-
CPS 프로텍션 플랫폼 시장 가이드 ㈜앤앤에스피 사이버 위협이 증가하면서 과거 운영기술(OT) 보안 시장이 진화하고 있다. 가트너는 OT 환경이나 미션 크리티컬 환경에서 자산을 식별하고 보호하는 사이버 물리시스템 보호 플랫폼이 주요 시장 카테고리가 됐다고 밝혔다. OT보안을 넘어 CPS 보호플랫폼으로 확장이다. 사이버 위협 증가로 관련 CPS보안 솔루션 도입이 가속화되고 있다. 기존 공급 기업과 신규 공급기업이 시장에서 더욱 공격적인 영업을 하고 있다. 신규 진입 기업은 그동안 커버되지 않았던 버티컬 영역을 공략한다. OT보안에서 이런 부분이 결합하면서 CPS 보안 플랫폼 시장이 형성되고 성장 중이다. 기존 기업은 수동적 심층 패킷 검사에 주로 집중했다. 최근 기업은 네이티브 프로토콜 액티브 쿼리를 비롯해 다양한 추가 기술을 개발해 차별화를 꾀한다. 취약성 관리, 위협 인텔리전스, 시각화, 알람, 플레이북, 피드 등의 추가 기능을 배포한다. CPS 보안을 위한 자산 중심 보안 구조를 만들고 있다. CPS 시장 정의 가트너는 사이버 위협이 증가하면서 일반 운영기술(OT) 보안 시장이 빠르게 진화하고 있다고 정의했다. 생산과 미션 크리티컬 환경에서 자산을 검색하고 보호하는 물리 시스템 보호 플랫폼(CPS Protection Platform)이 주요 시장 범주로 부상했다. 가트너는 CPS 보호플랫폼 시장을 산업용 프로토콜, 운영/생산 네트워크 패킷, 트래픽 메타데이터, 물리적 프로세스 자산 동작에 대한 노하우를 기반으로 생산시설 등 미션크리티컬 시스템과, 엔터프라이즈 IT 환경을 보호하는 제품과 서비스로 구분했다. 가트너는 CPS를 물리적 세계와 상호작용하는 감지, 제어, 네트워킹, 분석을 조율하는 엔지니어링 시스템으로 정의한다. CPS 플랫폼 특징 CPS 자산의 검색, 가시성 및 분류(Discovery, visibility and categorization of CPS assets) 자산의 상세한 혈통(Detailed pedigree of assets) 독점적인 산업 프로토콜 지원(Support for proprietary industrial protocols) 상세한 네트워크 다이어그램 및 데이터 흐름(Detailed network diagrams and data flows) 취약성 정보(Vulnerability information) 위협 인텔리전스 관리(Threat intelligence management) IT 보안 도구와 통합(Integration with IT security tools) CPS 프로텍션 플랫폼 개요 시장방향성 표적 위협의 증가와 변화 전문 보안 기술 부족을 완화하는 기능 신흥 규제 지침 모든 기술 환경에 대한 가시성 강화 취약성 급증을 관리하는 더 나은 방법 IT 보안과 CPS 보안 간의 연결 증가 왜 CPS 보안 플랫폼 시장이 중요한가? 중요한 인프라와 제조, 운송, 유틸리티, 건물관리, 의료 등 분야에는 CPS가 운영된다. 이를 OT라 부르기도 하고 사물인터넷이나 스마트빌딩솔루션, 인더스트리4.0이라는 명칭으로 부르기도 한다. 명칭에 관계 없이 이들의 공통점은 디지털로 관리되지만 실제 물리 세계와 상호작용하는 것이다. 이런 자산에 대한 보호는 초기에는 네트워크 보안 중심으로 시작돼 OT보안으로 불렸다. 가트너는 이런 추세가 최근 5년 사이 자산 중심 보안으로 확대 진화하고 있다고 설명했다. OT 보안에서 CPS 보안으로 진화(자료: 가트너) 초기 기업과 조직에서 생산과 관련된 자산은 특정 사용자의 작업을 수행하기 위해 설치했다. 보안에 대한 고려 없이 설치된 사례가 많다. 이런 자산과 에어갭(Air Gap)으로 분리된 망에 설치됐다. 인터넷 네트워크와 연결되지 않았다는 의미다. 그러나 생산 시설 등 중요 인프라의 디지털화가 가속화 되면서 이런 접근에 위기가 찾아왔다. 산업 시스템이 서로 연결되기 시작했다. 여기서 그치지 않고 산업 시스템은 엔터프라이즈 IT시스템과도 연결됐다. 이런 추세에 맞춰 운영기술 네트워크 중심의 보안 구조가 도입되기 시작했다. 방화벽과 데이터 다이오드, DMZ 등 네트워크 중심 보안 규율이 등장했다. 이제 시장은 CPS 자산 중심 보안으로 진화했다. 기존 및 신규 자산이 많아지고 복잡해졌다. 조직은 단순히 네트워크만 보호 해서는 안되는 상황에 직면했다. 조직은 OT를 넘어 IoT, IIoT, 스마트빌딩, 헬스케어 기기 등까지 보호하는 CPS의 한 종류라는 것을 인식하고 있다. 가트너가 정의한 CPS 보안 솔루션 종류 CPS 단방향 데이터 흐름 솔루션 (CPS unidirectional data flow solutions) CPS 공급망 보안 솔루션(CPS supply chain security solutions) CPS 콘텐츠 해제 및 재구성 솔루션 (CPS content disarm and reconstruction solutions) CPS 사이버 위험 정량화 플랫폼 (CPS cyber risk quantification platforms) CPS 디셉션 솔루션 (CPS deception solutions) CPS 펌웨어/ 임베디드 시스템/장치 보안(CPS firmware/embedded systems/device security) CPS 네트워크 중심 솔루션(CPS network-centric solutions) CPS 온보드 진단 솔루션(CPS onboard diagnostics solutions) CPS 보호 플랫폼 (CPS protection platforms) CPS 보안 원격 액세스 솔루션(CPS secure remote access solutions) CPS 보안 서비스(CPS security services) 시장 방향 CPS 보호 플랫폼 시장이 부상한 것은 관련 위협이 증가하고 있기 때문이다. CPS는 기업에서 핵심 가치를 창출하는 자산이다. 이 시스템이 멈추면 제품 생산이나 서비스가 장애를 겪는다. 시스템이 더 많이 연결 되면서 사이버공격표면이 증가했다. 사이버 범죄자는 랜섬웨어나 표적 해킹으로 CPS운영 사업자를 노린다. 송유관 기업부터 조선업체 공장 가동 중단까지 알려진 사이버 공격 건수가 급증하고 있다. 인더스토리어V2와 파이프라인드림 등 산업 환경에 침투하기 위해 특별히 개발된 악성코드가 계속 등장하고 있다. CPS와 관련한 취약점도 계속 발견된다. 보안 연구자와 공급 기업은 연결되는 운영자산이 늘어나면서 취약점 찾기에 집중한다. 하지만, 이에 대한 보안 업데이트는 쉽지 않다. 운영자산 판매 기업은 취약성 문제를 판매 후 사후에 처리해야 할 문제로 간주했다. 운영 시스템은 보안 취약점 패치가 쉽지 않다. 공장이나 생산라인을 중단한 뒤 취약점 패치를 해야 한다. 제품 생산성 및 시스템 운영 신뢰성과 밀접한 연계가 있기 때문에 보안 업데이트가 제대로 이뤄지지 않는다. CPS 운영팀은 보안 업데이트로 인한 생산 중단과 라인 안전성을 걱정한다. 관련 보안 전문가가 부족하기 때문에 운영팀을 설득하기 쉽지 않다. 이 때문에 관련 도구와 플레이북에 대한 수요가 증가하고 있다. 여기에 CPS를 보호해야 하는 규정과 지침, 프레임워크가 등장하고 있다. 각국 정부는 중요 인프라를 운영하는 조직에 대한 위협 증가를 인식한다. CPS 기술 환경이 국가 안보와 경제 번영의 핵심 사항임도 인식한다. 이로 인해 새로운 규정과 지침, 프레임워크 등을 만들고 있다. 기업들은 자산 검색에서 시작해 보안과 거버넌스를 지원한다. 기업과 조직은 보안팀과 생산, 엔지니어링 팀을 연결하는 다양한 기능으로 진화하는 CPS 보호 플랫폼을 중심으로 보안 거버넌스를 수립한다. 시장 분석 CPS 보호 플랫폼 시장은 신규 진입 기업이 증가하고 있다. 5년 전 이 카테고리 공급 기업은 10개 정도에 머물렀다. 현재는 45개로 증가했다. 이 결과 고객은 그 어느 때보다 더 많은 선택권을 갖게됐다. 공급기업은 경쟁기업과 차별화를 추구하기 위해 새로운 기능을 지속해 추가한다. 주요 기능은 다음과 같다. 자산 검색(Asset discovery): 초기 시장을 개척한 기업은 수동 포트 미러링과 심층 패킷 검사로 시작했다. 이제는 많은 기업이 다른 접근 방식을 추가한다. 기본 산업 프로토콜을 사용하는 능동쿼리, 인간-기계 인터페이스(HMI), 프로그래머블 로직 컨트롤러(PLC) 등 자산 프로젝트 파일 분석, 디렉토리, 백업 및 복구시스템 등을 통해 보강하고 있다. 과거보다 더 세분화된 출력을 허용하는 독점적인 접근 방식이 포함된다. 솔루션 간에 또 다른 차별화 포인트는 산업용 통신 프로토콜 지원 개수다. 일부 솔루션은 100개 미만에서 450개 이상까지 다양하게 산업용 통신 프로토콜을 지원한다. 자산 검색 충실도와 깊이가 솔루션 경쟁력의 큰 부분을 차지 한다. 표시되는 자산 속성(Asset attributes displayed): 가장 일반적인 속성에는 자산 이름, 카테고리, 유형, 공급업체, 모델, 일련번호, 연결정보, IP 및 MAC 주소, 무선 AP 위치, OS/소프트웨어/펌웨어버전, 네트워크, 서브넷, 가성 LAN, 패치수준, 열린 포트 등이 포함된다. 고급 기능에는 재무 프로필, 기기 소유자, 위도 및 경도 지리 정보, USB 기기 및 상태, 상황에 맞는 물리적 프로세스 중심 변수, 사용자 지정 속성을 구성하는 기능이 포함된다. 배포 모델(Deployment models) : 대부분 솔루션은 온프레미스와 클라우드기반(프라이빗 or 퍼블릭)이나 하이브리드 옵션을 제공한다. 대부분 솔루션은 물리적이나 가상, 컨테이너 기반 센서를 배포해야 한다. 센서를 올바르게 배치해야 좋은 결과를 얻을 수 있다. 센서 배포를 쉽고 빠르게하는 것도 공급 업체가 차별화할 수 있는 포인트다. 토폴로지 및 데이터 흐름 매핑(Topology and data flows mapping): 대부분의 솔루션은 모든 자산 간 연결과 데이터 흐름관련 시각화를 제공한다. 일반 형식에는 퍼듀 모델 맵, VLAN 맵, 영역 클러스터맵, 외부 통신 데이터 흐름 맵, 자산 및 그룹 맵 등이 포함된다. 고급 기능에는 정확한 지리적 위치가 포함된 세계 맵, 자산 수준 애플리케이션, 위험 및 경보 수준, 사용자 지정 매핑, 디지털 트윈 생성까지 포함하는 경우도 있다. 네트워크 세분화(Network segmentation) : 생산과 미션 크리티컬 환경은 암묵적인 신뢰 영역에 크게 의존해 운영된다. 적절한 네트워크 세분화는 공격 표면을 억제한다. 대부분은 솔루션은 VLAN, 자산 카테고리, 유형, 보안 상태 등 속성을 기반으로 그룹화할 수 있다. 모든 주요 네트워크 접속 제어(NAC)나 방화벽에서 사용할 수 있는 시스템 기능을 기반으로 세분화 접근 방식을 생성할 수 있다. 고급 솔루션은 데이터 다이오드로 볼 수 있다. 취약성 관리(Vulnerability management) : 취약점 수는 계속 증가하고 동시에 CPS 패치는 여전히 매우 어렵다. 대부분 일반 취약점 데이터베이스(CVE)와 제조업체 리콜 데이터베이스, 타사 취약점 리포지토리에 악용된 것으로 알려진 취약점의 우선 순위를 지정하는 형태로 이뤄진다. 안전하지 않은 애플리케이션 사용과 기본 비밀번호를 표시하고, 대체할 수 있는 보안 방법을 제공한다. 고급 솔루션에는 IT스캐너가 CPS를 건드리지 못하게 방지하는 매커니즘과 자산 중요도와 악용 가능성에 따라 위험 점수를 제공하는 메커니즘도 들어있다. 위협 인텔리전스(Threat intelligence) : 대부분 CPS 솔루션에는 위협 인텔리전스 피드와 IoC, 서명 기반 탐지, ICS 프레임워크용 MITRE ATT&CK에 맞춰 조정된 보고서와 변칙적 플래그 지정 등이 포함된다. 고급 솔루션에는 심층 분석, 공격 시뮬레이션맵, STIX/TAXII 형식의 머신 판독 가능 위협 인텔리전스 데이터 수집, 연구팀이 선별한 산업별 위협 인텔리전스 기능 등이 포함된다. USB 포트 모니터링과 같은 특화된 위협 인텔리전스도 들어간다. 전문 서비스와 파트너십: 대부분 기업은 솔루션 평가와 배포, 지원을 위한 전문 서비스를 제공한다. 글로벌 채널 모델을 구축하고 있다. 일부 기업은 파트너와 리셀러 체계를 운영한다. 일부 기업은 자체 솔루션을 다른 솔루션에 공개적으로 화이트 라벨링 하기도 한다. 가격 모델: CPS 보안 시장 가격은 블록 단위 자산 수(ex: 월 100개당, 연간 1~2500 또는 1~10,000씩 증가) 등 다양한 형태나 연간 구독료 형태로 책정된다. 필수 기능과 고급 기능이 별도로 구별된다. 기업 라이선스 계약이나 대역폭에 따른 센서 가격을 책정한다. 일부 기업은 최대 1000개 장치에 대해 오랫동안 약정을 유지하기 위해 30일 평가판을 제공하기도 한다. 보안 프레임워크 조정(Security frameworks alignment): 많은 솔루션은 이미 NIST 사이버 보안 프레임워크(CSF), NIST SP 800-82, MITRE, IEC-62443, HIPAA, ISO2700x 제품군 등에 맞춰 조정된 대시보드와 보고서를 보유하고 있거나 구축 중이다. 핵심 속성 외 추가 기능: 공급 기업이나 직원의 원격 접속을 보호한다. 산업별 위협 검색 및 정보 공유, 사고 대응 및 법의학, 특정 산업 내 자산에 대한 CPS 효율성(활용도, 가동 시간)관련 플레이북을 주기적으로 발표한다. 일부 기업은 생성AI를 활용한 기능 추가도 로드맵으로 제시했다. 초기 구매 고객이 다시 구매 시작 가트너에 들어오는 고객 문의에 따르면 1세대 CPS 보호 플랫폼을 구매했던 고객이 새로운 기능이 추가된 솔루션 구매에 관심이 높다. 특히, 이 분야는 깊이 있는 산업 지식이 중요하기 때문에 버티컬 업종별로 공급 기업이 부상하고 있다. 의료, 국방, 철도, 해상 운송 등 일부 버티컬 산업에는 배포된 시스템과 프로토콜, 판매 주기, 안전 및 보안 문화에 따른 고유한 요구사항이 있다. 일부 기업은 이런 고유성을 수용해 버티컬 환경에 맞는 솔루션을 제공하는데 집중한다. CPS 환경으로 시장 입지를 확장하려는 클라우드 제공업체도 버티컬 보안 서비스를 제공하는데 집중하고 있다. 투자 라운드 빈도와 규모의 둔화 최근 스타트업 투자 시장은 거시경제 압박으로 인해 규모와 속도가 느려졌다. 향후 몇 년간 통합과 인수, 퇴출이 발생한 가능성이 높다. 기업은 지속적인 상호 운용성과 배포 용이성, 교체 용이성을 신경 써야 한다. CPS 보안과 IT보안 공급 기업간 연결 지난 2년간 IT보안과 CPS 보안 솔루션간 연결이 눈에 띄게 증가했다. CPS보호 플랫폼 기업은 CMDB, NAC, 방화벽,스위치, SIEM, SOAR, XDR, SOC, 사이버 자산 공격 표면 관리 등 기존 IT 공급 업체와 파트너십과 API 통합에 주력했다. 주요 기업 기업명 본사 위치 솔루션 AirEye Tel Aviv, Israel AirEye Dome Armis Palo Alto, California Armis Asset Intelligence and Security Platform Claroty New York, New York The Claroty Platform Cylera New York, New York Cylera Command Platform Cylus Tel Aviv, Israel CylusOne Darktrace Cambridge, England Darktrace/OT Dragos Hanover, Maryland The Dragos Platform Forescout San Jose, California Forescout Platform Fortinet Sunnyvale, California OT Aware Security Fabric Microsoft Redmond, Washington Defender for IoT Nozomi Networks San Francisco, California Nozomi Networks Platform OPSWAT Tampa, Florida OPSWAT Neuralyzer Ordr Santa Clara, California Ordr Connected Device Security OTORIO Tel Aviv, Israel RAM2 Industrial-Native Operations Security (Risk Management) Platform Palo Alto Networks Santa Clara, California Zero Trust OT Security Solution Phosphorus Cybersecurity Nashville, Tennessee Phosphorus Unified xIoT Security Management Platform SCADAfence New York, New York SCADAfence Platform Tenable Columbia, Maryland Tenable OT Security Verve Industrial Chicago, Illinois Verve Security Center Xage Security Palo Alto, California Xage Fabric 시장 추천(Market Recommendations) 기업 IT시스템을 넘어 조직 전체에 사이버 보안 위협이 줄어들지 않고 있다. 조직 내 모든 CPS 자산을 평가해야 한다. IT 중심 도구가 처리할 수 없는 취약성 관리, 위협 인텔리전스, 특수 보호를 위한 솔루션이 있는지 확인한다. 조직 내부에 어떤 자산이 있는지 알지 못하면 보호할 수 없다. CPS는 보안팀 관여 없이 사업부별로 배포되고 디지털 혁신이 가속화되며 더욱 늘어난다. CPS가 존재하는 생산과 미션 크리티컬 환경은 맞춤형 세계다. 기존 IT 엔드포인트 제품과 달리 CPS는 수명 주기가 길고, 특정 기능을 수행하게 설계됐다. M&A를 통해 인수한 시설이 있을 수 있고 여러 제조사 CPS가 혼재됐을 가능성이 높다. 해당 시장은 실제 환경에서 도구를 테스트하고 비교하는 것이 중요하다. CPS 보호 플랫폼을 통해 아래 사항을 해결할 수 있는지 체크해야 합니다. 관리되지 않은 자산은 어디에서나 연결된다. 운영체제는 디폴트 패스워드가 변경되지 않은 상태로 배포된다. 처음에 분리돼 설계된 OT 네트워크가 실제는 그렇지 않은 경우가 많다. 원격 시스템의 포트가 열려있는 경우가 많아. OEM은 판매한 시스템에 원격으로 접속하고 있는데 이를 관리하는 사람은 없다. 이전 OS에서 공개된 취약점이 패치를 적용할 수 있는지 평가된 적이 없다. 중앙 집중 거버넌스가 없다.
- 2023년 11월 17일 (금)
- Manager
- 793
-
OT/ICS 보안 기술 현황 및 전망 ㈜앤앤에스피, 김기현 연구소장 4차 산업혁명, IIoT(Industrial IoT), 5G, AI 등 혁신 기술은 ICS(Industrial Control System)와 OT(Operational Technology)의 새로운 물결을 가져옴으로써 생산성, 안전성, 운영효율 증대 등의 형태로 많은 이익을 가져오고 있는 반면 사이버 공격자의 중요한 표적이 되고 있다. 2018년 세계 최대 파운드리 기업인 대만의 TSMC 공격, 2019년 세계 최대 알루미늄 기업인 노르웨이 노르스크 하이드로(Norsk Hydro) 공격, 2020년 자동차 제조기업인 일본의 혼다모터스(Honda Motors) 공격, 2021년 미국 최대 송유관 기업인 콜로니얼 파이프라인(Colonial Pipeline) 해킹 등 사이버공격으로 인한 설비 가동 중단에 따른 엄청난 손실과 더불어 랜섬웨어(Ransomware)에 따른 금전적인 요구도 발생하고 있다. 본 고에서는 이러한 OT/ICS 사이버 보안을 해결하기 위한 표준 동향, 기술 동향, 시장 동향 및 향후 과제를 살펴본다. 1. OT/ICS 보안 표준 동향 ISA/IEC 62443 시리즈 표준은 OT/ICS 인프라에 사용되는 산업 자동화 및 제어시스템(IACS, Industrial Automation and Control System)에 대한 국제 보안 표준이며 미국 ISA99 위원회에서 작성한 ISA 62443을 기반으로 작성되었으며 IEC TC65 WG10의 주관으로 관리되고 있다. 개략적으로 살펴 보면 62443-1은 62443 표준 전반에 걸친 개념 모델, 용어 등 일반적인 사항을 규정하고 있다. 62443-2-1은 소유자 및 운영자를 포함하고 자산 소유자 IACS 보안프로그램에 대한 요구사항을 제공하며 62443-2-4는 OT 특정 기술 솔루션의 개발 및 운영에서 자산 소유자를 지원하는 통합 및 유지 관리 서비스 제공업체에 대한 보안요구사항을 제공한다. 또한 62443-3-3 및 62443-4-2는 각각 시스템 및 구성 요소의 보안 기능에 대한 요구사항을 정의하며 62443-4-1은 적절한 보안 기능을 갖춘 제품의 개발 및 지원을 위한 제품 공급업체의 생명 주기 요구사항이 포함되어 있다. ISA/IEC 62443 시리즈 중 국내에서 필요한 우선 순위에 따라 현재 6개가 KS 표준으로 채택되었으며 다음과 같다. 또한 62443과 별도로 산업제어시스템에 대한 보안요구사항 및 지침이 정보통신단체표준(TTAS)으로 제정되어 있으며 다음과 같다. 국내외 ICS 보안 표준에서 ICS 네트워크 구조를 시각화할 때 가장 많이 사용되는 참조 모델이 퍼듀(Purdue) 모델이며 2004년 ISA99에서 제정한 PERA(Purdue Enterprise Reference Architecture)에 기반한다. 퍼듀 모델에서 레벨 4와 5는 엔터프라이즈 영역으로 비즈니스 로직과 생산 프로세스를 지원하는 영역이다. 레벨 0에서 레벨 3까지는 매뉴팩처링 영역으로 OT 프로세스가 실제 가동되는 영역을 나타내며 인더스트리얼 영역으로도 불린다. 매뉴팩처링 영역 내에서 세분화되는 레벨 0에서 레벨 2까지는 셀/구역 영역으로 실제 제조 현장을 구성하는 단위 영역이다. 국제 표준에서는 레벨 3와 레벨 4 사이에 방화벽을 이용하여 DMZ를 구성하도록 권고하고 있어 국내 보안컨설팅 업체들이 이를 기반으로 아키텍쳐를 설계하고 있지만 국내 정보통신단체 표준 및 국내 기반시설 정책에서는 레벨 2 또는 레벨 3와 레벨 4 사이에 일방향 게이트웨이를 권고하고 있어 차이가 발생한다. 2. OT/ICS 보안 기술 동향 일반적으로 ICS 심층방어전략(Defense-in Depth Strategies)은 보안 아키텍쳐 설계, 경계망 보안, 네트워크 보안, 시스템 보안, 어플리케이션 보안, 장치 보안, 보안관리로 구성된다. 본 고에서는 보안 아키텍쳐 설계를 위한 OT 자산 관리 기술, 경계망 보안을 위한 방화벽 또는 일방향 게이트웨이 기술, 네트워크 보안을 위한 OT 비정상행위 탐지 기술, 컴퓨터/어플리케이션 및 장치 보안을 위한 인증 및 권한 관리 기술, 앤드포인트 보안 기술, 패치 관리 기술, 보안관리를 위한 통합보안관리 기술을 중심으로 기술 동향을 살펴본다. [그림] ICS 심층방어모델과 OT 보안 기술 (1) OT/ICS 자산 관리 자산 관리(Asset Discovery)는 OT/ICS 자산을 관리하고 추적하며 사이버 보안 목적으로 OT/ICS 네트워크에 연결된 자산에 대한 데이터를 감지하고 수집한다. 이러한 자산 인벤토리에는 현재 IIoT 장치가 포함된 전형적인 특정 OT 하드웨어는 물론 표준 PC와 장치에서 실행되는 소프트웨어, 가상머신을 포함한다. 자산 검색은 일반적으로 장치 간의 상호 연결을 매핑하고 보안취약성을 분석하며 이상징후 및 위협탐지를 위한 기준선을 설정하는데 사용된다. 일반적으로 네트워크에서 자산을 식별하기 위해 패시브 스캔(passive scan) 또는 액티브 스캔(active scan)을 많이 사용한다. 패시브 스캔은 정확하고 풍부한 자산 정보를 제공하지만 OT/ICS 네트워크에 있는 장비들은 IT 환경에서 사용하는 액티브 스캔에 민감한 편이므로 OT/ICS 환경에 영향을 주지 않는 패시브 스캔 기술이 많이 적용된다. 패시브 스캔을 이용한 국외 제품의 경우 Tenable社 제품이 있으며 국내의 경우 NNSP社제품이 있다. [그림] 액티브 자산 분석과 패시브 자산 분석 (2) 네트워크 분할 및 경계 보안 네트워크 분할 및 경계 보안 제품은 OT 네트워크와 기업 IT 네트워크 사이의 경계를 보호하는데 중점을 두며 여기에는 방화벽(Firewall)과 단방향 게이트웨이(Data Diode, One-Way Gateway)가 포함된다. 방화벽은 다시 IT 방화벽과 산업용 방화벽(Industrial Firewall)으로 구분할 수 있다. IT 방화벽은 OT 네트워크와 IT 네트워크 사이에서 IDMZ(Industrial DMZ)를 구성하기 위해 사용되는 반면 산업용 방화벽은 OT 네트워크에서 하위 네트워크를 분할하기 위해 사용된다. IT 방화벽은 다양한 우회 방법들이 있어 OT 네트워크을 보다 강력하게 보호하기 위해 사용하는 것이 일방향 게이트웨이이다. 일방향 게이트웨이는 한쪽 전송 회선만 연결하고 반대 회선은 끊어진 물리적 일방향 전송 기술을 적용하고 있어 기업망과 제어망 간 안전한 자료 전송을 보장하고 외부 해킹을 원천적으로 차단한다. 국외 제품으로는 Owl社, Waterfall社 제품 등이 있으며 국내 제품으로는 NNSP社, 휴네시온社 제품 등이 있다. [그림] 방화벽과 일방향 게이트웨이 (3) 네트워크 비정상행위 및 위협탐지 네트워크 비정상행위 탐지는 예상되는 동작과 일치하지 않는 비정상적인 패턴을 식별하는데 사용되는 기술로 이 범주에는 침입탐지 및 차단시스템(IDPS, Intrusion Detection & Prevention System)이 포함된다. OT 환경에서는 IT 환경의 TCP/IP 프로토콜뿐만 아니라 BACnet, DNP3, EtherCAT, Modbus, PROFINET 등과 같은 산업용 제어프로토콜에 대한 분석이 필요하므로 IT IDPS는 사용할 수 없으며 OT 분야에 특화된 기술이 필요하다. OT 환경에서는 ICS 네트워크에 어떠한 영향도 주지 않도록 하기 위하여 네트워크 모니터링 기능만 사용하므로 차단(Prevention) 기능은 제공하지 않으며 DPI(Deep Packet Inspection) 기술을 사용하여 산업용 제어프로토콜을 식별하고 명령어 오남용 행위, 손상을 일으킬 가능성 등을 확인하고 경고한다. 국외 제품으로는 Claroty社, DarkTrace社, Nozomi社 제품이 있으며 국내의 경우 NNSP社 제품이 있다. [그림] IT 기반 위협탐지와 OT 기반 위협탐지 (4) 인증 및 권한 관리 인증 및 권한 관리를 위한 IAM(Identify and Access Management) 제품에는 일반적으로 SSO(Single Sign-On), 멀티 팩터 인증(Multi-Factor Authentication), PAM(Privileged Access Management) 등이 포함된다. 이러한 IAM 제품은 보안관리자가 조직 내의 중요한 정보, 자산, 인프라 등에 대한 사용자 접근 제어를 강화하여 내부 및 외부 데이터 침해의 위험을 줄이고 회사 규정 준수하고 감사할 수 있도록 도와준다. OT/ICS 환경에 사용되는 IAM 제품은 IT 분야의 IAM제품과 동일하며 레벨 3 이상에서 필요한 최소 권한을 부여하여 효율적으로 활용될 수 있으나 레벨 2 이하에서는 OT/ICS 장비 특성 상 적용할 수 없는 경우가 많다. (5) 엔드포인트 보안 앤드포인트 보안에는 안티바이러스(Anti-Virus), 개인 방화벽, USB/미디어 통제 등이 이 범주에 속하지만 개인 방화벽이나 USB/미디어 통제 기능 등은 대부분 안티바이러스 제품에 포함되는 경우가 많다. OT/ICS 네트워크에 있는 장치들은 서비스 변경이 허용되지 않거나 패치·업데이트가 어려운 경우가 많아 안전하고 합법적인 것으로 확인된 프로그램 실행만 허용하는 어플리케이션 화이트리스트 제품이 사용된다. 안티바이러스 제품은 IT 제품과 동일하다고 볼 수 있으며 어플리케이션 화이트리스트 제품에는 국외 제품으로 MS社, McAfee社 제품 등이 있으며 국내 제품으로는 안랩社 제품 등이 있다. (6) 패치 관리 패치 관리는 레벨 3 이상에서 PMS(Patch Management System)를 이용한 자동 패치를 사용하지만 레벨 2 이하에서는 새로운 펌웨어 이미지, OS 및 패치는 작업 전 테스트 환경에서 테스트가 선행되어야 한다. 국내 기반시설의 경우 안전한 패치 전달을 위해 클린 PC에서 악성코드를 검사하고 CD/USB를 통해 전달하는 정책이었으나 최근 공급망으로부터 최신의 보안 패치를 안전하고 빠르게 적용하기 위해 일방향 시스템을 적용하는 정책으로 확장되었으며 여기에는 NNSP社 제품 등이 있다. [그림] 패치·업데이트 파일 전달 방법 (7) 통합보안관리 및 컴플라이언스 통합보안관리는 보안운영센터(SOC, Security Operation Center)에서 SIEM(Security Information and Event Management)을 통해 보안 정보와 이벤트가 관리되고 SOAR(Security Orchestration, Automation and Response)를 통해 자동화 및 대응이 이루어진다. 또한 주요 산업 표준(NERC CIP, NIST CSF, IEC 62443, AWIA 등)을 기반으로 컴플라이언스 준수 여부를 식별하고 대시보드, 분석 및 보고 도구를 제공한다. 이 범주의 제품 및 서비스는 IT 보안서비스를 기반으로 OT 보안서비스가 융합되는 형태로 나타나고 있으며 안랩社, 이글루시큐리티社 등 전통적인 보안서비스 업체뿐만 아니라 SK쉴더스, 삼성SDS 등 대기업에서도 IT 보안서비스에서 OT 보안서비스로 영역을 확장하고 있다. 3. OT/ICS 보안 시장 전망 및 향후 과제 글로벌 리서치 회사인 마켓앤마켓(marketsandmarkets)의 “Industrial Control System(ICS) Security Market - Global Forecast to 2026” 보고서에 의하면 글로벌 산업 제어시스템 보안 시장 규모는 2021년부터 2026년까지 연평균 성장률(CAGR) 6.6%로 2021년 171억 달러에서 2026년 235억달러로 성장할 것으로 예상하고 있다. 독일의 Industry 4.0, 프랑스의 Plan Industrial 등과 같은 정부 이니셔티브는 산업 자동화 및 로봇 기술 등으로 IIoT 성장을 촉진시키고, 기반 산업에 대한 보안 침해를 해결하고 산업 사이버 보안을 개선하기 위한 전 세계 정부의 노력은 투자 증가와 함께 OT/ICS 보안 시장 성장을 주도하고 있다. 반면, 국내의 경우 공공 부문에서 주요 정보통신기반시설을 중심으로 OT/ICS 보안에 대한 투자는 증가하고 있지만 민간 부문에서는 대기업을 중심으로 OT/ICS 보안 시장에 문을 두드리고 있으나 확산되지 못하고 있는 실정이다. (1) OT/ICS 보안 인식 변화 세계적으로 OT/ICS 보안은 그 중요성과 함께 지속적으로 발전하고 있지만 국내의 경우 OT/ICS 환경에 대한 에어캡(Air-Gap) 통념, 자동화 시스템에 대한 표적 공격의 상대적 희소성 등으로 인해 많은 산업체에서 위협을 과소평가하고 투자를 꺼리고 있다. 그러나 사이버가 사고가 발생하면 수익 손실, 브랜드 훼손, 고객 신뢰 상실, 지적 재산권 도난, 안전 문제, 심지어 인명 손실까지 발생할 수 있다. 그러므로 OT/ICS 보안은 스마트 공장의 안전한 운영을 보장함으로써 자동화를 활성화하고 재정적, 운영적 또는 인적 손실로부터 산업체를 보호하여 기업 경쟁력을 강화한다는 인식이 제고되어야 한다. (2) OT/ICS 보안 산업경쟁력 강화 기존 보안업체에서는 OT 환경을 IT 환경에서 바라보고 IT 보안으로 OT 보안을 해결하려고 하기 때문에 OT/ICS 현실과 동떨어진 제안이 발생하고 OT 담당자를 설득하지 못한다. 국내 OT/ICS 보안 산업이 발전하기 위해서는 OT/ICS에 특화된 기업의 육성과 신규 창업이 활성화되어야 한다. OT/ICS 전문 기업 활성화를 유도하기 위해서는 OT/ICS 관련 기업에 대한 투자를 늘리고 인수합병 등을 통해 기업 경쟁력을 강화하고 민관이 합동하여 해외수주를 추진하는 등 국가 경쟁력을 강화하여야 한다. (3) OT/ICS 보안에 대한 적극적 정부 참여 스마트 시티, 스마트 교통, 스마트 제조 등과 같은 정부 시책은 IIoT 솔루션의 성장을 촉진시키고 이는 다시 융합 보안 솔루션과 서비스에 대한 수요를 증가시킬 수 있다. 민간 또는 공공 기업이 소유한 산업기반 인프라를 활성화하고 최대한 사이버 보안을 보장하려면 공공 기관, 민간 기업 간의 강력한 협력이 필요하며 사이버 공격 방지를 위해 정부는 법률을 신속하게 개정하고 관련 기관과 협력해야 하는 과제를 가지고 있다. 참고문헌 ISA-62443-1-1. Security for Industrial automation and control system – Model and Concept, March 2017. IEC/TS 62443-1-1. Industrial communication networks – Network and system security – Part 1-1 : Terminology, concepts, model, 2009. 07. NIST SP 800-82, Guide to Industrial Control System(ICS) Security, May 2015. WWW.ISA.ORG/IASGCA, Applying ISO/IEC 27001/2 and the ISA/IEC 62443 Series for Operational Technology Environments, July 2021. IndustrialCyber, Takepoint Research, Buyers Guide 2020 – OT/ICS Cybersecurity, 2020. MarketsandMarkets, Industrial Control Systems (ICS) Security Market - Global Forecast to 2026, https://www.marketsandmarkets.com/ KS X IEC TS 62443-1-1, 산업 통신 네트워크 – 네트워크 및 시스템 보안 – 제1-1부 : 용어, 개념 및 모델, 2009. TTAK.KO-12.0307-part1, 산업제어시스템 보안요구사항 – 제1부: 개념 및 참조모델, 2017. 06. 28. 한국인터넷진흥원, 공장분야 ICE 융합 제품·서비스의 보안 내재화를 위한 스마트공장 사이버보안 가이드, 2019. 12. 스마트공장추진단, 고려대학교, 스마트공장을 위한 최소정보보안가이드라인, 2016. 09. 30.
- 2023년 11월 17일 (금)
- Manager
- 912
-
OT 보안기술로 구현하는 ICS 심층방어전략 ㈜앤앤에스피 김기현 부사장 ■ OT/ICS 보안위협 및 보안 대응의 어려움 4차 산업혁명과 산업용 사물인터넷(IIoT, Industrial Internet of Thins)의 발달은 제조공정 자동화를 뛰어넘어 보다 개방적으로 연결되어 유연하고 효율적이며 지능적인 시스템으로 발전하고 있는 반면 사이버 공격자의 중요 표적이 되고 있다. 2018년 세계 최대 파운드리 기업인 대만의 TSMC 공격, 2019년 세계 최대 알루미늄 기업인 노르웨이 노르스크 하이드로(Norsk Hydro) 공격, 2020년 자동차 제조기업인 일본의 혼다모터스(Honda Motors) 공격, 2021년 미국 최대 송유관 기업인 콜로니얼 파이프라인(Colonial Pipeline) 해킹 등 사이버공격으로 인한 설비 가동 중단에 따른 엄청난 손실과 더불어 랜섬웨어(Ransomware)에 따른 금전적인 요구도 발생하고 있다. 세계적인 이런 기업들이 과연 보안 대책을 갖추지 않았기 때문인가? 이는 아닐 것이다. 기업 규모로 봐서 아마도 철저하게 보안이라는 보안은 모두 적용하고 있을 것이다. 그렇다면 이러한 사고가 왜 발생하는지 추측하면 IT 관점에서의 보안과 IT 보안기술 적용의 한계에 문제가 있을 것이라고 생각할 수 있다. 산업제어시스템 보안 국제 표준인 ISA/IEC 62443이나 NIST SP 800-82 등에서는 기업망과 OT/ICS망 사이 경계망 보안으로 방화벽 모델을 제시한다. IT 환경에서 방화벽 정책은 인터넷망에서 사내망으로의 인바이드 트래픽은 거부하고 사내망에서 인터넷으로의 아웃바운드 드래픽은 허용한다. 그러나 피싱 메일을 통해 악성코드가 유입되고 감염된 악성코드가 C&C로 리버스 접속이 이루어짐으로써 방화벽 우회 공격이 발생한다. IT 환경에서 방화벽은 위와 같은 보안취약성을 내포하고 있지만 OT 환경에서는 보다 복잡해 진다. OT망으로부터 IT망으로 데이터를 수집하는 경우 가장 많이 사용되는 OPC(OLE for Process Control) 프로토콜은 OT망의 시스템이 OPC 서버가 되고 IT망의 시스템이 OPC 클라이언트로 동작하므로 방화벽에서 인바운드 트래픽을 허용해야 한다. 또한 OPC 프로토콜은 기본적으로 보안에 취약한 SMB 포트를 사용하며 RPC 통신을 한다. 그러므로 방화벽은 IT망에서 OPC망으로의 SMB 포트와 RPC 포트를 허용해야 하므로 보안에 취약하며 USB에 의한 악성코드 감염이 발생할 경우 아웃바운드 트래픽이 허용되므로 C&C로의 리버스 접속이 가능해진다. ■ OT 제품기술로 구현하는 ICS 심층방어전략 OT/ICS 보안을 위해 ISA/IEC 62443의 퍼듀 모델이나 NIST SP 800-82에 기반하여 제시되는 보안 아키텍처들은 방화벽, 접근제어, 인증 및 권한 관리, 백신 등 엔드포인트 보안, 패치 및 업데이트, 보안 모니터링 등으로 구성되며 대부분 IT 보안기술과 구분되지 않으며 OT 보안을 위해 OT 보안 특성에 맞게 실질적으로 적용할 수 있는 OT 보안기술이 잘 보이지 않는다. 여기에서는 OT/ICS 보안을 위해 관리적·물리적 보안을 제외하고 OT 솔루션 기술을 기반으로 접근할 수 있는 ICS 심층방어전략(ICS Defense-in-Depth Strategies)를 제시한다. 그림에서 보듯 OT/ICS 보안을 위한 심층방어전략은 보안 아키텍처 설계, 경계망 보안, 네트워크 보안, 컴퓨터 시스템 보안, 어플리케이션 보안, 장치 보안, 통합보안관리로 구성할 수 있다. 하나 하나의 계층적 보안을 적용하기 어려운 면이 많으므로 OT 솔루션 기술을 기반으로 보다 간략하게 구성하면 우선적으로 수행할 부분이 OT/ICS 자산 식별 및 취약성 분석이다. 다음으로 수행할 부분이 OT/ICS망 분리와 경계망 보안이다. 다음으로 앤드포인트 보안 및 패치·업데이트이며 마지막으로 OT/ICS망에 대한 통합관제체계 구축으로 구성할 수 있다. ① OT/ICS 환경 자산 식별 및 보안취약성 분석을 통한 운영 가시화 대부분의 OT/ICS 운영 기관들은 OT/ICS 환경에 대한 운영 가시성이 부족한 실정이며 운영 가시성을 확보하기 위해 무엇을 해야 하는지 어떻게 해야 하는지 알지 못하는 경우가 많다. OT/ICS 운영 및 보안 가시성 확보를 위해 가장 먼저 해야 하는 OT/ICS 자산을 식별하고 통신 구조를 분석하여 이를 가시화해야 하고 보안 전략을 수립하기 위해 자산에 대한 보안취약성 및 보안위협이 선행되어야 한다. OT/ICS 네트워크에 있는 장비들은 IT 환경에서 사용하는 일반적인 액티브 스캔 기술에 민감한 편이며 일부 장비들은 핑 스캔으로도 망가질 수 있다. OT 장비들 중 하나가 무너지면 전체 공정이 무너져 이러한 행위는 재난이 될 수 있다. ICS/OT 환경에서 자산 식별 및 보안취약성 분석은 ICS 환경에 영향을 주지 않고 안전하게 분석할 수 있는 패시브 스캔 기술을 적용해야 한다. ㈜앤앤에스피의 nNetProbe는 네트워크 모니터링을 통해 수집된 패킷에 대해 패시브 핑거프린팅 기술과 심층패킷분석(DPI, Deep Packet Inspection) 기술을 적용하여 자산을 식별하고 통신 구조를 파악하며 CVE와 연계한 보안취약성 분석을 통해 ICS 운영 가시성 및 보안 가시성을 확보한다. ② OT/ICS 네트워크 분리 및 일방향 데이터 전송 기업망에서 제어망으로 접근해야 하는 환경에서 방화벽을 사용하는 것은 이를 우회하는 많은 방법들이 존재하고 제어망을 개방하여 안전한 폐쇄망을 구성하지 못하는 문제가 있다. 제어망을 기업망으로 연결하면서 기존과 같이 폐쇄망과 유사한 환경을 구성하는 방법은 일방향 전송솔루션을 적용하는 것이다. ㈜앤앤에스피의 일방향 전송솔루션 nNetDiode은 제어망에서 기업망으로의 회선은 연결되고 반대 회선은 물리적으로 끊어져 있어 안전한 제어망 환경을 구성한다. 그림에서와 같이 OPC 환경에서도 송신장치가 OPC 클라이언트가 되어 제어망의 운영정보를 수집하고 수신장치가 OPC 서버가 되어 기업망의 시스템에서 운영 정보를 가져갈 수 있도록 기능을 제공한다. nNetDiode는 한쪽 회선이 끊어진 물리적 일방향 전송장치이므로 USB를 통해 제어망 시스템이 감염되더라도 C&C로 연결을 차단함으로써 더 이상 동작하지 못하도록 유도한다. 기업망과 제어망 간 상호 자료 교환이 필요한 경우 nNetDiode Dual을 적용하면 보안 안전한 양방향 자료 교환 체계를 구축할 수 있으며 제어망을 폐쇄망 유사 환경으로 유지할 수 있다. ③ 클린 영역 검사를 포함된 안전한 일방향 패치·업데이트 전달 체계 구축 시스템 및 어플리케이션 보안을 위해 백신을 포함한 엔드포인트 보안을 제시할 수 있지만 엔드포인트 보안 제품들은 IT 제품과 동일하며 일부 ICS용 화이트리스트 제품도 있지만 OT/ICS 장비 특성 상 설치할 수 없는 경우가 많아 OT/ICS 장비 보안을 위해 설치된 소프트웨어 또는 펌웨어에 대한 패치·업데이트를 우선적으로 고려해야 한다. 최신의 보안 패치·업데이트를 적용하기 위해 인터넷과 연결하면 공급망 공격을 통한 악성코드 유입의 가능성이 있고 이를 방지하기 위해 CD나 USB를 이용할 경우 최신의 보안 패치·업데이트를 유지할 수 없는 문제점이 있다. ㈜앤앤에스피는 공급망으로부터 최신의 보안 패치·업데이트를 안전하게 전달하기 위해 nNetTrust 솔루션을 제공한다. nNetTrust는 공급망으로부터 패치·업데이트 파일을 수집하여 클린 영역에서 멀티 백신으로 검사한 후 안전한 패치·업데이트 파일만 OT망으로 전달하여 인터넷에서 해킹할 수 없는 폐쇄망 구조를 유지한다. ④ OT/ICS에 특화된 네트워크 기반의 보안모니터링 체계 구축 OT/ICS 장비에 백신 등 앤드포인트 제품을 설치할 수 없는 환경에서 보안 모니터링을 위해 시스템에 로그 수집 기능 등을 부가하기는 더욱 어렵다. 그러므로 OT/ICS 보안모니터링은 네트워크 기반의 보안모니터링 체계가 되어야 한다. 네트워크 보안 모니터링을 위해 IT 환경에서 사용하는 IDS 또는 IPS를 사용하는 경우 TCP/IP 기반의 HTTP, PO3/SMTP, DNS 등의 트래픽은 분석이 가능하지만 이더넷 기반이 OSI 기반의 프로토콜이나 EtherNet/IP, EtherCAT, S7Comm, Modbus 등 산업용 제어프로토콜에 대한 분석에는 한계가 있다. ㈜앤앤에스피의 보안위협 관리솔루션 nNetNDR은 네트워크 기반의 보안위협 분석 및 이상징후 탐지 기능을 제공하며 TCP/IP 기반 프로토콜 뿐만 아니라 이더넷 기반 및 OSI 기반 프로토콜을 분석하며 OT/ICS 환경에 특화된 EtherNet/IP, EtherCAT, S7Comm, Modbus 등 산업용 제어프로토콜을 분석하여 OT/ICS 통합 보안관제 체계를 구축해 준다. ■ OT/ICS 통합 보안솔루션 아키텍처 구성 방안 백신 등 IT에서 사용하는 앤드포인트 보안솔루션을 제외하고 ㈜앤앤에스피의 OT/ICS 보안 솔루션 기술을 기반으로 OT/ICS 자산 식별 및 취약성 솔루션 nNetProbe, OT/ICS망 일방향 솔루션 nNetDiode, 패치·업데이트 전달 솔루션 nNetTrust, OT/ICS 통합 보안관제 솔루션 nNetNDR로 구성한 OT/ICS 통합 보안솔루션 아키텍처는 다음과 같으며 안전한 OT/ICS 네트워크 보안 버블을 구성할 수 있다.
- 2023년 11월 17일 (금)
- Manager
- 812
-
OT 보안기술로 구현하는 심층방어 9단계 전략 ㈜앤앤에스피 김기현 부사장 OT 보안을 얘기하면 대부분 산업제어시스템 국제 표준인 ISA/IEC 62443 네트워크 참조모델을 기반으로 계층별 보안 위협과 방화벽, 접근제어, 인증, 패치, 백신, 모니터링 등 보호 방안을 제시하지만 IT 보안기술과 잘 구분되지 않는다. ㈜앤앤에스피의 OT 보안솔루션 기술을 기반으로 ICS 심층방어(Defense-in-Depth) 모델과 이를 구현하기 위한 9단계 전략을 제시하고자 한다. 1. 로컬 제조망을 기반으로 ICS 네트워크 아키텍처를 설계해야 한다. OT 보안을 위해 ISA/IEC 62443에서는 기업망(IT망)과 ICS망(OT망)을 구분하고 방화벽을 이용하여 IDMZ(Industrial DMZ)를 구성하도록 권고하지만 국내 산업제어시스템 보안요구사항에서는 로컬 제어망을 기준으로 단방향 보안 모델을 권고한다. OT 보안의 궁극적 목표는 전체 ICS망을 보호하는 것이 아니라 로컬 제어망을 보호하는데 있다. 로컬 제어망은 현장장치(센서, 액츄에이터)-제어장치(PLC)-운영장치(HMI)가 분리될 수 없는 하나의 운영 범위로 침해사고 발생 시 연결된 다른 네트워크를 단절하더라도 독립적인 생산이 가능해야 한다. 로컬 제어망들이 식별되면 상위의 통합운영망을 식별하고 이와 분리하여 기업망이 식별되어야 한다. ㈜앤앤에스피는 ICS 보안컨설팅을 제공하고 있으며 취약성 분석 도구 nNetProb를 사용하여 ICS 네트워크 및 자산 구조를 식별하고 보안취약성을 분석한다. 2. 정보 수집만 하는 경우 단방향 전송시스템을 적용하라. 스마트공장의 경우 공장의 생산 정보를 본사 MES, ERP, 클라우드 등으로 보내고 발전소의 경우 호기별 운영 정보를 통합운영망으로 보낸다. 단방향 자료전송만 필요한 곳에 방화벽을 이용하여 양방향 통신 채널을 제공할 필요는 없다. 단방향 전송시스템은 단순히 UDP를 이용하여 데이터를 일방향 전송하고 이를 위해 서비스 변경이 필요하다고 생각한다. 단방향 전송시스템 nNetDiode는 기본적으로 미들웨어 기능을 제공하고 있어 제어망에서 업무망으로의 서비스를 변경하지 않고 OPC, DB, File 등의 정보를 일방향으로 전송한다. 단방향 전송시스템은 한쪽 회선이 단절되어 제어망을 폐쇄망으로 유지하고 외부 해킹을 차단할 수 있다. 3. 신뢰된 네트워크 시스템을 유지하고 네트워크 이상징후를 탐지하라. 오래된 장비가 포함된 제어망을 방어하기 위해서는 비누 거품이나 유리 버블 안에 레거시 시스템을 옮겨놓은 상황을 가정하고 버블이 붕괴되지 않도록 유지해야 한다. 버블이 붕괴되지 않고 제어망을 신뢰된 상태로 유지하는 것은 쉽지 않지만 대안으로 ICS 네트워크 이상징후 탐지시스템을 통해 제어망이 신뢰된 상태로 유지되는지 모니터링할 수 있다. ICS 네트워크 이상징후 탐지시스템 nNetNDR은 HMI, PLC 등에 대한 제어시스템 자산을 분석하고 TCP/IP뿐만 아니라 이더넷 기반의 산업용 제어프로토콜의 정상적인 통신 특성을 분석하고 인공지능(AI) 기반으로 이상징후를 탐지한다. 4. 시스템 보안을 위해 어플리케이션과 사용자에 대한 화이트리스트를 적용하라. 최신 패치나 업데이트 적용이 어렵고 변경되는 환경이 거의 없는 제어시스템 환경에서는 블랙리스트(시그니처) 기반의 백신보다는 AWL(Application Whitelist)이 효과적이다. ICS-CERT는 특정 악성코드가 자산의 80%를 침해했을 때 VirusTotal에서의 탐지율은 0%였는데 AWL에서 이를 탐지 및 차단하였음을 보고하고 있다. AWL 기반 엔드포인트 보안시스템 nNetEDR은 사용자와 프로세스에 대한 화이트리스트를 분석하고 인가되지 않은 프로세스 또는 비정상 접속 사용자가 발생할 경우 이를 탐지하고 차단한다. 5. 자격 증명을 관리하고 원격 로그인을 차단 또는 제한하라. 제어시스템에 대한 공격 범위를 좁히기 위해 사용되지 않는 기능이나 서비스는 제거하고 시스템 관리자 권한과 분리하여 서비스 권한을 부여하고 관련된 자격증명을 모니터링하고 통제해야 한다. 특히 도난된 자격증명이 원격 로그인으로 사용되는 것을 모니터링하고 차단해야 한다. 통합운영센터에서 로컬 제어망(무인)에 대한 직접 제어가 필요한 경우 로컬 제어망에 대한 원격 접속을 허용하기 보다 로컬 제어망을 통합운영센터 내로 연장하여 구성하는 방법도 있다. 또한 업무망 또는 외부망에서의 원격 접속이 필요한 경우 IDMZ 영역의 원격접속시스템을 통해 접속하도록 해야 하며 앤드포인트 보안솔루션 nNetEDR를 통하여 원격접속 통제기능을 이용할 수도 있다. 6. 패치/업데이트를 최신으로 관리하고 테스트하라. TSMC 랜섬웨어 공격은 소프트웨어 업데이트 과정에서 제조사에서 가져온 USB가 악성코드에 감염되어 발생하였다. 작업할 때가 되어 패치/업데이트 파일을 다운로드 받을 것이 아니라 평상 시 제어망 내에 패치관리서버를 두고 무결성이 검증된 최신의 패치/업데이트 파일을 유지하고 작업이 필요한 경우 이를 이용해야 한다. 패치/업데이트 전달시스템 nNetTrust는 외부망에서 패치 파일을 수집하고 에어갭(Air-Gap) 환경에서 멀티 백신 검사를 수행하며 검증된 패치 파일을 제어망 내 패치관리서버로 전달하여 최신의 패치/업데이트 파일을 유지하도록 한다. 7. 공급 업체가 제공하는 보안 기능을 구현하고 장비 보안을 강화하라. 최신 ICS 장비는 기본 보안 기능과 함께 제공되지만 설치의 편리성을 위해 대개 비활성화하거나 최소화하여 설정되는 경우가 많다. ICS 장비를 분석하여 보안기능이 있는지 확인하고 최대 보안 수준이 되도록 활성화가 필요하며 불필요한 옵션과 기능은 비활성화하고 사용하지 않는 통신 포트는 물리적으로 차단해야 한다. 장비의 가용성 보장을 위해 이중화가 필요하며 네트워크 포트 이중화 솔루션 nNetNPR은 장비가 단일 네트워크 회선(Port)으로 구성된 경우 이중화된 네트워크로 연결할 수 있도록 포트 이중화를 제공한다. 8. 설비 예지보전을 위한 원격 모니터링을 허용하고 원격 접속은 제한하라. 유지보수 차원을 넘어 설비에 대한 예지보전 관리를 위해서는 제조사에서 운영 정보에 대한 원격 모니터링을 통한 분석이 우선적으로 이루어져야 하며 실시간 화면 공유를 통해 긴급 업무를 처리할 수 있다. 원격 접속은 긴급 처리를 위한 가장 마지막 단계에 이루어져야 하며 앞서 설명한 원격 접속과 동일하게 처리되어야 한다. 9. ICS 통합 관제 및 대응 체계를 구축하라. 최신 위협으로부터 네트워크를 보호하려면 적대적 침투를 적극적으로 모니터링하고 준비된 대응을 신속하게 실행하여야 한다. ㈜앤앤에스피는 ICS 네트워크 내에서 의심스러운 통신 또는 악성 콘텐츠 트래픽에 대한 모니터링 정보, 제어시스템에서 악성코드 탐지 정보와 도난된 자격 증명의 사용이나 부적절한 접근에 대한 정보, 시스템 및 네트워크 장비 로그 등을 기반으로 ICS 보안 위협을 분석하고 추적할 수 있는 지능형 제조공정 위협 헌팅 시스템 nNetTHS을 개발하고 있다. 참고문헌 [1] IEC TS 62443-1-1, Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models, July 2009. [2] 국가보안기술연구소, 산업제어시스템 보안요구사항, 2017. 11. [3] ICS-CERT, DHS NCCIC, Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies, Sep. 2016. [4] US-CERT, DHS NCCIC, Seven Strategies to Defend Industrial Control System, Jan. 2016. [5] US DoE, 21 Steps to Improve Cyber Security of SCADA Networks, 2002. [6] Pascal Ackman, Industrial Cybersecurity – Efficiently secure critical Infrastructure Systems, Packt Publishing Ltd., Oct. 2017.
- 2023년 11월 17일 (금)
- Manager
- 704
-
- 2023년 6월 19일 (월)
- manager
- 857
-
- 2022년 12월 29일 (목)
- manager
- 293
-
- 2022년 12월 29일 (목)
- manager
- 351
-
- 2019년 8월 6일 (화)
- manager
- 1560
-
- 2019년 8월 6일 (화)
- manager
- 1661
-
- 2019년 8월 6일 (화)
- manager
- 1370
NNSP
![한국-베트남 스마트 전력 에너지 전시회[KOSEF 2019]](/app/board/attach/image/661_1565052382000.do)
