정교한 이상행위 분석·포괄적인 가시성으로 OT 보호
[데이터넷] OT타깃 공격의 많은 사례가 IT에서 시작한다. 콜로니얼 파이프라인을 공격한 다크사이드도 이메일 피싱으로 IT망 침해 후 OT 영역으로 이동한 것으로 알려진다. 그래서 IT 보안 기업들이 사이버 보안 전문성을 통해 OT도 보호할 수 있다고 자신하며 시장 진출 속도를 내고 있다.
IT 보안 기술로 OT를 보호할 수 없는 이유가 산업용 프로토콜과 임베디드 소프트웨어를 지원하지 못하기 때문인데, 최근 OT는 표준화를 추진하면서 상당부분 IT에서 지원 가능한 기술로 범용성을 높이고 있다. 그래서 IT 보안 기업들은 퍼듀모델 레벨 3에 해당하는 HMI, PLC까지 보호할 수 있다고 주장한다. 레벨3에서 주로 사용하는 기기는 주로 윈도우 기반으로 작동하며, 프로토콜도 TCP/IP를 사용하거나 IT 보안에서 지원 가능한 잘 알려진 산업용 프로토콜을 사용하기 때문이다.
IT 기업은 OT와 IT를 연계한 통합보안이 가능하다는 점을 강조하며 시장 공략에 나선다. 다크트레이스의 경우 비지도학습 기반 머신러닝 기술을 이용해 프로토콜에 상관없이 IT-OT 통합 위협 분석과 대응이 가능하다고 주장한다. 다크트레이스는 사전에 학습된 내용 없이 현장에 설치돼 이상행위를 파악하기 때문에 현장의 특수성에 구애받지 않고 위협을 탐지할 수 있다고 강조한다.
다크트레이스 ‘산업용 면역시스템(IIS)’은 OT, IT, IoT 전반을 가시화하며, OT를 위한 사이버 AI를 제공해 시스템의 정상 상태와 비정상 상태를 정확하게 구분한다. 검증된 위협 차단 기술을 이용해 글로벌 주요 에너지·공공시설, 제조시설, 석유·가스 시설, 스마트시티, 해양 플랜트 등 다양한 산업군에 공급됐다.
마이크로소프트는 클라우드 플랫폼 ‘애저’에 통합되는 OT 보안 기술을 적용한다. 마이크로소프트는 지난해 사이버엑스를 인수하고 이를 애저 플랫폼에 통합시켜 ‘애저 디펜더 포 IoT’를 출시했다. 이 제품은 OT 네트워크에 연결된 모든 기기를 가시화하고, 네트워크 상의 이상행위를 탐지한다. AI·머신러닝을 이용해 지능적으로 이상행위를 탐지하며, 사용자 및 엔티티 행위 분석(UEBA)을 적용해 내부자에 의한 위협도 탐지한다.
이를 애저에서 통합·분석하고, ‘애저 센티넬’이나 써드파티 SIEM·SOAR와 연동해 전체 공격을 파악하고 대응할 수 있게 한다. 클라우드 연결이 제한된 폐쇄망 환경에서는 애저의 기술을 온프레미스로 구축할 수 있다.
또 마이크로소프트는 펌웨어 보안 기업 리펌랩스를 수하며 IoT 보안도 강화하고 있다. 리펌랩스는 수천가지 기기의 유형을 분석하고 패치되지 않은 취약점과 안전하지 않은 비밀번호 등을 파악해 조치할 수 있게 한다.
더불어 마이크로소프트는 OT 쓰렛헌팅 조직인 ‘섹션52(Section 52)’를 운영, OT 타깃 공격을 전문적으로 분석하고 대응 방안을 안내한다. 이를 IT 보안과 연계해 공격그룹의 특성을 파악하고 신속하고 정확하게 대응책을 마련해 배포할 수 있다. 또한 업계 특수한 컴플라이언스와 업계의 보안위협 트렌드, 해당 기업이 직면한 문제까지 지능적으로 식별하고 대응할 수 있다.
마이크로소프트는 OT 보안 기술을 스마트팩토리, 에너지·발전, 제약·의료 등 OT 보안이 필요한 다양한 산업군과 데이터센터·스마트빌딩 등의 분야에도 제공할 계획이다.
엔드포인트·네트워크 연계 보안 지원
카스퍼스키 역시 OT 보안 전문 브랜드 ‘카스퍼스키 산업용 사이버 시큐리티(KICS)’를 국내에 소개하며 시장 공략에 나섰다. KICS는 수년 전부터 글로벌 시장조사기관으로부터 인정받는 OT 보안 제품군으로, OT 침입탐지, 자산 인벤토리, OT 엔드포인트 보호 등의 기술을 제공해왔다.
KICS는 네트워크 이상행위 탐지 솔루션 ‘KICS 포 네트웍스’, 엔드포인트 보안 솔루션 ‘KICS 포 노드’, 통합관리 솔루션 ‘카스퍼스키 시큐리티 센터(KSC)’ 등의 솔루션과 OT 보안 컨설팅, 보안관제, 침해대응, 교육 등의 다양한 서비스를 제공한다.
엔드포인트 가시성과 통제를 지원하는 NAC도 OT 보안 시장에서 의미 있는 활동을 이어가고 있다. NAC는 다양한 엔드포인트 기기를 식별하고 관리할 수 있기 때문에 여러 종류의 엔드포인트가 연결되는 OT 엔드포인트 통제에 효과적이다.
포어스카우트는 통합 IoT 플랫폼을 통해 NAC와 IoT 가시성 문제를 해결하고 있다. 또 OT 보안 전문기업 시큐리티매터스 인수로 확보한 OT 보안 전문성을 통합 플랫폼에도 적용해 OT 보안뿐 아니라 IT-OT 융합보안 시장도 공략한다.
지니언스는 NAC와 EDR을 결합한 엔드포인트 보안전문성으로 OT 보안 시장을 공략한다. 지니언스는 이미 오래전부터 국내 복수의 글로벌 제조기업 OT 망에 NAC를 공급해왔으며, 해외에서도 OT/ICS 엔드포인트 통제 시스템으로 구축됐다.
지니언스는 ‘지니안 NAC’와 EDR 솔루션 ‘지니안 인사이츠 E’로 레벨3 수준의 가시성과 통제가 가능하다고 주장한다. 여기에 레벨 1~2 수준까지 지원하는 기술을 추가한 ‘OTIS’ 솔루션으로 OT 보안 전문성을 강화한다. 산업용 등급의 하드웨어와 산업용 프로토콜을 수집·분석하는 펌웨어 최적화, 단방향 전송기술 등이 포함된다.
안동희 지니언스 전문위원은 “대부분의 OT 보안 기술은 센서를 이용해 산업현장 ICS 운전 데이터를 수집해 클라우드로 전송하는 구조다. 내·외부망 연동으로 인해 역방향 침입 경로가 생성될 수 있다”며 “OTIS는 센서와 외부 통신망 사이를 단방향 데이터 전송 구조로 설계해 외부 침입을 차단한다”고 말했다.
