[디지털데일리 이종현기자] 국·내외 산업시설을 대상으로 사이버보안 사고가 증가하고 있다. 작년 발생한 미국 최대 송유관 운영사 콜로니얼 파이프라인(Colonial Pipeline)의 랜섬웨어 피해가 대표적이다. 당시 미국에서는 휘발유 사재기가 벌어지는 등, 사회적 문제로 비화됐다. 산업시설 보안에 대한 경각심을 불러일으켰다.

20일 안랩은 <디지털데일리>가 20일부터 21일까지 이틀간 개최하는 차세대 기업 보안 버추얼 컨퍼런스 [NES 2022] 첫날 ‘운영기술(OT) 보안 위협과 구축 사례로 알아보는 대응 전략’을 주제로 발표를 진행했다.

발표를 맡은 안랩 황재훈 부장은 ”최근 국내·외 산업시설의 사이버보안 사고가 증가세를 보이고 있다. 특히 제조 산업에 대한 해킹 피해가 커졌는데, 2019년부터 2021년까지 2배 정도 사고가 증가했다”며 “그동안 OT 보안에 대한 관심이 적다 보니 취약한 부분이 있었다”고 말했다.

삼성전자의 경쟁사인 대만 반도체 기업 TSMC도 2019년 랜섬웨어 피해를 입었다. 폐쇄망 설비에 USB를 직접 연결해 망분리나 방화벽을 우회하고 악성코드를 침투시킨 사건이다.

정보기술(IT) 환경에서는 랜섬웨어 등을 대비하기 위해 파일 공유 서비스를 금지하는데, OT 환경에서는 SMB 같은 파일 공유 서비스를 빈번하게 사용하기 때문에 악성코드가 순식간에 확산, 해외의 다른 공장까지도 전파됐다. 48시간 공장 가동 중단으로 발생한 피해액은 3000억원가량으로, 연 매출의 3% 수준이다.

1만5000명의 시민 식수를 양잿물로 바꾸려는 사이버테러 시도도 있었다. 2020년 미국의 올즈마 수처리 시설이 그 대상이었다. 업무망의 관리자 시스템에 워터링홀 공격으로 악성코드가 다운로드됐고, 이로 인해 공격자에게 OT망 내부 정보가 유출돼 외부 공격자가 원격접속 프로그램 ‘팀뷰어(Teamviewer)’를 통해 제어설비 설정값을 무단으로 조작하려 시도한 건이다.

황 부장은 “이런 사례들은 사회기반 시설은 엄격하게 폐쇄망으로 구축하고 있다고들 생각하는데, 외부의 공격자는 얼마든지 쉽게 접근할 수 있다는 것을 시사한다”며 “OT망 내부에는 가용성 때문에 취약점 패치를 잘하지 않는데, 내부망에 남아 있는 취약점들 때문에 악성코드가 더욱 쉽게 전파된다”고 전했다.

산업시설은 스마트팩토리 등으로 IT와 OT망이 서로 연결되고, 엔드포인트 및 네트워크 보안 위협이 혼합되는 형태로 진행되고 있다. IT망에 대한 정보를 얻은 뒤 OT망에 침투하고, 악성코드를 내부에 전파한 뒤 스카다(SCADA)나 HMI(Human Machine Interface)로 연결한다. 이후 PLC 제어 명령을 변조하고, 이는 설비의 비정상 운영으로 이어지는 구조다.

시장조사기관 가트너의 2021년 조사에 따르면 국내 기업 중 OT 및 사물인터넷(IoT) 보안 솔루션을 도입했거나 도입을 진행 중인 곳은 31%에 그쳤다. 48%는 도입 예정이다. 16%는 잘 모르겠다고 답했고 5%는 도입 계획이 없는 것으로 확인됐다.

황 부장은 “실제 보안사고를 당한 후에 적용한다는 것은 ‘소잃고 외양간 고치기’의 속담과 같이 대단히 위험한 계획”이라고 꼬집었다.

안랩은 작년 7월 OT 보안 강화를 위해 산업용 프로토콜 분석 기술을 보유한 나온웍스를 인수했다. 안랩이 보유한 보안 위협 분석 기술과 나온웍스의 산업용 프로토콜 분석 기술을 결합시킨 OT 보안 솔루션 전략을 구성 중이다. 엔드포인트, 네트워크, ICS 설비 관점에서 각 구간별로 안랩과 나온웍스의 솔루션을 배치하는 형태다.

황 부장은 “OT 보안이라는 것은 하나의 솔루션이 아니라 OT 영역 전반에 대한 보안이어야 한다. 다양한 관점에서의 고려가 필수”라며 “이에 안랩은 총 3단계 구축 전략을 제시해 드린다”고 밝혔다.

각각 ▲네트워크 망분리와 세그멘테이션 ▲가시성과 탐지 ▲모니터링과 관리 등이다. 1단계로 최소한의 안전을 위해 방화벽이나 단방향 게이트웨이 같은 솔루션을 통해 네트워크 망분리, 세그멘테이션을 제공한다. 엔드포인트 관점에서 악성코드, 비인가된 프로세스나 세션에 대한 차단을 위한 엔드포인트 솔루션도 도입된다.

2단계에서는 OT망의 가시성을 위한 침입방지시스템(IDS)나 샌드박스, 지능형지속위협(APT) 제품 등 악성코드를 더 잘 분석할 수 있는 제품군이 포함된다. 이어서 3단계에는 모아진 정보를 계속 모니터링하고, 필요한 경우 대응이나 관리할 수 있도록 고객사의 통합보안관제(SIEM)이나 고객사 포털로 연결되도록 하는 것이 안랩의 OT 보안 구축 전략이다.

황 부장은 “안랩이 나온웍스와 한 가족이 되면서 함께 개발하고 있는 제품은 OT-IDS다. 아직 제품 명칭은 확정되지 않았다. OT 프로토콜 분석을 통해 OT망의 자산과 네트워크 가시성을 제공하고, 실시간 보안 위협 탐지를 제공하는 것을 목표로 한다”며 “OT망 가용성에 영향을 주지 않으면서 통합적인 관리와 모니터링을 제공하는 것이 특징”이라고 말했다.

이어서 그는 “갈수록 OT에 대한 위협이 커지고 있다. 이에 대한 준비를 더 적극적으로 진행해야 할 것으로 보인다. OT 보안이 생소하고, 어떻게 해야 할지 모르는 이들은 안랩에 문의주시면 함께 고민하고 대안을 만들어나갈 수 있도록 하겠다”고 부연했다.