NNSP

CPS 프로텍션 플랫폼 시장 가이드 

㈜앤앤에스피

사이버 위협이 증가하면서 과거 운영기술(OT) 보안 시장이 진화하고 있다. 가트너는 OT 환경이나 미션 크리티컬 환경에서 자산을 식별하고 보호하는 사이버 물리시스템 보호 플랫폼이 주요 시장 카테고리가 됐다고 밝혔다. OT보안을 넘어 CPS 보호플랫폼으로 확장이다. 

사이버 위협 증가로 관련 CPS보안 솔루션 도입이 가속화되고 있다. 기존 공급 기업과 신규 공급기업이 시장에서 더욱 공격적인 영업을 하고 있다. 신규 진입 기업은 그동안 커버되지 않았던 버티컬 영역을 공략한다. OT보안에서 이런 부분이 결합하면서 CPS 보안 플랫폼 시장이 형성되고 성장 중이다. 

기존 기업은 수동적 심층 패킷 검사에 주로 집중했다. 최근 기업은 네이티브 프로토콜 액티브 쿼리를 비롯해 다양한 추가 기술을 개발해 차별화를 꾀한다. 취약성 관리, 위협 인텔리전스, 시각화, 알람, 플레이북, 피드 등의 추가 기능을 배포한다. CPS 보안을 위한 자산 중심 보안 구조를 만들고 있다. 

CPS 시장 정의

가트너는 사이버 위협이 증가하면서 일반 운영기술(OT) 보안 시장이 빠르게 진화하고 있다고 정의했다. 생산과 미션 크리티컬 환경에서 자산을 검색하고 보호하는 물리 시스템 보호 플랫폼(CPS Protection Platform)이 주요 시장 범주로 부상했다.
 
 가트너는 CPS 보호플랫폼 시장을 산업용 프로토콜, 운영/생산 네트워크 패킷, 트래픽 메타데이터, 물리적 프로세스 자산 동작에 대한 노하우를 기반으로 생산시설 등 미션크리티컬 시스템과, 엔터프라이즈 IT 환경을 보호하는 제품과 서비스로 구분했다.
 
 가트너는 CPS를 물리적 세계와 상호작용하는 감지, 제어, 네트워킹, 분석을 조율하는 엔지니어링 시스템으로 정의한다. 

CPS 플랫폼 특징

1. CPS 자산의 검색, 가시성 및 분류(Discovery, visibility and categorization of CPS assets)
2. 자산의 상세한 혈통(Detailed pedigree of assets)
3. 독점적인 산업 프로토콜 지원(Support for proprietary industrial protocols)
4. 상세한 네트워크 다이어그램 및 데이터 흐름(Detailed network diagrams and data flows)
5. 취약성 정보(Vulnerability information)
6. 위협 인텔리전스 관리(Threat intelligence management)
7. IT 보안 도구와 통합(Integration with IT security tools)

CPS 프로텍션 플랫폼 개요 

시장방향성

왜 CPS 보안 플랫폼 시장이 중요한가?
 중요한 인프라와 제조, 운송, 유틸리티, 건물관리, 의료 등 분야에는 CPS가 운영된다. 이를 OT라 부르기도 하고 사물인터넷이나 스마트빌딩솔루션, 인더스트리4.0이라는 명칭으로 부르기도 한다. 

명칭에 관계 없이 이들의 공통점은 디지털로 관리되지만 실제 물리 세계와 상호작용하는 것이다. 이런 자산에 대한 보호는 초기에는 네트워크 보안 중심으로 시작돼 OT보안으로 불렸다. 가트너는 이런 추세가 최근 5년 사이 자산 중심 보안으로 확대 진화하고 있다고 설명했다. 

 OT 보안에서 CPS 보안으로 진화(자료: 가트너)

초기 기업과 조직에서 생산과 관련된 자산은 특정 사용자의 작업을 수행하기 위해 설치했다. 보안에 대한 고려 없이 설치된 사례가 많다. 이런 자산과 에어갭(Air Gap)으로 분리된 망에 설치됐다. 인터넷 네트워크와 연결되지 않았다는 의미다. 그러나 생산 시설 등 중요 인프라의 디지털화가 가속화 되면서 이런 접근에 위기가 찾아왔다.
 
 산업 시스템이 서로 연결되기 시작했다. 여기서 그치지 않고 산업 시스템은 엔터프라이즈 IT시스템과도 연결됐다. 이런 추세에 맞춰 운영기술 네트워크 중심의 보안 구조가 도입되기 시작했다. 방화벽과 데이터 다이오드, DMZ 등 네트워크 중심 보안 규율이 등장했다.
 
 이제 시장은 CPS 자산 중심 보안으로 진화했다. 기존 및 신규 자산이 많아지고 복잡해졌다. 조직은 단순히 네트워크만 보호 해서는 안되는 상황에 직면했다. 조직은 OT를 넘어 IoT, IIoT, 스마트빌딩, 헬스케어 기기 등까지 보호하는 CPS의 한 종류라는 것을 인식하고 있다. 

 가트너가 정의한 CPS 보안 솔루션 종류
 
 CPS 단방향 데이터 흐름 솔루션 (CPS unidirectional data flow solutions)
 CPS 공급망 보안 솔루션(CPS supply chain security solutions)
 CPS 콘텐츠 해제 및 재구성 솔루션 (CPS content disarm and reconstruction solutions)
 CPS 사이버 위험 정량화 플랫폼 (CPS cyber risk quantification platforms)
 CPS 디셉션 솔루션 (CPS deception solutions)
 CPS 펌웨어/ 임베디드 시스템/장치 보안(CPS firmware/embedded systems/device security)
 CPS 네트워크 중심 솔루션(CPS network-centric solutions)
 CPS 온보드 진단 솔루션(CPS onboard diagnostics solutions)
 CPS 보호 플랫폼 (CPS protection platforms)
 CPS 보안 원격 액세스 솔루션(CPS secure remote access solutions)
 CPS 보안 서비스(CPS security services)
 
 

시장 방향 

CPS 보호 플랫폼 시장이 부상한 것은 관련 위협이 증가하고 있기 때문이다.

CPS는 기업에서 핵심 가치를 창출하는 자산이다. 이 시스템이 멈추면 제품 생산이나 서비스가 장애를 겪는다. 시스템이 더 많이 연결 되면서 사이버공격표면이 증가했다. 사이버 범죄자는 랜섬웨어나 표적 해킹으로 CPS운영 사업자를 노린다. 송유관 기업부터 조선업체 공장 가동 중단까지 알려진 사이버 공격 건수가 급증하고 있다. 인더스토리어V2와 파이프라인드림 등 산업 환경에 침투하기 위해 특별히 개발된 악성코드가 계속 등장하고 있다.
 
 CPS와 관련한 취약점도 계속 발견된다. 보안 연구자와 공급 기업은 연결되는 운영자산이 늘어나면서 취약점 찾기에 집중한다. 하지만, 이에 대한 보안 업데이트는 쉽지 않다. 운영자산 판매 기업은 취약성 문제를 판매 후 사후에 처리해야 할 문제로 간주했다. 운영 시스템은 보안 취약점 패치가 쉽지 않다. 공장이나 생산라인을 중단한 뒤 취약점 패치를 해야 한다. 제품 생산성 및 시스템 운영 신뢰성과 밀접한 연계가 있기 때문에 보안 업데이트가 제대로 이뤄지지 않는다.
 CPS 운영팀은 보안 업데이트로 인한 생산 중단과 라인 안전성을 걱정한다. 관련 보안 전문가가 부족하기 때문에 운영팀을 설득하기 쉽지 않다.

이 때문에 관련 도구와 플레이북에 대한 수요가 증가하고 있다. 여기에 CPS를 보호해야 하는 규정과 지침, 프레임워크가 등장하고 있다. 

각국 정부는 중요 인프라를 운영하는 조직에 대한 위협 증가를 인식한다. CPS 기술 환경이 국가 안보와 경제 번영의 핵심 사항임도 인식한다. 이로 인해 새로운 규정과 지침, 프레임워크 등을 만들고 있다. 기업들은 자산 검색에서 시작해 보안과 거버넌스를 지원한다. 기업과 조직은 보안팀과 생산, 엔지니어링 팀을 연결하는 다양한 기능으로 진화하는 CPS 보호 플랫폼을 중심으로 보안 거버넌스를 수립한다. 

시장 분석 

CPS 보호 플랫폼 시장은 신규 진입 기업이 증가하고 있다. 5년 전 이 카테고리 공급 기업은 10개 정도에 머물렀다. 현재는 45개로 증가했다. 이 결과 고객은 그 어느 때보다 더 많은 선택권을 갖게됐다. 공급기업은 경쟁기업과 차별화를 추구하기 위해 새로운 기능을 지속해 추가한다. 

주요 기능은 다음과 같다. 

1. 자산 검색(Asset discovery): 초기 시장을 개척한 기업은 수동 포트 미러링과 심층 패킷 검사로 시작했다. 이제는 많은 기업이 다른 접근 방식을 추가한다. 기본 산업 프로토콜을 사용하는 능동쿼리, 인간-기계 인터페이스(HMI), 프로그래머블 로직 컨트롤러(PLC) 등 자산 프로젝트 파일 분석, 디렉토리, 백업 및 복구시스템 등을 통해 보강하고 있다. 과거보다 더 세분화된 출력을 허용하는 독점적인 접근 방식이 포함된다. 솔루션 간에 또 다른 차별화 포인트는 산업용 통신 프로토콜 지원 개수다. 일부 솔루션은 100개 미만에서 450개 이상까지 다양하게 산업용 통신 프로토콜을 지원한다. 자산 검색 충실도와 깊이가 솔루션 경쟁력의 큰 부분을 차지 한다. 
2. 표시되는 자산 속성(Asset attributes displayed): 가장 일반적인 속성에는 자산 이름, 카테고리, 유형, 공급업체, 모델, 일련번호, 연결정보, IP 및 MAC 주소, 무선 AP 위치, OS/소프트웨어/펌웨어버전, 네트워크, 서브넷, 가성 LAN, 패치수준, 열린 포트 등이 포함된다. 고급 기능에는 재무 프로필, 기기 소유자, 위도 및 경도 지리 정보, USB 기기 및 상태, 상황에 맞는 물리적 프로세스 중심 변수, 사용자 지정 속성을 구성하는 기능이 포함된다. 
3. 배포 모델(Deployment models) : 대부분 솔루션은 온프레미스와 클라우드기반(프라이빗 or 퍼블릭)이나 하이브리드 옵션을 제공한다. 대부분 솔루션은 물리적이나 가상, 컨테이너 기반 센서를 배포해야 한다. 센서를 올바르게 배치해야 좋은 결과를 얻을 수 있다. 센서 배포를 쉽고 빠르게하는 것도 공급 업체가 차별화할 수 있는 포인트다. 
4. 토폴로지 및 데이터 흐름 매핑(Topology and data flows mapping): 대부분의 솔루션은 모든 자산 간 연결과 데이터 흐름관련 시각화를 제공한다. 일반 형식에는 퍼듀 모델 맵, VLAN 맵, 영역 클러스터맵, 외부 통신 데이터 흐름 맵, 자산 및 그룹 맵 등이 포함된다. 고급 기능에는 정확한 지리적 위치가 포함된 세계 맵, 자산 수준 애플리케이션, 위험 및 경보 수준, 사용자 지정 매핑, 디지털 트윈 생성까지 포함하는 경우도 있다. 
5. 네트워크 세분화(Network segmentation) : 생산과 미션 크리티컬 환경은 암묵적인 신뢰 영역에 크게 의존해 운영된다. 적절한 네트워크 세분화는 공격 표면을 억제한다. 대부분은 솔루션은 VLAN, 자산 카테고리, 유형, 보안 상태 등 속성을 기반으로 그룹화할 수 있다. 모든 주요 네트워크 접속 제어(NAC)나 방화벽에서 사용할 수 있는 시스템 기능을 기반으로 세분화 접근 방식을 생성할 수 있다. 고급 솔루션은 데이터 다이오드로 볼 수 있다. 
6. 취약성 관리(Vulnerability management) : 취약점 수는 계속 증가하고 동시에 CPS 패치는 여전히 매우 어렵다. 대부분 일반 취약점 데이터베이스(CVE)와 제조업체 리콜 데이터베이스, 타사 취약점 리포지토리에 악용된 것으로 알려진 취약점의 우선 순위를 지정하는 형태로 이뤄진다. 안전하지 않은 애플리케이션 사용과 기본 비밀번호를 표시하고, 대체할 수 있는 보안 방법을 제공한다. 고급 솔루션에는 IT스캐너가 CPS를 건드리지 못하게 방지하는 매커니즘과 자산 중요도와 악용 가능성에 따라 위험 점수를 제공하는 메커니즘도 들어있다. 
7. 위협 인텔리전스(Threat intelligence) : 대부분 CPS 솔루션에는 위협 인텔리전스 피드와 IoC, 서명 기반 탐지, ICS 프레임워크용 MITRE ATT&CK에 맞춰 조정된 보고서와 변칙적 플래그 지정 등이 포함된다. 고급 솔루션에는 심층 분석, 공격 시뮬레이션맵, STIX/TAXII 형식의 머신 판독 가능 위협 인텔리전스 데이터 수집, 연구팀이 선별한 산업별 위협 인텔리전스 기능 등이 포함된다. USB 포트 모니터링과 같은 특화된 위협 인텔리전스도 들어간다. 
8. 전문 서비스와 파트너십: 대부분 기업은 솔루션 평가와 배포, 지원을 위한 전문 서비스를 제공한다. 글로벌 채널 모델을 구축하고 있다. 일부 기업은 파트너와 리셀러 체계를 운영한다. 일부 기업은 자체 솔루션을 다른 솔루션에 공개적으로 화이트 라벨링 하기도 한다.
9. 가격 모델: CPS 보안 시장 가격은 블록 단위 자산 수(ex: 월 100개당, 연간 1~2500 또는 1~10,000씩 증가) 등 다양한 형태나 연간 구독료 형태로 책정된다. 필수 기능과 고급 기능이 별도로 구별된다. 기업 라이선스 계약이나 대역폭에 따른 센서 가격을 책정한다. 일부 기업은 최대 1000개 장치에 대해 오랫동안 약정을 유지하기 위해 30일 평가판을 제공하기도 한다. 
10. 보안 프레임워크 조정(Security frameworks alignment): 많은 솔루션은 이미 NIST 사이버 보안 프레임워크(CSF), NIST SP 800-82, MITRE, IEC-62443, HIPAA, ISO2700x 제품군 등에 맞춰 조정된 대시보드와 보고서를 보유하고 있거나 구축 중이다. 
11. 핵심 속성 외 추가 기능: 공급 기업이나 직원의 원격 접속을 보호한다. 산업별 위협 검색 및 정보 공유, 사고 대응 및 법의학, 특정 산업 내 자산에 대한 CPS 효율성(활용도, 가동 시간)관련 플레이북을 주기적으로 발표한다. 일부 기업은 생성AI를 활용한 기능 추가도 로드맵으로 제시했다. 

초기 구매 고객이 다시 구매 시작

가트너에 들어오는 고객 문의에 따르면 1세대 CPS 보호 플랫폼을 구매했던 고객이 새로운 기능이 추가된 솔루션 구매에 관심이 높다. 특히, 이 분야는 깊이 있는 산업 지식이 중요하기 때문에 버티컬 업종별로 공급 기업이 부상하고 있다. 

의료, 국방, 철도, 해상 운송 등 일부 버티컬 산업에는 배포된 시스템과 프로토콜, 판매 주기, 안전 및 보안 문화에 따른 고유한 요구사항이 있다. 일부 기업은 이런 고유성을 수용해 버티컬 환경에 맞는 솔루션을 제공하는데 집중한다. CPS 환경으로 시장 입지를 확장하려는 클라우드 제공업체도 버티컬 보안 서비스를 제공하는데 집중하고 있다. 

투자 라운드 빈도와 규모의 둔화

최근 스타트업 투자 시장은 거시경제 압박으로 인해 규모와 속도가 느려졌다. 향후 몇 년간 통합과 인수, 퇴출이 발생한 가능성이 높다. 기업은 지속적인 상호 운용성과 배포 용이성, 교체 용이성을 신경 써야 한다. 

CPS 보안과 IT보안 공급 기업간 연결

지난 2년간 IT보안과 CPS 보안 솔루션간 연결이 눈에 띄게 증가했다. CPS보호 플랫폼 기업은 CMDB, NAC, 방화벽,스위치, SIEM, SOAR, XDR, SOC, 사이버 자산 공격 표면 관리 등 기존 IT 공급 업체와 파트너십과 API 통합에 주력했다. 

주요 기업

시장 추천(Market Recommendations)

기업   IT시스템을 넘어 조직 전체에 사이버 보안 위협이 줄어들지 않고 있다. 조직 내 모든 CPS 자산을 평가해야 한다. IT 중심 도구가 처리할 수 없는 취약성 관리, 위협 인텔리전스, 특수 보호를 위한 솔루션이 있는지 확인한다. 

조직 내부에 어떤 자산이 있는지 알지 못하면 보호할 수 없다. CPS는 보안팀 관여 없이 사업부별로 배포되고 디지털 혁신이 가속화되며 더욱 늘어난다. 

CPS가 존재하는 생산과 미션 크리티컬 환경은 맞춤형 세계다. 기존 IT 엔드포인트 제품과 달리 CPS는 수명 주기가 길고, 특정 기능을 수행하게 설계됐다. M&A를 통해 인수한 시설이 있을 수 있고 여러 제조사 CPS가 혼재됐을 가능성이 높다. 해당 시장은 실제 환경에서 도구를 테스트하고 비교하는 것이 중요하다. 

CPS 보호 플랫폼을 통해 아래 사항을 해결할 수 있는지 체크해야 합니다.

• 관리되지 않은 자산은 어디에서나 연결된다. 
• 운영체제는 디폴트 패스워드가 변경되지 않은 상태로 배포된다.
• 처음에 분리돼 설계된 OT 네트워크가 실제는 그렇지 않은 경우가 많다. 
• 원격 시스템의 포트가 열려있는 경우가 많아.
• OEM은 판매한 시스템에 원격으로 접속하고 있는데 이를 관리하는 사람은 없다.
• 이전 OS에서 공개된 취약점이 패치를 적용할 수 있는지 평가된 적이 없다.
• 중앙 집중 거버넌스가 없다.