제조 보안(OT/ICS)은 산업부터 일상생활까지 모든 분야 산업군에서 핵심적인 역할을 수행하고 있다. 제조업이 국가 주요 산업인 우리나라의 경우, OT/ICS 보안은 무엇보다 중요하다. OT/ICS를 쉽고 빠르게 적용할 수 있는 방법은 무엇일까? 지난 3월 8일 열린 제조 보안 세미나에서 투씨에스지 나현식 매니저가 발표한 내용을 정리했다.
대한민국의 주요 산업 구조 도식화를 살펴보면, 제조업과 공공사업의 중요도를 알 수 있다. 반도체, 자동차, 선박, 의약품 등 대한민국 주력 산업이 제조화하는 과정에 따라 전부 제조업으로 분류되고 있기 때문에 대한민국 부동의 1위 산업은 제조업이다.
과학기술정보통신부가 발표한 ‘2023 사이버 보안 위협 전망’ 보고서에 따르면 국가/산업 보안을 위협하는 글로벌 해킹 조직의 공격 증가, 재난/장애 등 민감한 사회적 이슈를 악용한 사이버 공격 지속, 지능형 지속 공격과 다중 협박으로 무장한 랜섬웨어의 진화, 디지털 시대 클라우드 전환에 따른 위협 증가, 갈수록 복잡해지는 기업의 소프트웨어 공급망과 위협 증가가 주요 보안 위협사항으로 꼽히고 있다.
이런 보안 위협사항과 대한민국 주요 산업의 교집합이 바로 ‘운영 기술 OT/ICS 보안’, 즉 제조 보안에 대한 위협이다.
운영 기술이란?
운영 기술(Operation Technology)이란 하드웨어 및 소프트웨어를 사용해 산업용 장비를 제어하는 방식을 말한다. OT는 제조, 에너지, 의료, 건물 관리, 기타 업종에서 사용되는 전문 시스템을 포괄한다.
OT/ICS는 특정 산업군에서만 쓰이는 것이 아니라 일상생활 모든 분야에서 다 사용되고 있고, 대한민국 전체의 한 축을 담당하고 있는 핵심 기술이라 할 수 있다.
OT/ICS가 직면한 위협
대한민국 모든 산업의 핵심적인 역할을 수행하고 있는 OT/ICS가 직면하고 있는 대표적인 위협을 꼽자면 소프트웨어의 오류와 결함, 해커의 공격 등이다.
사람이 제어할 경우 실수하지 않으면 이상 행동이 일어날 일이 없는데, 자동·원격·인공지능으로 제어하게 되면 시스템 오류로 실수가 발생할 수 있다. 특히 과거 물리적 보안이 주된 관심이었던 OT 장치는 이제 네트워크에 연결됐기 때문에, 새로운 사이버 보안 문제도 발생한다.
OT/ICS에 사고가 발생하면 유해 물질 누출, 원자재 대량 폐기 등의 대규모 환경 파괴, 대규모 정전 등의 작업자 인명 피해, 브랜드 이미지 악화 등 거버넌스 측면에 문제가 발생한다. 특히 정보 보안 사고가 인명피해로까지 이어질 수 있다는 점은 OT/ICS 보안의 중요성을 다시금 상기시킨다.
OT/ICS 보안이 어려운 이유
이렇게 중요한 OT/ICS 보안이 어려운 이유는 무엇일까? 다음과 같이 3가지 이유를 들 수 있다.
첫째, 정보 및 경험의 부족이다. 제어시스템 운영사는 보안 현황, 탐지 및 대응 방안을 모르고, 보안업체 및 컨설팅사는 고객사 환경과 고정 프로세스를 모르고, 생산 설비의 사이버 위협과 취약점을 모른다.
둘째, 협업의 어려움이다. 제어시스템 운영사는 기밀 사항이라 정보 제공이 어렵고, 보안업체는 불충분한 정보로 고품질 결과물을 제공하기 어렵다. 또한 현장의 생산팀은 보안에 대한 필요성을 상대적으로 적게 느끼고, 보안팀은 탐지된 내용을 확인할 방법이 없다. 단일 조직 내에서 이뤄질 수 있는 프로젝트가 아니기 때문에, 협업이 어럽다는 점이 가장 큰 실패 포인트 중 하나다.
셋째는 IT 분야 특성의 난해함과 복잡성이다. 제조사, 제품, 버전, 관리 주체, 도입 시기 등이 다 다르기 때문에 OT/ICS 보안 총괄이 어렵다. 컴퓨터나 모바일 등은 합의된 표준 프로토콜을 사용하는데, 산업용 설비들은 각 다른 산업용 프로토콜 방식을 사용하기 때문에 기존 보안장비에서 분석이 제한돼 OT/ICS 보안은 더욱 어렵다.
OT/ICS 사이버 보안 수행 방안
OT/ICS 수행방안에 중요한 포인트는 운영 중인 설비에 영향을 주지 않고, 산업용 프로세스/프로토콜을 이해하는 것이다.
보안 데이터는 직관적으로 이해할 수 있어야 한다. 누구와 통신을 하고 있는지, 어느 망과 연결되어 있는지, 어떤 자산들이 연결되어 있는지를 직관적으로 알 수 있는 시각화가 필수다. 이런 가시화는 실시간으로 업데이트되어야 하며, 지속성이 중요하다.
취약 부분을 정확하게 인지하고 있는 탐지 영역도 보안 솔루션에 매우 중요한 영역이다. 위협 인텔리전스를 활용해 해킹 공격, 자산에 포함된 취약점을 탐지할 수 있다. OT/ICS 보안이 어려운 이유는 설비, 제조자, 중요도 등이 각기 다른 점이었다.
인공지능 시스템의 추론을 활용하면 운영 중인 설비의 비정상 행위를 감지할 수 있고 비즈니스 가동 중단 위험 상황을 탐지할 수 있다. 현실적으로 접근하기 가장 좋은 방법이며, 높은 신뢰성을 제공한다.
OT/ICS 사이버 보안 실제 사례
OT/ICS가 제어 네트워크 폐쇄망이라고 주장하는 경우가 많지만, 실제로 가시화해보면 폐쇄망이 없는 경우가 많다. 침해 사례를 살펴보면 보안 레벨이 다른 네트워크를 통해 접근하는 경우가 많았다. A사의 경우에도 사내 보안실무자와 현장 담당자 모두가 완벽한 폐쇄망임을 믿어 의심치 않아 사고가 발생했다.
B사는 사내 업무망에 확산해 제어망으로 접근을 시도하는 랜섬웨어를 탐지해 운영 중단 사고를 예방했다. 사례를 살펴보면 현장 운영자는 OT/ICS를 손쉽게 관리할 수 있을 것이라고 생각하지만, 실제 현장에서 관리하는 것은 매우 어렵다. 현장의 일은 너무나 많고 보안 위협은 어디서든 일어날 수 있기 때문이다.
사이버 위협에 대응하기 위해 NIST-800-82, IEC-62443, CMMC, NIS 규제항목 등 다양한 컴플라이언스가 존재한다. 현장 실무자는 섹터별, 산업군, 국가별, 계열사별로 존재하는 너무 많은 컴플라이언스에 오히려 더 곤란함을 느낀다.
주요 컴플라이언스의 공통점을 꼽아보면 △OT 네트워크 모니터링 △네트워크 세분화 △위협 인텔리전스 △복구 계획 △자산 및 취약점 파악 △안전한 제조사 선택과 운영 등이 공통적으로 나타난 중요 요소였다.
투씨에스지는 글로벌 OT 보안 전문기업 노조미 네트웍스 총판으로, 국내 여러 OT/ICS 운영사와 제조시설에 차별화된 OT 보안 솔루션과 서비스를 공급하고 있다. 노조미네트웍스는 주요 컴플라이언스의 보요소를 제공해 현장의 OT/ICS 보안을 책임질 수 있다.
정리하며
OT/ICS 보안은 모든 사이버 보안사고 중 가장 큰 피해를 발생시킨다. 특히 한국의 경우 제조업이 국가 주요 산업이며 디지털 전환에 적극적인 나라다. 산업 분야 및 일상에 디지털 전환이 진행되어 있기 때문에 해커들에 가장 매력적인 공격 대상이다. OT/ICS 보안 문제를 예방할 수 있는 전문 솔루션이 필요한 시점이다.
함수미 기자 |