IT와 다른, 기업의 OT 보안 방법론과 솔루션

[테크월드=이건한 기자] 최근 제조산업 현장에서는 디지털 트랜스포메이션 바람에 따라 산업용 사물인터넷(IIoT) 인프라를 도입하고 생산관리 효율성 극대화를 위한 시스템 변화에 나서는 기업의 수가 급증하고 있다. 이는 차세대 스마트팩토리로 향하기 위한 여정에서 반드시 거쳐야 하는 관문 중 하나지만, 문제는 이 과정에서 지금껏 크게 드러나지 않던 기업 내 OT(Operational Technology) 시스템에 대한 보안 문제가 부각되기 시작했다는 것이다.

이는 오랫동안 외부와 분리된 채 폐쇄적으로 운영되던 기업 내 OT 인프라에 대한 관리자의 위기 의식 부재, 급격한 변화를 따라잡지 못하고 있는 OT 전용 보안 솔루션의 개발 등이 빚어낸 문제들이다. 

기업이나 국가 기간시설을 향한 타깃형 OT 공격은 2000년대 이후 본격화되기 시작했다. 개인을 대상으로 하는 공격과 달리, 국가와 기업의 대규모 OT 시스템을 노린 공격은 단 몇 시간 동안 노출되더라도 타깃의 생산성과 신뢰도에 막대한 피해를 입힌다.

가장 널리 알려진 사례가 2010년에 발생한 ‘스턱스넷(Stuxnet)’ 해킹 사건이다. 당시 이란의 우라늄 농축 시설을 감염시킨 스턱스넷 악성코드로 인해 이란은 1000여 대의 원심분리기가 마비되고 부셰르 원자력발전소와 나탄즈 핵시설의 원심분리기 가동까지 모두 중단되며 수 개월간 핵무기 개발에 차질이 생기는 사태를 겪었다. 이후 여러 나라의 발전소나 은행, 주요 공장이 공격 당하는 일이 빈번해지며 OT 보안은 점차 보안 관계자들이 눈여겨봐야 할 위험 요소로 알려지기 시작했다.

그렇다면 오늘날 기업이 OT 보안을 재고하기 위해 알아야 할 사실과 기술적 방법론에는 무엇이 있을까? 이번 글에서는 IT 보안과 OT 보안이 지닌 근본적인 차이점을 비교하고, 대만의 산업용 네트워크 전문 기업 ‘모싸(Moxa)’와 미국의 OT 보안 기업인 ‘클래로티(Claroty)’의 사례를 중심으로 OT 보안에 필수적인 정보, 그리고 관련 솔루션들에 대해 알아본다. 

IT와 OT 시스템의 차이

우선 OT 시스템이 기존 IT(Information Technology) 시스템과는 전혀 다른 성질을 지니고 있다는 사실을 알아야 한다. 일반적으로 IT 시스템의 경우 교체 주기가 약 3~5년에 불과한 반면, 산업제어시스템(ICS)으로도 부르는 OT 설비는 규모가 크고 교체 주기도 약 15~20년에 달할 만큼 길다. 단순히 10년으로만 계산해도 스턱스넷 공격이 막 시작될 무렵 도입된 OT 시스템 중에는 이제야 교체기에 들어서는 설비도 있다는 뜻이다.

또 교체 주기가 길다는 말은, 최신 사이버 공격에 그만큼 더 취약해질 수밖에 없다는 이야기와도 같다. 교체 비용도 IT 시스템과 비교해 훨씬 막대한 시간적, 경제적 비용이 수반된다. 그만큼 OT 보안 시스템의 도입은 눈앞이 아닌 10년 이상의 먼 미래를 바라보고 한층 넓고 신중한 시야로 접근할 필요를 요구한다. 

IT와 OT는 사용하는 프로토콜이나 운영체제에서도 전혀 다른 모습을 보여준다. IT 시스템에는 주로 우리도 잘 아는 다양한 범용 애플리케이션과 네트워크 프로토콜(TCP/IP)이 사용되지만, OT 시스템에는 전용 애플리케이션과 OT 전용/독립 프로토콜이 사용되는 경우가 많다. 운영체제도 윈도우나 리눅스가 아닌, 전용 운영체제나 실시간 운영체제(RTOS)를 사용하는 경우가 대다수다. 이는 전통적인 OT 시스템이 지닌 폐쇄성에 기인한다.

IIoT가 도입되기 이전의 OT 시스템은 외부와 철저히 분리된 망 안에서 자체 시스템에 대한 최상의 효율을 달성하는 것이 목표였다. 또 이런 개별 환경에 최적화된 소프트웨어를 사용하는 것이 운용하는 기업 입장에서도 이득이다. 다만 이 때문에 외부망에 노출된 OT 시스템에는 기존 IT 시스템에 사용되던 범용 보안 솔루션을 적용하기 어려워지는 문제가 생겼다. 물론 몇 번의 대형사고 이후 OT를 전문으로 하는 보안 기업들도 생겨나고 있지만 그 수는 아직 적은 편이다. 

IT와 OT는 운용 관점과 보안성 확보에 대한 우선순위도 다르다. IT는 전체 시스템의 균형을 중요시하고 요청에 대한 높은 응답성, 그리고 통신 데이터에 대한 무결성(Integrity)을 중시하는 편이며 짧은 통신 지연이나 장애에도 관대한 편이다. 우리가 평소 인터넷을 이용할 때 일시적으로 속도가 느려져도 그리 큰 불편은 겪지 않는 것과 같다.

그러나 제조산업에서의 OT는 기업의 대규모 생산 설비를 포함하기 때문에 잠깐의 멈춤이나 장애도 전체 생산과 수익성에 큰 차질을 야기할 수 있다. 이 때문에 OT는 주로 24시간 끊김 없는 가용성(Availability)을 최우선 가치로 두는 것이 일반적이다. 그리고 이를 위해 사실상 단 하나의 공격도 허용하지 않아야 하다보니, OT 보안에 필요한 요구사항은 훨씬 복잡하고 까다로워지는 것이다.  

만약 단 한 번의 관리 실수가 재앙 급의 사고로 이어지는 경우, 예컨대 원자력발전소의 제어 시스템이 무력화돼 체르노빌이나 후쿠시마 사태 같은 대규모 방사능 유출 사고가 우리나라에서 일어난다고 생각해보자. OT 보안은 다른 어떤 보안보다 섬세해야 하며 보수적으로 접근할 수밖에 없는 무게를 안고 있다.

Moxa의 ‘가용성’

그렇다면 실제 OT 보안 서비스를 운영하는 기업들은 이 영역에 대해 어떤 생각을 갖고 있을까? 지난 30년 이상 산업용 네트워크 솔루션 개발에 매진해온 Moxa 역시 서면을 통해 OT 보안에 있어 가용성을 최우선에 두고 있다는 답을 보내왔다. Moxa 아태지역 프로덕트 마케팅 매니저인 로버트 쿠오(Robert Kuo)는 “OT를 보호할 솔루션을 선택할 땐 가용성이 얼마나 확실하게 보장될 수 있는지 확인하는 것이 중요하다”며, “많은 OT 관리자들이 시스템 불안정성에 대한 염려로 인해 안티바이러스 소프트웨어 같은 일반적인 IT 보안 솔루션을 자사 HMI/SCADA에 사용하길 꺼린다”고 말했다. 

또 생각보다 많은 이들이 간과하는 요소로 ‘견고함’을 들었다. OT 설비가 가동되는 공간은 상대적으로 불안정한 환경인 경우가 많다. 특히 이런 환경 내에서 발생하는 EMI(전자파 장애/간섭)는 기기의 불안을 초래하며, 시설에서 발생하는 먼지와 강한 진동 같은 요소들도 미세한 장치의 파손을 유발한다.

쿠오는 “OT 시스템에서는 전원공급조차 단자 블록 커넥터로 9~48V의 직류 전력을 사용하는 등(IT 시스템은 110V/220V의 폭넓은 교류 전원 사용) 모든 면에서 IT 환경과 다른 조건을 갖고 있다”며, 결국 이런 요인들이 합쳐져 OT 보안 솔루션 구축을 더욱 어렵게 한다”고 말했다. 따라서 빈틈없는 OT 보안성 구현을 위해서는 “장치 보안뿐 아니라, 기반이 되는 네트워크 인프라 보안, 보안에 대한 관리까지 3단계 솔루션으로 연결된 심층 방어 체계를 확인할 필요가 있다”고 전했다.

현재 Moxa는 OT 부문 보안 경쟁력 강화를 위해 트랜드마이크로와 손잡고 ‘TxOne Networks’란 합작회사를 설립하고 OT 전용 IPS(침입방지시스템)인 ‘OT 시큐리티 박스’ 출시를 준비하고 있다. IPS는 기기와 외부 네트워크 사이에서 양방향 보호를 수행하기 위해 네트워크 노드에서 구현하는 보안 솔루션 중 하나다.

견고한 IPS를 구축할 수 있다면 외부로부터의 공격을 IPS가 일차적으로 보호할 뿐 아니라 기기에 바이러스가 내재해 있더라도 추가적인 확산을 막을 수 있다는 장점이 있다. Moxa의 IPS 장치는 노드 사이에 설치돼 이더넷 데이터의 흐름을 분석하고 악성코드 DB와 패턴 분석을 통해 공격 행위를 식별한 후, 이를 차단하는 방식을 사용한다.

Moxa에 따르면 Moxa의 IPS 공격/차단 메커니즘은 OT의 가용성을 최대한 보호하기 위해 5초 이내에 감지/차단 작업을 수행할 수 있다고 한다. 또 열악한 환경에서도 온전히 동작하도록 -40~75도 사이에서 가동되는 모델을 제공하며 여러 산업 표준(CE / FCC / IEC)를 획득했다고 밝혔다. 아울러 경쟁사 대비 차별화된 장점으로 Moxa가 산업 네트워크 시장에서 오랫동안 쌓아 올린 방대한 포트폴리오를 들었다.

Moxa는 자체 보안 기능을 갖춘 시리얼/이더넷 컨버터, 산업용 이더넷 스위치, 보안 라우터를 공급한다. 또 직접적인 OT 보안 솔루션, IPS, IDS, NGFW, 보안 콘솔 등도 함께 공급하고 있다. Moxa는 이들 기기들은 모두 연동돼 한층 안전하고 신뢰성을 겸비한 네트워크 커넥티비티를 구축할 수 있다고 밝혔다.

클래로티의 ‘가시성’

2014년 설립된 클래로티(Claroty)는 OT 보안 전문 솔루션 회사로 최근 관련 분야에서 막대한 규모의 투자를 받고 있는 기업 중 하나다. 직원의 절반 이상이 R&D 업무에 종사하고 있을 정도로 기술력 확보에 집중하는 기업이며, IBM, 시스코, 지멘스, 로크웰 오토메이션, 슈나이더일렉트릭 등 업계 종사자들에게 널리 알려진 기업들과도 파트너십을 맺고 있다. 국내에서는 올해 5월 보안 전문 기업 쿤텍(Coontec)이 클래로티와 파트너십을 맺고 클래로티 국내 제품 판매와 서비스 전반을 담당하고 있다.

클래로티는 OT 보안에 있어 ‘가시성(Visibility)’를 최우선으로 두고 있다. 가시성이란 겉으로 보이지 않는 내부 시스템과 네트워크 사이의 데이터 이동, 각종 상태, 오류나 위험인자 발생 등을 관리자가 모두 확인하고 대응할 수 있도록 시스템을 가시화한 것을 뜻한다. 특히 TCP/IP 기반의 범용 IT 네트워크와 달리 각 OT별 독립 프로토콜, 운영체제, IIoT 인프라에 대한 별도의 가시성을 확보하는 것은 은밀한 사이버 공격에서 비롯되는 이상 징후와 시스템 침입 흔적을 파악함으로써 피해를 사전에 예방할 수 있는 첫걸음이다.

클래로티의 OT 보안 체계는 ‘CoreX DPI’ 기술을 중심으로 ▲전체 네트워크 자산을 학습하고 가시성을 극대화하는 ‘CTD’ ▲학습된 데이터와 자산을 통합해 다수의 사이트를 제어하는 ‘EMC’ ▲소프트웨어 업그레이드와 정기 유지보수 등 시스템을 원격으로 제어하며 사용자 연결과 인증을 담당하는 ‘SRA’ ▲관리 중인 OT 환경에 대한 평가와 보고서 등을 생성하는 ‘SPA’ 플랫폼으로 이뤄져 있다.

먼저 CTD의 경우 패시브(Passive), 액티브(Active), 앱 DB(App DB) 3가지 방법을 통해 가시성 확보를 위한 데이터를 수집한다. 패시브는 네트워크 포트를 통한 트래픽을 미러링해 자산 목록을 확보하는 기능으로, 90%의 이상의 OT 자산을 탐지한다.

포트 미러링이 불가능할 경우 TAP 장비를 통해 이를 보완한다. 참고로 ‘자산(Asset)’이라고 부르는 것은 PLC, DCS, HMI, 컨트롤 디바이스 등 제어 시스템에 연결된 모든 장비를 의미하며, 시스템 레벨로 정의할 경우 레벨 4 이하에 해당하는 장비들을 뜻한다.

다음으로 액티브 기능은 자산 활동이 주기적이지 않는 OT 시스템의 특징을 반영해 직접 자산 정보와 관련된 세부 내용을 얻기 위한 질의를 하는 쿼리이며, 앱 DB는 산업 플랜트의 자동제어와 감시에 사용되는 제어 장치인 PLC, PCL의 로직, HIS 정보가 들어 있는 마스터 파일을 직접 등록해 추가적인 자산을 학습하는 기능이다.

이런 일련의 과정들을 통해 클래로티는 OT 시스템 전체에 대한 최대한의 자산을 확보한 뒤, 이를 통합해 폭넓은 가시성을 제공하며, 궁극적으로 이를 정밀하게 제어하고 감시할 수 있는 서비스를 구축해 안정성과 보안성을 확보하는 데 중점을 둔다.

EMC 단계 구축 중에도 모든 자산과 데이터는 SSH 보안 터널을 통해 암호화돼 이동한다. 이어 SRA에서는 유지보수, 기타 시스템 지원 활동을 원격 수행하는 서비스를 제공하기에 앞서 모든 사용자를 연결하고 인증하는 단일 인터페이스를 관리하며, 허가되지 않는 접근을 차단해 위협으로부터 내부 시스템을 보호한다.

마지막으로 SPA 단계에서는 전체 시스템과 운영 환경에 대한 평가를 수행한다. PCAP 파일 수집/구성, CVE 등 기타 취약점을 포함한 보안 운영 인사이트를 자세히 설명하는 포괄적 보고서 생성 기능을 제공함으로써 체계적이고 지속적인 관리를 지원하는 것이다.

이처럼 클래로티는 ▲자산 인식과 관리의 편의성 제공 ▲벤더, 모델, 타입, OS 버전 등 다양한 포맷과 쿼리를 통한 IoT 장치 검색과 분류 ▲단일 포인트에서의 각종 데이터 관리와 유지보수 효율 증대 ▲보안 담당자에게 최적화된 자산 가시성 등을 특화된 장점으로 내세운다.

A부터 Z에 이르는 최대한의 가시성 확보와 제어 서비스를 통해 관리자의 운영 능력과 효율을 최대로 끌어내는 것에 초점을 맞추는 것이다. 복잡한 OT 시스템을 관리하는 사람들에겐 충분히 매력적으로 느껴질 수 있는 장점들이다.

그 외 다양한 OT 보안 솔루션

결과적으로 Moxa가 강조하는 ‘가용성’이나 클래로티가 강조하는 ‘가시성’이나 모두 OT 보안과 관리 측면에서 똑같이 중요한 가치를 지닌 핵심 요소들이다. 또 최근 들어 OT 보안에 대한 기업의 관심이 커지며 그동안 잘 알려지지 않았던 OT 보안 기업들이 알려지고, 새롭게 시장에 뛰어드는 기업 등 영역 전반에 걸쳐 새로운 바람이 불기 시작한 신호들이 속속 전해지고 있다.

국내에서는 지난 8월 SK인포섹이 처음으로 민간을 대상으로 한 OT 보안 체계 서비스를 선보인다는 소식을 전했다. SK인포섹은 자사의 통합 보안 관제 플랫폼인 ‘시큐디움 IoT’와 연계해 데이터를 수집하며 국제전기기술위원회(IEC)에 개발한 보안 인증인 IEC 62443 등에 기반한 보안 서비스를 제공한다고 밝혔다.

또 이스라엘 군부 출신 전문가들이 모여 설립한 OT 보안 기업 사이버엑스는 IC 멀웨어 전용 샌드박스를 통해 최근 급증하는 지능형 공격에도 즉시 대응할 수 있다는 것을 장점으로 앞세운다. 특히 셀프러닝을 비롯한 자체 시뮬레이션 기능 등을 활용, 멀웨어의 여러 악성 활동 패턴을 탐지하는 기술을 선보인 바 있다.

다크트레이스의 경우 ‘딥러닝’을 OT 보안에 접목한 케이스다. ‘기업 면역 시스템’으로 명명된 다크트레이스의 AI 기반 OT 보안 솔루션은 인간 면역계에 영감을 받아 개발됐다고 한다. 과거 위협에 대한 정보가 없어도 자율학습을 통해 네트워크 내 존재하는 위협을 파악하고 향후 발생할 위협들을 미리 탐지해내는 등 능동성이 강조된 보안을 강점으로 설명한다.

이 밖에 보안 전문 기업 포티넷도 최근 기자간담회를 갖고, 국내 최초로 구축한 OT 보안 데모 장비에 대해 브리핑했다. 포티넷은 자사의 차별화된 경쟁력으로 ‘OT 보안 방화벽’을 들었다. 기존 OT 벤더에서 공급되는 방화벽 외에도 OT 전용 프로토콜 분석 기술과 OT 특화 공격 시그니처 기술을 탑재(IPS/AV 기능)하고, 노조미 네트웍스와 연계해 방화벽에 연결된 PC나 크고 작은 자산에 대한 가시성을 제공한다.

포티넷 측은 “18개의 OT 전용 프로토콜과 29개에 달하는 벤더 애플리케이션에 대한 인지 분석 기술을 지원할 수 있다”고 밝혔으며, 조원균 포티넷 코리아 대표는 향후 OT 보안 영역이 본격적으로 활성화된다면 전체 보안 시장의 크기는 약 30% 정도 커질 것으로 예상된다”고 말했다.

이렇듯 OT 보안 시장에 불어오는 관심과 분위기에 힘입어 향후 이 분야에서는 급속한 성장과 변화가 일어날 것으로 예상된다. OT와 IT를 나누던 경계는 사물인터넷을 중심으로 점차 흐려질 것이며, 숨겨져 있던 OT 시스템이 외부에 드러날수록 보안 강화에 제때 힘쓰지 못한 기업의 사고 발생 건수도 빠르게 증가할 것이다. 이 밖에도 OT 보안 시장이 확대되면서 벌어질 보안계와 공격자 간의 힘겨루기 양상과 강화될 하이브리드 보안 기술의 등장 등, 앞으로 조명될 OT 영역에서 일어날 미래 볼거리들의 향방이 자못 흥미진진해 보인다.