SI

[스마트엔터2022] 클래로티가 제시하는 사이버 탄력성의 '키', "정확한 데이터 수집"

이상일
[디지털데일리 이상일기자] 자동화 시장의 운영기술(OT) 및 확장(XIoT) 보안 시장자산들은 수백, 수천 종류가 있고 제조사별로 사용하는 통신 프로토콜 또한 수백 종류에 이른다.

450개 이상의 프로토콜을 지원하는 클래로티는 높은 수준의 DPI(Deep Packet Inspection) 기술로 OT/XIoT 자산들이 어떤 데이터를 송수신하는지, 또한 프로그램 다운/업로드, 파일 전송 하는지, 변조된 패킷이나 악의적인 코드가 포함되어 있진 않은 지 식별이 가능하다고 밝혔다.

<디지털데일리>가 16일 정보통신기술(ICT) 기업들과 함께 AI·자동화 혁신과 클라우드 전략을 소개하는 버추얼 컨퍼런스 ‘스마트 엔터프라이즈 2022’에서 클래로티코리아 정완채 수석은 ‘자산 가시성으로 시작하는 사이버 탄력성 구현’이란 주제로, OT/XIoT 사이버보안 전략에 대해 소개했다.

제조업, 헬스케어, 데이터센터 등 다양한 산업 분야에선 제어기(DCS/PLC) 등을 기반으로 한 자동화 시스템을 사용하고 있다.

최근 산업현장에서는 방화벽이나 컨트롤러 자체에서 엔지니어링 워크스테이션이나 다른 컨트롤러 간 전송되는 데이터는 완전히 신뢰하도록 설정되어 있다. 보안 정책이나 사이버 공격 대응 시나리오도 외부로부터 제어장치를 보호하는 것에 정책이 맞춰져 있는 경우가 많다.

클래로티의 보안연구 조직 팀82(Team82)가 발견한 PLC 공격 기법은 이러한 맹점을 이용해 거꾸로 PLC가 제어시스템을 프로그래밍하고 진단하는 엔지니어링 워크스테이션을 랜섬웨어에 감염되게 하거나 특정 코드를 실행할 수 있다. 이 방식은 PLC 제어 프로그램을 몰래 바꿔 물리적 피해를 입힌 악명 높은 스턱스넷(Stuxnet) 악성코드와는 다른 공격 기법이다.
또, ‘Evil PLC’ 공격은 컨트롤러를 직접적으로 무기화한 후 엔지니어링 프로그램과의 연결/업로드 절차에서 랜섬웨어에 감염되게 하거나 특정 프로그램이나 코드를 실행할 수 있도록 한다. 엔지니어링 워크스테이션은 일반적으로 다수의 PLC와 연결되어 있기 때문에 또, 다른 PLC나 사업장에 암세포처럼 퍼져 나가면서 큰 피해를 입힐 수 있다.

정완채 수석은 “모든 자동 제어장치들이 이와 같은 공격기법에 악용될 수 있는 잠재적인 취약점이 있다. Team82는 XIoT 장치의 취약점은 2022년 상반기에만 747개가 산업, 의료, 상업 분야의 86개 제조사에서 발견되었다고 발표했다. 이 중 65%의 취약점은 설비를 임의 조작, 중단시키거나 중요 정보를 유출 시킬 수 있는 크리티컬한 취약점으로 전체 취약점의 약 20%는 현재까지 부분 조치만 가능하며, 약 10%는 조치방안이 없거나 불가능한 것으로 파악 됐다”고 밝혔다.

정 수석은 “이와 같은 사실을 통해 100% 완벽한 취약점 보완은 불가능하다는 결론을 내릴 수 있다. 때문에 사이버 탄력성을 갖추기 위한 여정은 기업의 운영 환경과 역량에 따라 다르겠지만 진화하는 사이버 위험에 맞추어 단순히 공격에 대한 방어 개념이 아니라 지속적으로 보안 시스템과 절차를 만들고, 평가하고 보완해야 한다는 점을 명심해야 한다”고 강조했다.

사이버 탄력성(Cyber Resilience)은 사이버 공격을 받아 피해가 발생 했더라도 사이버 공격 이전으로 복원하는 능력을 말한다. 사이버 공격에 대한 단순 탐지 차단 뿐만 아니라 그외 다양한 대응 시나리오를 수립하고 인력, 전략 등 다양한 측면에서 대응 능력을 고도화하는 개념 이다.

이처럼 사이버 탄력성을 확보하기 위해선 사이버 공격에 노출될 수 있는 자산들은 어떤 것인지, 얼마나 있는지, 어떻게 통신하는지 하나의 자산 데이터 베이스를 구축하는 것이 필요하다는 지적이다. 또 자산, 자산 간 통신, 프로토콜들의 취약성과 위험의 크기를 파악하고 우선순위를 지정해 대응하고 엑세스 제어 기반으로 네트워크를 세분화할 필요가 있다는 설명이다.

마지막으로, 앞서 구축된 체계를 기반으로 위협을 탐지하고, 기존 SOC 솔루션들과 통합해 운영에 영향을 미치기 전에 사이버 공격 위험을 완화하고 대응하는 것을 반복해야 한다는 설명이다.

정완채 수석은 “자산 식별에서 가장 중요한 것은 모든 OT/IoT 자산에 대해 상세하고도 정확한 데이터를 수집하고, 이를 단일 데이터베이스로 통합 관리하는 것”이라며 “클래로티의 보안 솔루션 엑스돔(xDome)은 네트워크 패킷을 분석해 XIoT(OT, IT, IoT, IIoT)의 모든 기기를 분류해 실시간으로 업데이트 하고, 새로운 제조사와 장치 타입이 나와도 SaaS 방식의 장점인 실시간에 가까운 업데이트를 통해 자산 탐지 정확도를 100%에 가깝게 유지할 수 있다”고 밝혔다.

SaaS 기반의 클라우드 솔루션인 엑스돔은 해당 자산이 연결된 스위치 포트 정보까지 제공해 현장에서 수백, 수만 개에 달하는 자산의 위치를 빠르게 파악하고 대응이 가능하게 한다.

정 수석은 “클래로티 솔루션만의 차별점으로 PLC 같은 컨트롤러의 랙슬롯 정보, 즉 모듈 정보 또한 수집할 수 있다. 제조사와 모델에 따라 차이는 있지만 자동으로 통신 모듈의 모델명 뿐 아니라 IP, MAC, 펌웨어, 모델명, 시리얼 번호까지 취득할 수 있기 때문에 모듈 단위의 취약점 관리 및 자산 관리가 가능해진다”고 강조했다.

이밖에 엑스돔은 자산 종류와 프로토콜에 따라 가상의 영역(Zone)으로 네트워크를 세분화하고, 통신 정책을 모니터링해 방화벽이나 NAC 등에서 엑세스 제어 설정을 적용하기 전에 충분한 검증 작업을 도와준다.

특히 외부와 인터페이스하는 자산들이 의도되지 않은 국가나 악의적인 사이트와 통신한 기록이 있는지 매우 간단히 확인할 수 있다. 이를 토대로 의심스러운 통신이나 정책 위반여부를 식별해 새로운 위협도 효과적으로 탐지 할 수 있다.

정 수석은 “엑스돔은 유연한 아키텍쳐로 기업의 다양한 운영 환경에 맞추어 적용이 가능하고, 안전하고도 독보적인 자산 식별 메커니즘으로 XIoT 자산과 네트워크, 데이터에 대한 가시성을 빈틈없이 확보할 수 있다. 이를 기반으로 기업으로 하여금 아주 정확한 취약점 파악과 적절한 위험관리, 네트워크 보호, 위협탐지 역량을 갖출 수 있게 한다”고 말했다.
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널