제4차 산업혁명이 화두로 떠오르며 핵심 기술의 도입과 활용이 기업의 사활을 결정하는 요즘, 산업 현장의 스마트화는 선택이 아닌 필수가 되었다. 산업 시설 스마트화의 특징은 기존의 IT 시스템과 운영 기술(Operation Technology)의 융합으로 대표되는데, 이 과정에서 다양한 내용을 측정하고 계측하는 사물인터넷(Internet of Thing)의 도입이 폭발적으로 증가하고 있다. 가상현실 기반의 제조 시뮬레이션이나 로봇 스스로 프로세스를 최적화시킬 수 있는 다양한 설비와 시스템들 그리고 3D 프린터와 스마트 그리드 시스템 등의 도입은 더 이상 막연한 미래의 일이 아니며, 우리가 일상생활에서 접하는 수많은 재화와 서비스 등에 폭넓게 도입되어 운용 중이다.

산업 시설의 스마트화의 공통적인 특징은 연결성의 증가다. 설비와 설비 간의 연결, 설비와 인간의 연결, 인간과 인간의 연결이 기하급수적으로 증가하게 된다. 이러한 특징은 운영 기술의 새로운 패러다임을 제시한다. 기존에는 연결되어 있지 않던 독립된 장비나 폐쇄적인 네트워크가 다른 영역과 연결되어 외부에서 제어 및 통제가 가능한 환경이 조성되었고, 수많은 문제를 야기한다. 공급망 보안이 좋은 예시인데, 어떠한 시스템과 솔루션들이 어떤 경로로 산업 시설에 도입되어 네트워크에 연결되어 있는 것인지 정확히 파악하기 어려우며, 해당 시스템들의 취약점을 확인하거나, 사이버 위협으로부터 자산들을 모니터링하는 업무는 OT 보안 초기 단계에 있는 업체에서는 엄두를 내기 어려울 정도로 난이도가 높아졌다.

2021년에 조사 전문기관 SNAS에서 실시한 업계 현황 평가에 따르면 15% 가량의 OT 보안 전문가가 실제 OT 보안 사고를 경험했다고 답했으며, 잘 모르겠다고 답했거나 회사 사정상 답변하기 어렵다고 조사된 경우가 약 60%라는 점을 미루어 볼 때 이제 OT 보안의 위협이 현실화되었다고 볼 수 있다. 보안 사고의 횟수는 다양했지만, 해당 OT 보안 사고가 비즈니스 운영을 중단시킨 비율이 적게는 10%에서 많게는 100%에 이른다고 조사된 점은 OT 보안의 사고의 심각성과 중요성을 나타낸다.

실제 OT 보안 사고 사례를 확인해보면 그 영향성을 바로 알 수 있다. 최근 몇 년간 미디어에 보도된 OT 보안 사고를 살펴보면 적게는 수백억 원에서 많게는 수조 원 가량의 금전적 손실을 입었다고 공개되었으며, 인명 피해와 기업의 브랜드 이미지 손상 등을 포함하면 피해 규모는 기존의 사이버 보안과는 비교할 수 없을 정도로 천문학적인 규모로 발생됨을 알 수 있다. 또한 기존의 주요 공격 대상이었던 정보통신 서비스와 금융권 및 전자상거래 등을 넘어 제조업, 전기, 수도, 가스 등 분야를 가리지 않고 공격 및 피해의 대상이 되었다. 이 점을 주목해야 한다.

OT 보안, 혹은 산업용 제어 시스템(ICS) 보안의 중요성에도 불구하고, 실제 산업 현장에서 보안을 수행하기 어려운 이유를 정리해보면 크게 세 가지로 나눌 수 있다. 첫 번째는 운전 중인 설비에 영향성을 발생시키기 어렵다. 쉽게 설명하면, 기존에 운영되고 있는 시스템에 기존에 하지 않던 작업을 수행하기 어렵다는 점이다. 즉, 취약점 패치를 위한 업데이트 작업이 공정 스케줄상 어려우며, 보안성 향상을 위한 업그레이드 작업이 기존의 다른 시스템들과의 호환성 문제로 진행이 어렵다는 점이다. 두 번째는 산업 영역에서 사용하는 통신 규약(Proto col) 문제다. 모든 시스템들과 통신할 수 있는 범용 프로토콜이 아닌 특정 산업 분야에서만 사용하거나, 특정 제조사 장비 간의 통신만 가능하도록 설계된 산업용 프로토콜을 사용한다는 점이다. 기존의 정보 보안 솔루션을 이용하여 이러한 시스템과 통신을 모니터링하면 모두 알 수 없는 통신으로 파악되어 분석할 수 있는 내용이 매우 제한적이다. 마지막 세 번째는 제로데이(Zero-day) 공격이다. 전 세계에서 한번도 보고된 적 없는 악성코드가 우리 산업 시설을 공격하게 될 경우, 패턴 매칭 및 시그니처(Signature) 방식의 침입 탐지를 무력화시킬 수 있다.

이러한 취약점과 위협은 산업 현장의 특수성을 반영한 OT 보안을 위한 전문 솔루션이 등장한 이유다. 최근 전 세계적으로 주목받고 있는 OT 보안 전문 기업 ‘노조미 네트웍스(Nozomi Networks)’는 획기적인 방식으로 스마트 산업 현장의 보안성과 운영 효율성을 획기적으로 향상시킨다. 앞에서 언급된 세 가지 장애 요소를 모두 해결한 전용 솔루션을 출시한 점이 특히 인상적이다. 첫 번째로 운전 중인 설비에 영향성을 발생시키지 않는 방식으로 작동하기 위해 기존에 운영되던 통신 스위치에서 복제된 트래픽을 분석하는 방식인 패시브 모니터링(Passive Monitoring) 방식으로 동작하여 무중단, 무위험 솔루션 운영이 가능하다. 두 번째로 다양한 산업 영역과 제조사의 프로토콜을 인식할 수 있는 기술력을 확보하여 컴퓨터, 서버, 모바일에 국한되지 않고, 산업용 IoT, 생산 자동화 설비, 로봇, 임베디드 시스템 등의 트래픽을 분석하고, 취약점 식별과 공격 징후를 탐지한다. 세 번째로 언급된 제로데이 공격 이슈의 경우, 기존 시그니처 방식의 탐지 방법과 더불어 행위 기반의 학습 방식을 융복합적으로 운용하여 다양한 유형의 위협과 위험을 탐지할 수 있다.

전 세계 5000개 이상의 산업 현장에서 수천만 대의 산업용 장비를 분석한 노조미 네트웍스에서 모든 고객사와 협력업체에게 핵심적으로 강조한 포인트는 ‘가시화(See)’, ‘탐지(Detect)’, ‘통합(Unify)’ 세 가지다. 첫 번째는 ‘가시화(See)’다. 사고 사례의 대부분은 네트워크 구성이 어떻게 되어 있는지 모르는 경우에 발생했으며, 파악하고 있던 네트워크와 실제 네트워크 구성이 달랐던 경우 OT 보안의 사고가 더욱 심각했다. 보이지 않은 것을 관리할 수 없듯이, 산업망을 제어하고 있는 네트워크가 어떻게 구성되어 있는지 알 수 없으면 당연히 보호할 수 없다. 따라서, 주요 네트워크를 실시간으로 시각화하는 기능과 네트워크에 연결되어 있는 시스템들의 정보를 실시간으로(최소한 주기적으로) 파악할 것을 강조한다.

두 번째 포인트는 ‘탐지(Detect)’이다. 최근에 큰 이슈가 되었던 Log4j 등 시스템에 포함된 취약점을 파악하여 사고가 발생하기 전에 대응하는 선제적 보안이 핵심이다. 또한, 많은 보안 프로그램에서 간과되는 중요한 부분 중에 하나가 바로 구성상의 취약점이다. 시스템의 개별적 요소로서는 취약하지 않지만, 잘못된 연결이나 구성 등에 의하여 발생되는 취약점은 특히 OT 보안 영역에서는 더욱 치명적이다. 대표적으로는 인터넷 혹은 외부망과 제어 네트워크의 연결이 있으며, 라우터 및 방화벽 등의 잘못된(혹은 느슨한) 설정으로 망분리와 단방향 통신을 우회하게 되는 경우가 많다. 이러한 내용을 지속적으로 모니터링하며, 취약한 구성이 발견되는 즉시 인지할 수 있는 시스템적 환경 조성이 필요한 이유다.
취약점뿐만 아니라, 랜섬웨어나 DDoS 같은 악성코드 및 바이러스를 탐지하는 보안 솔루션 본연의 기능에도 충실해야 하며, 산업용 프로토콜을 이해할 수 있다는 특장점을 적극 활용하여 생산 및 제어 설비의 이상행위를 행위 기반의 학습 방식으로 탐지해내는 성능 역시 OT 보안 솔루션의 가장 핵심적인 요소이다. 일반적인 IT 보안 전문가의 경우 생산과 관련된 설비의 특성이나 공정 스케줄 등을 모르는 경우가 많으며, 현장의 생산 및 서비스 담당자의 경우에도 보안 업무를 적극적으로 반영하기 어려운 경우가 대부분이다. 가장 이상적인 협업 구조는 전사적인 차원에서 모든 담당자들이 모여 OT 보안 협의체를 구성하고 공동의 보안 목표를 지향하는 것이겠지만, 초기 단계에서 이러한 협업은 현실적으로 어렵다. 따라서 보안 솔루션이 생산 및 제조와 관련된 설비의 행동 패턴을 자동으로 학습하여 이상행위 혹은 공격 징후로 탐지될 경우 알림을 발생하여 관련 담당자가 해당 내용을 인지할 수 있는 환경을 조성하고, 이러한 방법을 우선적으로 제공한다.

마지막 핵심 포인트는 ‘통합(Unify)’이다. OT 보안 솔루션을 통하여 산업 네트워크를 시각화하여 구성 정보나 연결된 자산 등의 정보를 충분히 확보하고, 사이버 공격 및 위협 요소를 탐지할 수 있는 기술을 확보하면 다양한 솔루션과 연동하여 더욱 큰 시너지를 발휘할 수 있다. 이를 테면, 침입 차단 장비(방화벽)나 네트워크 접근 제어 장비(NAC)와 연동하여 차단과 접근 제어 등의 행위까지 자동화할 수 있다. 보안 부서나 외주 보안 관제업체에 SIEM 등의 통합 관제 장비가 도입되어 있는 경우, OT 보안 솔루션에서 탐지한 내용을 통합 관제 장비로 전송하여 데이터를 가공할 경우, 더욱 다양한 분석과 정확한 인사이트 도출이 가능하다.

OT 보안에 참고할 수 있는 여러 가지 가이드 문서에서 공통적으로 강조하는 부분이 있다. 전 세계에서 가장 많이 참조되고 있는 ‘산업제어시스템 보안 가이드(NIST 800-82)’와 국내에서 가장 많이 참조되는 ‘주요정보통신기반시설 취약점 진단 상세 가이드(KISA)’에는 다음과 같은 내용이 언급된다. OT 보안 사고는 피할 수 없으며, 중요한 것은 사고를 최대한 빨리 인지하는 것과 사고 이후의 수습과 적절한 대응이다. OT 보안의 사고 사례가 남긴 소중한 교훈은 바로 중요한 산업 네트워크에 존재하는 자산을 확인하고 자산들의 연결성을 확인해야 한다는 점과, 확인 이후에도 지속적으로 모니터링해야 한다는 점이다. 수많은 사고와 위험에도 불구하고 긍정적인 소식은 정부와 기업 차원에서도 OT 보안의 중요성을 인식하고 적극적으로 개선해 나가고 있다는 점과, 이러한 OT 보안을 책임질 솔루션의 기술력이 지속적으로 향상되고 있다는 점이다.

“㈜투씨에스지”는 “노조미 네트웍스”의 국내 총판사이다.

hsnah@tocsg.co.kr