NNSP

OT 보안기술로 구현하는 ICS 심층방어전략

㈜앤앤에스피 김기현 부사장

■ OT/ICS 보안위협 및 보안 대응의 어려움

4차 산업혁명과 산업용 사물인터넷(IIoT, Industrial Internet of Thins)의 발달은 제조공정 자동화를 뛰어넘어 보다 개방적으로 연결되어 유연하고 효율적이며 지능적인 시스템으로 발전하고 있는 반면 사이버 공격자의 중요 표적이 되고 있다.

2018년 세계 최대 파운드리 기업인 대만의 TSMC 공격, 2019년 세계 최대 알루미늄 기업인 노르웨이 노르스크 하이드로(Norsk Hydro) 공격, 2020년 자동차 제조기업인 일본의 혼다모터스(Honda Motors) 공격, 2021년 미국 최대 송유관 기업인 콜로니얼 파이프라인(Colonial Pipeline) 해킹 등 사이버공격으로 인한 설비 가동 중단에 따른 엄청난 손실과 더불어 랜섬웨어(Ransomware)에 따른 금전적인 요구도 발생하고 있다.

세계적인 이런 기업들이 과연 보안 대책을 갖추지 않았기 때문인가? 이는 아닐 것이다. 기업 규모로 봐서 아마도 철저하게 보안이라는 보안은 모두 적용하고 있을 것이다. 그렇다면 이러한 사고가 왜 발생하는지 추측하면 IT 관점에서의 보안과 IT 보안기술 적용의 한계에 문제가 있을 것이라고 생각할 수 있다.

산업제어시스템 보안 국제 표준인 ISA/IEC 62443이나 NIST SP 800-82 등에서는 기업망과 OT/ICS망 사이 경계망 보안으로 방화벽 모델을 제시한다. IT 환경에서 방화벽 정책은 인터넷망에서 사내망으로의 인바이드 트래픽은 거부하고 사내망에서 인터넷으로의 아웃바운드 드래픽은 허용한다. 그러나 피싱 메일을 통해 악성코드가 유입되고 감염된 악성코드가 C&C로 리버스 접속이 이루어짐으로써 방화벽 우회 공격이 발생한다.

IT 환경에서 방화벽은 위와 같은 보안취약성을 내포하고 있지만 OT 환경에서는 보다 복잡해 진다. OT망으로부터 IT망으로 데이터를 수집하는 경우 가장 많이 사용되는 OPC(OLE for Process Control) 프로토콜은 OT망의 시스템이 OPC 서버가 되고 IT망의 시스템이 OPC 클라이언트로 동작하므로 방화벽에서 인바운드 트래픽을 허용해야 한다. 또한 OPC 프로토콜은 기본적으로 보안에 취약한 SMB 포트를 사용하며 RPC 통신을 한다. 그러므로 방화벽은 IT망에서 OPC망으로의 SMB 포트와 RPC 포트를 허용해야 하므로 보안에 취약하며 USB에 의한 악성코드 감염이 발생할 경우 아웃바운드 트래픽이 허용되므로 C&C로의 리버스 접속이 가능해진다.

■ OT 제품기술로 구현하는 ICS 심층방어전략

OT/ICS 보안을 위해 ISA/IEC 62443의 퍼듀 모델이나 NIST SP 800-82에 기반하여 제시되는 보안 아키텍처들은 방화벽, 접근제어, 인증 및 권한 관리, 백신 등 엔드포인트 보안, 패치 및 업데이트, 보안 모니터링 등으로 구성되며 대부분 IT 보안기술과 구분되지 않으며 OT 보안을 위해 OT 보안 특성에 맞게 실질적으로 적용할 수 있는 OT 보안기술이 잘 보이지 않는다.

여기에서는 OT/ICS 보안을 위해 관리적·물리적 보안을 제외하고 OT 솔루션 기술을 기반으로 접근할 수 있는 ICS 심층방어전략(ICS Defense-in-Depth Strategies)를 제시한다.

그림에서 보듯 OT/ICS 보안을 위한 심층방어전략은 보안 아키텍처 설계, 경계망 보안, 네트워크 보안, 컴퓨터 시스템 보안, 어플리케이션 보안, 장치 보안, 통합보안관리로 구성할 수 있다. 하나 하나의 계층적 보안을 적용하기 어려운 면이 많으므로 OT 솔루션 기술을 기반으로 보다 간략하게 구성하면 우선적으로 수행할 부분이 OT/ICS 자산 식별 및 취약성 분석이다. 다음으로 수행할 부분이 OT/ICS망 분리와 경계망 보안이다. 다음으로 앤드포인트 보안 및 패치·업데이트이며 마지막으로 OT/ICS망에 대한 통합관제체계 구축으로 구성할 수 있다.

① OT/ICS 환경 자산 식별 및 보안취약성 분석을 통한 운영 가시화

대부분의 OT/ICS 운영 기관들은 OT/ICS 환경에 대한 운영 가시성이 부족한 실정이며 운영 가시성을 확보하기 위해 무엇을 해야 하는지 어떻게 해야 하는지 알지 못하는 경우가 많다. OT/ICS 운영 및 보안 가시성 확보를 위해 가장 먼저 해야 하는 OT/ICS 자산을 식별하고 통신 구조를 분석하여 이를 가시화해야 하고 보안 전략을 수립하기 위해 자산에 대한 보안취약성 및 보안위협이 선행되어야 한다.

OT/ICS 네트워크에 있는 장비들은 IT 환경에서 사용하는 일반적인 액티브 스캔 기술에 민감한 편이며 일부 장비들은 핑 스캔으로도 망가질 수 있다. OT 장비들 중 하나가 무너지면 전체 공정이 무너져 이러한 행위는 재난이 될 수 있다.

ICS/OT 환경에서 자산 식별 및 보안취약성 분석은 ICS 환경에 영향을 주지 않고 안전하게 분석할 수 있는 패시브 스캔 기술을 적용해야 한다. ㈜앤앤에스피의 nNetProbe는 네트워크 모니터링을 통해 수집된 패킷에 대해 패시브 핑거프린팅 기술과 심층패킷분석(DPI, Deep Packet Inspection) 기술을 적용하여 자산을 식별하고 통신 구조를 파악하며 CVE와 연계한 보안취약성 분석을 통해 ICS 운영 가시성 및 보안 가시성을 확보한다.

② OT/ICS 네트워크 분리 및 일방향 데이터 전송

기업망에서 제어망으로 접근해야 하는 환경에서 방화벽을 사용하는 것은 이를 우회하는 많은 방법들이 존재하고 제어망을 개방하여 안전한 폐쇄망을 구성하지 못하는 문제가 있다.

제어망을 기업망으로 연결하면서 기존과 같이 폐쇄망과 유사한 환경을 구성하는 방법은 일방향 전송솔루션을 적용하는 것이다. ㈜앤앤에스피의 일방향 전송솔루션 nNetDiode은 제어망에서 기업망으로의 회선은 연결되고 반대 회선은 물리적으로 끊어져 있어 안전한 제어망 환경을 구성한다. 그림에서와 같이 OPC 환경에서도 송신장치가 OPC 클라이언트가 되어 제어망의 운영정보를 수집하고 수신장치가 OPC 서버가 되어 기업망의 시스템에서 운영 정보를 가져갈 수 있도록 기능을 제공한다.

nNetDiode는 한쪽 회선이 끊어진 물리적 일방향 전송장치이므로 USB를 통해 제어망 시스템이 감염되더라도 C&C로 연결을 차단함으로써 더 이상 동작하지 못하도록 유도한다. 기업망과 제어망 간 상호 자료 교환이 필요한 경우 nNetDiode Dual을 적용하면 보안 안전한 양방향 자료 교환 체계를 구축할 수 있으며 제어망을 폐쇄망 유사 환경으로 유지할 수 있다.

③ 클린 영역 검사를 포함된 안전한 일방향 패치·업데이트 전달 체계 구축

시스템 및 어플리케이션 보안을 위해 백신을 포함한 엔드포인트 보안을 제시할 수 있지만 엔드포인트 보안 제품들은 IT 제품과 동일하며 일부 ICS용 화이트리스트 제품도 있지만 OT/ICS 장비 특성 상 설치할 수 없는 경우가 많아 OT/ICS 장비 보안을 위해 설치된 소프트웨어 또는 펌웨어에 대한 패치·업데이트를 우선적으로 고려해야 한다.

최신의 보안 패치·업데이트를 적용하기 위해 인터넷과 연결하면 공급망 공격을 통한 악성코드 유입의 가능성이 있고 이를 방지하기 위해 CD나 USB를 이용할 경우 최신의 보안 패치·업데이트를 유지할 수 없는 문제점이 있다.

㈜앤앤에스피는 공급망으로부터 최신의 보안 패치·업데이트를 안전하게 전달하기 위해 nNetTrust 솔루션을 제공한다. nNetTrust는 공급망으로부터 패치·업데이트 파일을 수집하여 클린 영역에서 멀티 백신으로 검사한 후 안전한 패치·업데이트 파일만 OT망으로 전달하여 인터넷에서 해킹할 수 없는 폐쇄망 구조를 유지한다.

④ OT/ICS에 특화된 네트워크 기반의 보안모니터링 체계 구축

OT/ICS 장비에 백신 등 앤드포인트 제품을 설치할 수 없는 환경에서 보안 모니터링을 위해 시스템에 로그 수집 기능 등을 부가하기는 더욱 어렵다. 그러므로 OT/ICS 보안모니터링은 네트워크 기반의 보안모니터링 체계가 되어야 한다.

네트워크 보안 모니터링을 위해 IT 환경에서 사용하는 IDS 또는 IPS를 사용하는 경우 TCP/IP 기반의 HTTP, PO3/SMTP, DNS 등의 트래픽은 분석이 가능하지만 이더넷 기반이 OSI 기반의 프로토콜이나 EtherNet/IP, EtherCAT, S7Comm, Modbus 등 산업용 제어프로토콜에 대한 분석에는 한계가 있다.

㈜앤앤에스피의 보안위협 관리솔루션 nNetNDR은 네트워크 기반의 보안위협 분석 및 이상징후 탐지 기능을 제공하며 TCP/IP 기반 프로토콜 뿐만 아니라 이더넷 기반 및 OSI 기반 프로토콜을 분석하며 OT/ICS 환경에 특화된 EtherNet/IP, EtherCAT, S7Comm, Modbus 등 산업용 제어프로토콜을 분석하여 OT/ICS 통합 보안관제 체계를 구축해 준다.

■ OT/ICS 통합 보안솔루션 아키텍처 구성 방안

백신 등 IT에서 사용하는 앤드포인트 보안솔루션을 제외하고 ㈜앤앤에스피의 OT/ICS 보안 솔루션 기술을 기반으로 OT/ICS 자산 식별 및 취약성 솔루션 nNetProbe, OT/ICS망 일방향 솔루션 nNetDiode, 패치·업데이트 전달 솔루션 nNetTrust, OT/ICS 통합 보안관제 솔루션 nNetNDR로 구성한 OT/ICS 통합 보안솔루션 아키텍처는 다음과 같으며 안전한 OT/ICS 네트워크 보안 버블을 구성할 수 있다.