[컴퓨터월드] 최근 사이버 공격자들에게 운영기술(OT) 환경이 새로운 먹거리로 떠오르고 있다. 그동안 보안보다는 ‘무중단’에만 초점을 맞추고 설계 및 운영돼 왔던 OT 환경은 최근 IT를 만나 외부와 연결되며 무방비로 침입자를 맞이하고 있다. OT는 제조, 에너지, 물, 교통, 통신, 교통, 항만, 공항, 의료 등 다양한 사회 인프라와 밀접하게 연관돼 있기 때문에 사이버 공격으로 커다란 피해를 입을 수 있다. 특히 최근 국내에서도 제조 기업을 상대로 한 랜섬웨어 공격이 확산되면서 OT 보안의 중요성이 크게 부각되고 있다.

OT 보안 중요성 확대

최근 제조업 기업을 노리는 랜섬웨어 공격이 증가하고 있다. 특히 세계의 공장으로 일컬어지는 아시아 지역에 대한 공격이 증가하고 있으며, 그 중 제조업은 모든 업종 가운데 가장 높은 랜섬웨어 공격 비율을 보이고 있다. 이런 점에서 생산 설비나 제어 장치 등을 포함하는 산업운영관리시스템인 운영기술(OT) 환경에 대한 보안의 중요성이 최근 더욱 강조되고 있다.

OT 보안은 그동안 보안의 사각지대로 여겨졌던 것이 사실이다. OT 환경 특성상 ‘설비 가용성’에 우선순위를 높게 두기 때문에, 일반적인 IT 환경과 같이 보안 취약점에 대한 패치를 신속하게 진행할 수 없다.

이 같은 이유로 OT 환경은 랜섬웨어와 같은 악성코드 공격에 상대적으로 취약하다. 또한 제조업의 특성상 운영이 멈추면 시간당 손실 금액도 매우 크기 때문에, 공격자들은 이러한 사실을 악용해 최근 OT 환경을 노리는 공격을 강화하고 있다.

제조업을 대상으로 하는 랜섬웨어 공격이 집중되는 한편으로, 최근에는 올해 초 미국의 식품업체 D사를 겨냥한 랜섬웨어 사례와 같이 생명과학, 제약 회사 등을 포함하는 다양한 산업군으로 공격 대상이 확장되는 추세에 있다. 안랩 황재훈 부장은 “이러한 현재 상황들 때문에 OT 시스템을 운영하는 산업 전반에서 보안 위협의 대비가 더 필요한 상황이 됐다고 할 수 있다”면서 “참고로 그동안 OT 환경에서는 윈도우(Windows) 운영체제에 대한 공격이 많았는데, 최근에는 리눅스(Linux) 운영체제를 대상으로 하는 랜섬웨어 공격 역시 증가하고 있다는 점도 주목된다”고 덧붙였다.

전 세계 OT 보안 시장 2025년 102억 달러 규모 예상

글로벌 컨설팅 기업인 ‘프로스트 앤드 설리번(Frost & Sullivan)’이 2022년 발행한 ‘전 세계 산업 사이버 보안을 강화하는 공격의 고도화 및 진화하는 위협 환경 전망 보고서(Increasing Sophistication of Attacks and Evolving Threat Landscape Powering Global Industrial Cybersecurity, Outlook 2022)’에 따르면, 글로벌 OT보안 시장 규모는 2020년 33억 달러(한화 약 4조 3천억 원)에서 2025년 102억 달러(한화 약 13조 3,300억 원)로 5년간 연평균성장률(CAGR) 25.3%에 달하는 고성장을 기록할 것으로 전망된다.

다만 최근 코로나19를 비롯해 다수 지역에서 발생한 전쟁 등으로 인한 공급망 불안과 함께, 전 세계적 경제 불황까지 겹치면서 투자가 위축되고 있다. 이에 따라 기업이나 공공기관에서 보안 관련 투자 예산이 감축되고 있어, 기존 전망치보다는 다소 낮은 성장률을 보일 것으로 업계는 예상하고 있다.

하지만 우크라이나-러시아 전쟁에서 적국의 생산 시설 및 인프라를 향한 사이버 공격이 폭발적으로 증가하고, 스마트 팩토리와 같이 IT와 OT가 결합하는 사례가 최근 빠르게 늘면서 OT 보안은 이제 결코 무시할 수 없는 당면 과제로 떠올랐다.

안랩 황재훈 부장은 “최근 제조업을 중심으로 증가하는 보안 위협에 효율적으로 대응하는 것이 어느 때보다 중요하다는 것을 모두가 인식하는 가운데, OT 보안에 대한 관심이 다시 높아지고 있는 것을 볼 수 있다”면서 “안랩은 엔드포인트와 네트워크가 결합된 통합 OT 보안 프레임워크를 제공하는 방향성을 갖고, 더욱 안전한 보안을 제공함으로써 OT 분야에서 성장을 이뤄나갈 것으로 기대하고 있다”고 말했다.

인터뷰

“OT 환경 특수성 이해해야”

안랩 황재훈 부장

Q. OT 보안 위협의 특징은 무엇인가?

OT 보안 위협의 특징을 파악하려면 OT 환경의 특수성을 이해하는 것에서부터 시작해야 한다. 먼저, OT 환경에서는 다양한 종류의 자산들이 존재한다는 것을 알아야 한다. 윈도우 또는 리눅스 운영체제(OS)를 사용하는 PC나 서버들이 많은 것은 물론이고, PLC(Programmable Logic Controller)나 HMI(Human-Machine Interface) 등과 같이 OT 환경에만 존재하는 설비들을 비롯해 다양한 산업용 IoT 디바이스까지를 자산에 포함한다는 특징이 있다. 따라서 다양한 종류의 자산들에 대한 가시성 확보가 매우 필요하며 또 중요하다.

또한 일반적으로 OT 설비들은 ‘가용성’이 가장 중요하기 때문에, 이를 보장 및 확보하기 위해 취약점 패치를 잘하지 않는 경우가 많다는 게 큰 문제 중 하나다. 이런 점을 노려 자산들의 취약점을 악용한 공격이 꾸준히 발생하고 있다. 이와 함께 내부에서 파일 공유가 빈번하게 발생하기 때문에 악성코드들이 확산되기 용이한 구조를 갖고 있다는 점을 유념해야 한다. 마지막으로 OT 설비들의 제어 명령이 비정상적으로 조작되는 공격사례들이 발견되기도 하므로, 이에 대한 신속한 탐지가 필요한 환경이라는 점도 유념해야 한다.

안랩, 통합 OT 보안 프레임워크 제공

OT 보안 위협에 효과적으로 대응하기 위해서는 종합적인 관점의 접근이 필요하다. 엔드포인트와 네트워크, 그리고 OT에 전문화된 대응까지 포괄적인 관점에서 전체를 고려해야 한다. 국내 대표 사이버 보안 기업인 안랩(Ahnlab)의 경우, 먼저 엔드포인트 관점에서부터 OT 보안에 접근했다. 즉 2010년 스턱스넷(Stuxnet) 사례가 발생했을 때부터 엔드포인트 기반의 OT 보안을 시작했다는 게 회사 측 설명이다. 그리고 현재 안랩의 엔드포인트 OT 보안 솔루션은 국내외 주요 제조 생산시설과 공공 기관의 다양한 고객사에 설치돼 설비들을 보호하고 있다.

여기에 안랩은 네트워크 분야에서의 OT 보안을 추가하기 위해 2021년 네트워크 분야 OT 전문 보안 기업 나온웍스(NAONWORKS)를 자회사로 인수하면서 통합 OT 보안 프레임워크를 완성하게 됐다. 이로써 OT 환경 내의 자산과 위협에 대한 가시성과 탐지, 그리고 대응의 관점으로 OT 전문 보안을 설계 및 구축할 수 있게 됐다는 게 회사 측 설명이다.

안랩은 이러한 과정을 거쳐 엔드포인트와 네트워크, 그리고 OT 전문 분야가 결합된 ‘통합 프레임워크’ 관점으로 OT 보안을 바라보고 있다고 강조한다. 즉 OT 보안 솔루션 통합 프레임워크로 OT 제어망부터 IT 망까지 전반적인 보안을 제공할 수 있다는 설명이다. 특히 OT 보안에 대해 이야기할 때 대표적으로 언급되는 ‘퍼듀 모델’ 관점에서, 레벨 2부터 레벨 4까지 모든 계층에 대한 보안을 제공할 수 있다는 점을 안랩 측은 강조한다. 안랩 황재훈 부장은 “이는 전 세계적으로 살펴봐도 안랩과 나온웍스 각사의 솔루션을 활용한 프레임워크를 통해 유일하게 제공하고 있는 것”이라고 덧붙였다.

안랩은 엔드포인트 기반의 특수목적 시스템 전용 보안 솔루션인 ‘안랩 EPS(AhnLab EPS)’와 네트워크 기반의 가시성 및 위협 탐지 솔루션인 ‘세레브로-XTD(CEREBRO-XTD)’를 대표 제품으로 보유하고 있다. 여기에 OT 트래픽을 제어하는 네트워크 보안 솔루션으로 ‘안랩 트러스가드(AhnLab TrusGuard)’를, 그리고 OT 망의 데이터 보안을 위한 일방향 전송 제품인 ‘세레브로-DD(CEREBRO-DD)’도 제공할 수 있다.

또한 OT 망에서 수집된 다양한 보안 이벤트와 가시성 정보를 통합 모니터링하는 ‘안랩 ICM(AhnLab ICM)’ 제품과, OT 망의 보안 위협에 대해 상세한 분석을 제공하는 위협 인텔리전스 플랫폼 ‘안랩 TIP(AhnLab TIP)’까지 연계해 OT 보안을 강화할 수 있다.

제품 간 시너지와 위협 탐지·대응 능력이 차별점

안랩은 자사 OT 보안 솔루션 및 프레임워크의 차별점으로 제품간 시너지와 위협 탐지·대응을 꼽고 있다.

먼저 안랩은 제품 간 시너지 측면에서 뛰어난 가시성을 제공한다는 점을 강조한다. 엔드포인트에서 수집된 상세한 자산 정보와 네트워크에서 수집한 다양한 정보를 결합해, 폭넓고 깊은 자산 가시성 정보를 제공할 수 있다는 설명이다. 또한 안랩의 축적된 악성코드 탐지 역량이 반영된 자체 안티바이러스 검사·치료 엔진을 탑재해 OT 망 내부의 다양한 보안 위협을 탐지하고 대응할 수 있다.

특히 OT 보안 솔루션의 대표 제품 가운데서도 엔드포인트 기반 OT 보안 제품인 ‘안랩 EPS’는 악성코드나 비인가된 접근을 ‘허용 리스트(Allow List, 실행을 허가받은 프로그램 리스트)’ 관점으로 제어함으로써 신/변종 악성코드를 선제적으로 방어할 수 있고, 인가되지 않은 네트워크 접근이나 이동식 매체까지 제어할 수 있는 솔루션이다.

또한 네트워크 관점에서는 안랩과 나온웍스가 공동 개발한 ‘세레브로-XTD’가 네트워크 환경의 가용성을 보장하는 미러(Mirror) 구성으로 설치된다. 다양한 자산을 식별하고 OT 망 내부에서 전파되는 악성코드나 취약점을 탐지하며, PLC에 대한 비정상적인 제어 로직(Logic)도 실시간으로 탐지할 수 있다.

이러한 두 제품 간 시너지를 통해 엔드포인트와 네트워크가 결합된 상세하고 폭넓은 가시성을 제공할 수 있으며, 악성코드를 유포하는 의심 시스템을 추적하고 악성코드에 대한 원격 검사도 실행 가능하다.

또한 다양한 OT 보안 솔루션에 대한 통합 이벤트 모니터링을 위한 ‘안랩 ICM’을 제공하며, 이를 통해 다양한 이벤트를 수집할 수 있다. ‘안랩 TIP’를 연동하면 OT 망의 다양한 솔루션으로부터 수집된 위협 이벤트의 IP, URL, 해시(Hash)에 대한 추가적인 IoC(Indicators of Compromise; 침해지표) 분석도 할 수 있다.

“지원 범위 지속 확장하며 솔루션 강화할 것”

“쇠사슬의 강도는 가장 약한 고리만큼만 강하다”는 격언은 보안에도 적용된다. OT 환경은 앞서 언급한 것처럼 다양한 디바이스와 OS 및 다양한 네트워크 프로토콜들로 인해 가시성이나 위협의 빈틈이 생기기 쉬운 환경이다.

여기에 최근 스마트 팩토리 도입이 활성화되며 공격 표면적(Attack Surface) 역시 넓어지고 있기 때문에, OT 보안에 대한 준비가 부족하면 조직은 물론 기반 시설을 이용하는 일반 이용자들까지 피해가 커질 수 있다.

안랩은 이러한 최근의 환경 변화에 대응해 빈틈없는 보안을 제공하고자 전체적인 OT 보안 프레임워크와 해당 프레임워크를 구성하고 있는 솔루션을 더욱 고도화하고 견고하게 발전시켜나간다는 계획이다.

안랩 황재훈 부장은 “OT 보안 프레임워크와 각 솔루션을 강화하기 위해 안랩은 먼저 각 솔루션 단위에서 운영체제, 다양한 프로토콜, 자산 등에 대한 지원 범위를 확장해가는 동시에, OT 보안 프레임워크 관점에서 제품 간 시너지를 강화하는 노력을 지속할 예정”이라고 강조했다.