되는 용어였지만, 이외에도 요즘은 교통이나 통신, 건물, 심지어 스마트시티와 같은 대규모 인프라 영역까지도 OT의 영역에 포함되고 있다. 또한 이를 위해 지금까지의 유선 연결에서 벗어나 블루투스나 Wi-Fi, LoRa, LTE나 5G 등의 다양한 무선 프로토콜이 사용되고 있으며, 클라우드나 데이터센터, 혹은 주변의 다른 기기와의 연결을 위한 인터넷 연결이 기본이 되고 있다.
여기서 IoT가 문제가 되고 있다. 모든 것이 인터넷에 연결되는 IoT 개념이 산업 분야까지 확장되면서 수많은 산업용 기기들도 인터넷에 연결되고 있다. 바로 IIoT의 등장이다. IIoT의 등장으로 ICS는 물론이고 SCADA(Supervisory Control And Data Acquisition), HMI(Human-Machine Interface) 등도 인터넷으로 연결되고 있다.

이는 효율성과 편의성을 극도로 높여주지만, 반대로 보안 측면의 취약점이 되기도 한다. 단순한 기계 몇 개로 운영되는 소규모 공장이거나, 혹은 작은 건물의 감시 시스템 정도에 그치는 것이 아닌, 대규모 플랜트나 발전소, 수도, 신호등, 철도, 항만, 항공 등 각종 사회 기반 시설물까지 대상이 되기 때문에 인적, 물적으로 엄청난 피해를 유발할 수 있으며, 시민의 안전은 물론이고 국가의 안보에까지 영향을 줄 수 있다.
그리고 실제로 이런 OT를 대상으로 한 공격 또한 점차 증가하고, 악성화되고 있다. 더구나 단순한 재미나 이익을 목적으로 한 공격도 있지만, 테러나 국가 차원의 공격도 심심치 않게 이뤄지고 있다.

암호화와 가시성, IAM 등 다양한 기술로 보안 강화
OT 보안 위협이 실체화되면서 업계에서는 OT, 즉 ICS의 보안성을 강화하기 위해 지속적인 노력을 기울이고 있다. 이런 노력은 시장 조사 전문업체인 마켓앤마켓(Markets and Markets)의 지난 2018년 자료를 보면 쉽게 알 수 있다. 이 조사 결과에 의하면 ICS 보안 시장은 2018년 132억 달러에서 2023년 180.5억 달러로 연평균 6.5%의 높은 성장율을 기록하며 지속적으로 증가할 것으로 예측된다.
ICS 보안 시장은 안티바이러스/안티멀웨어, DDoS, 암호화, 파이어월, IAM(Identity and Access Management), IDS/IPS(Intrusion Detection System/Intrusion Prevention System), 보안 및 취약점 관리, 보안 설정 관리, SIEM(Security Information and Event Management), 화이트리스트 등으로 구분되며, 특히 이중 암호화가 가장 큰 비중을 차지하게 될 것으로 예상하고 있다.
또한 ICS 보안의 버티컬 시장 중 가장 큰 비중을 차지하게 될 영역으로는 에너지와 유틸리티 시장이 될 것으로 마켓앤마켓은 예측했다. 이는 작은 침해 사고만으로도 충격적인 결과를 낳을 수 있다는 위기감을 가장 크게 느끼고 있기 때문인 것으로 예상된다.
현재 OT 보안 분야는 OT 영역의 기존 업체들과 IT 보안 분야에서 OT 분야로 영역을 확대하려는 업체들이 서로 협력과 경쟁을 주고받는 상황이다. 전통적인 OT 업체인 ABB, 하니웰, 벨덴, 로크웰 오토메이션, 슈나이더 일렉트릭, 에어버스, BAE 시스템 등은 기존 OT 영역에서의 영향력을 기반으로 보안을 강화해 나가려 하고 있으며, 체크포인트, 시스코, 맥아피, 포티넷, 카스퍼스키랩, 팔로알토네트웍스, 소포스, 시만텍 등 IT 보안 업체들은 OT 영역으로의 진출을 위해 OT 업체와의 협력 방안을 모색하고 있는 상황이다.

IT와 OT의 융합이 새로운 보안 위협 만든다
IT와 OT는 원칙적으로 분리된 상태로 운영되고 있다. 이는 지금까지 개별적으로 운영돼 온 IT와 OT를 결합하는 것이 어려울 뿐만 아니라, OT에서 사용되고 있는 수많은 전용 소프트웨어와 하드웨어, 인터페이스, 프로토콜 등을 IT 영역에서 받아들이기 쉽지 않기 때문이기도 하다. 거기에 이제는 OT의 보안을 강화하기 위해서도 이런 IT와 OT의 분리가 이뤄지고 있다.
더구나 하드웨어나 소프트웨어의 라이프사이클조차 IT 영역과 OT 영역은 큰 차이를 보인다. 평균 3~5년 정도인 IT 분야의 라이프사이클에 비해 OT 영역은 적어도 10년 길게는 30년 이상의 긴 라이프사이클을 갖는 경우도 있다. 이런 라이프사이클의 불균형은 보안 영역에 있어서도 위협 요인이 될 수 있다. 예를 들면 IT 분야에서는 이미 아무런 위협이 될 수 없는 과거의 보안 위협이 OT 영역에서는 굉장히 큰 여파를 발휘할 수도 있는 것이다.
IT는 일반적인 업무를 위해 외부 네트워크와 연결돼 있기 때문에 보안 위협에 쉽게 노출될 수 있다. 하지만 OT는 외부 네트워크와 분리된 상태로 운영되는 경우가 많아 외부로부터의 공격에 대해서는 비교적 안전한 편이다. 물론 IT 영역은 보안에 거의 무방비 상태인 OT 영역과는 달리 다양한 엔드포인트 보안 솔루션은 물론이고 방화벽이나 IDS/IPS 등 다양한 보안 솔루션으로 보안을 강화하고 있다.
다만, 이런 IT와 OT가 통합되고 있는 상황에서 IT와 OT가 서로 연결될 경우, 지금까지 보안에 대한 대비 수준이 낮은 OT 영역은 커다란 보안 위협에 처할 수밖에 없는 상황이 된다. 최근 발생한 많은 ICS 관련 보안 사고를 보더라도 직원의 이메일 등을 통한 트로이 목마 방식을 사용하거나, IT 영역에서 넘어온 랜섬웨어 등의 멀웨어, 그리고 DDoS, 아니면 내부자 소행인 경우가 대부분이라는 점에서 이를 쉽게 알 수 있다.
현재 OT 보안이 어려운 가장 큰 이유는 IT와 OT를 모두 이해하고 있는 보안 전문가를 찾기 쉽지 않다는 데 있다. OT쪽에서 IT 분야를 아는 전문가, 그리고 IT 쪽에서 OT 영역에 대한 지식을 갖춘 전문가 자체가 매우 귀하기 때문에 이 둘이 통합된 영역에서의 보안이 난항을 겪고 있는 것이다. 특히 ICS 보안 도입 단계에서 적절한 조율이 이뤄지지 않을 경우 IT와 OT 분야 담당 부서 간의 마찰이 발생할 수도 있다고 전문가들은 말하고 있다.
또한 전문가들은 OT 영역이 장비 가시화가 매우 중요한 역할을 하게 될 것이라고 말하고 있다. 이는 OT의 보안 강화를 위해 암호화가 빠르게 진행되고 있는 상황에서 OT 영역의 장비의 보안 취약점 현황을 한 눈에 파악함으로써 내외부에서 이뤄지는 공격에 사전 대응해야 하기 때문이다. 또한 이를 통해 각종 이상 징후를 파악함으로써 공격으로 인한 피해를 최소화할 수 있기 때문이다.