IT는 알지만 OT는 생소하다’
아마 많은 독자들이 OT에 대해 갖고 있는 생각일 것이다. 최근, 연이은 침해 사고로 OT 보안의 중요성이 부각되고 있다. OT 환경을 안전하게 지키는 방법 중 첫 번째는 환경의 구조와 올바른 보안 접근법을 이해하는 것이다.
월간안 6월호와 7월호를 통해 OT의 정의와 구조, 침해 사례와 공격 전개 과정, 보안 접근법과 통합 OT 보안 프레임워크의 필요성 등 OT 보안에 대한 내용을 2편에 걸쳐 심층적으로 소개한다.
※ 관련기사
똑똑한, 그러나 위험한 '스마트공장'…'OT보안' 뜬다 (2022.06)
한 번 뚫리면 세계 시장이 휘청…해커들이 '이 곳' 노리는 이유 (2022.01)
공급망 대란도 버거운데 사이버 공격까지...제조업 보안 비상 (2022.06)
OT 보안이란?
이제 범용적으로 쓰여지는 ‘OT’의 정의는 무엇일까? OT(Operation Technology)란 산업의 운영기술 환경으로, 산업제어시스템(Industrial Control System: ICS) 뿐만 아니라 IT와 연결되거나 함께 사용되는 광범위한 영역을 뜻한다. 그리고, OT 보안은 위와 같은 OT 환경을 보호하는 행위나 체계를 일컫는다.
자연스럽게 또 하나의 질문이 생긴다. ‘IT 보안과 OT 보안은 어떻게 다른가?’. 이 질문은 IT 보안 체계로 OT 환경을 보호할 수 없는지에 대한 의문이기도 하다. 이 질문에 대한 답을 내리기 위해서는 IT와 OT의 본질과 차이점을 이해해야 한다.
기본적인 해답은 단어 자체에 포함되어 있다. IT(Information Technology) 보안은 ‘정보’에 초점을 두는 반면, OT(Operation Technology) 보안은 ‘운영’에 초점을 둔다. 단순히 보기에는 크게 다르지 않을 수 있지만, 이러한 본질의 차이는 근본적인 접근법을 다르게 한다.
우선, 보안의 3가지 속성 측면에서 IT와 OT 보안을 살펴보자. 보안의 3가지 속성은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이다. 3가지 모두 보안에서 필수적으로 충족되어야 하는 요소이지만, 우선순위를 나눠볼 수는 있다. 통상적으로 IT 보안에서는 기밀성을 가장 우선시 하며, 무결성과 가용성 순으로 중요도를 보고 있다. 이를 영문 약자로는 ‘C.I.A’라 한다.
OT 보안은 우선순위가 조금 다르다. 가용성을 보장하는 것이 가장 중요하고, 무결성과 기밀성 순으로 우선순위가 정립된다. 영문 약자로는 ‘A.I.C’로 볼 수 있다. 그럼 왜 이와 같은 차이가 있는 것일까? 이유는 생각보다 간단하다. 컴퓨터는 재부팅하면 되지만 공장 설비는 절대 멈춰서는 안되기 때문이다.
IT와 OT 환경은 구성되는 기기에도 차이가 있다. IT 환경은 잘 알려진대로 PC, 노트북, 모바일, 서버 등의 IT 기기로 구성이 된다. 반면, OT 환경은 기존 IT 기기에 산업제어시스템(Industrial Control System: ICS)가 추가된다. 산업제어 설비는 대표적으로 PLC(Programmable Logic Controller)를 꼽을 수 있다. PLC는 쉽게 설명하면 펌프, 밸브, 로봇 팔 등 공장 내 기기에 제어 명령을 내리는 설비이다.
종합하면, OT 보안은 IT 보안과 본질적인 차이가 있으며, 기존 IT 기기에 대한 위협에 ICS 보안까지 고려해야 한다는 결론에 이르게 된다.
OT 보안침해 사례
그 동안, OT 영역은 외부에서의 접근이 엄격히 통제되는 환경의 폐쇄성으로 인해 보안의 중요성이 상대적으로 덜 부각되었다. 하지만, 디지털화가 빠르게 진행되고 IT 영역과의 접점이 늘어나면서 OT 환경을 노리는 공격이 증가하고 있고, 피해 규모 역시 커지고 있는 상황이다. 특히, OT 환경은 설비를 10년 혹은 그 이상 운영하고 노후화된 운영체제를 사용하는 경우가 많으며, 패치가 미흡해 취약점이 다수 존재한다. 사이버 공격으로 인한 피해가 쉽게 확산될 수 있는 이유이기도 하다.
최근 주요 OT 보안 사고를 보면, 공격은 제조업에 집중되고 있으며, 발전, 에너지 등 사회기반 시설을 노리기도 한다. OT 환경을 향한 공격의 형태를 보면 크게 두 가지로 분류할 수 있다. 첫째는 IT 환경의 공격 기법을 OT 환경에 적용하는 것으로 대다수가 랜섬웨어 감염이다. 또 하나는 제어명령을 변조해 공정 자체를 타격해 피해를 입히는 것이다. 각 공격 형태의 대표적인 사례들을 하나씩 살펴보자.
우선, 2019년 대만 반도체 기업 TSMC의 워너크라이(WannaCry) 랜섬웨어 감염사례가 있다. TSMC는 해당 사고로 인해 48 시간 가량 공장 가동이 중단되었고, 연매출의 3%에 해당하는 약 3천억 원의 손해를 입은 바 있다. TSMC의 랜섬웨어 감염은 OT망 내부 설비에 바이러스 검사없이 감염된 비인가 USB를 사용하면서 시작되었고, ‘이터널 블루(Eternal Blue)’ SMB 취약점을 통해 빠르게 확산되었다. 해당 공장과 연결된 해외 다른 공장까지 랜섬웨어가 전파되며 피해가 커졌다.
다음은 미국 플로리다 주의 도시 올즈마(Oldsmar) 수처리 시설 해킹사건이다. 공격자는 취약점을 통해 시설 관리자가 방문할 만한 웹사이트에 악성코드를 심었고, 업무망 시스템에 침투하여 계정 정보와 제어설비 연결 정보를 탈취했다. 이후, 원격 접속 프로그램 팀뷰어(TeamViewer)를 통해 물의 수산화 나트륨 농도를 조작하려 했으나, 다행히 모니터링 중이던 관리자가 마우스의 이상한 움직임을 포착하여 공격을 막아냈다. 하지만, 자칫 수 만명 시민의 식수를 ‘양잿물’로 바꾸는 대형 테러로 연결될 뻔한 사건이었다.
OT 보안 현황은?
OT 환경은 보안에 미흡한 부분이 여럿 존재하고 피해 규모가 커지고 있지만, 보안 적용은 비교적 더디게 진행되고 있다. 주요 원인으로는 가용성을 우선순위에 두는 OT 환경의 특수성, OT 보안에 대한 인식 및 전문성 부족, 체계적인 정책 부족 등이 꼽힌다. 이제, OT 환경의 폐쇄성이 안전을 보장하지 않는다는 사실이 분명해진만큼, OT 보안은 더 이상 미룰 수 없는 사안이 되었다.
글로벌과 우리나라의 OT 보안 현황은 구체적으로 어떤지 살펴보자. 글로벌 리서치 기관 가트너(Gartner)가 발간한 ‘2021 OT 보안 마켓 가이드(2021 Market Guide for Operational Technology Security)’에 따르면, OT 보안의 단계는 다음 6단계로 나뉜다.
▲1단계: OT 보안의 중요성 인식
▲2단계: 자산 식별 및 네트워크 토폴로지 매핑
▲3단계: 문제점 파악
▲4단계: 대응 및 보안 전략 수립
▲5단계: IT-OT 보안 융합
▲6단계: 최적화
보고서에 따르면, 전 세계 기업 중 60%가 1단계인 보안 필요성 인식에 머무르고 있으며, 6단계인 최적화까지 수행한 기업은 10% 수준이다. 또한, OT 보안을 추진하는 동력으로는 실제 침해 사고 경험, 혹은 경영진 및 정부 정책 등이 꼽혔다. 전 세계적으로, OT 보안 체계가 견고하게 확립되어 있지 않으며, 실질적인 조치를 취하지 않다가 실제 공격을 당해 막대한 피해를 입고 나서야 보안 전략과 체계를 수립할 가능성이 높다는 점을 시사한다.
국내 상황도 글로벌과 크게 다르지 않다. 안랩이 지난 2021년 기업들을 대상으로 진행한 설문조사 결과에 따르면, OT/IoT 보안 솔루션의 실제 도입을 진행 중이거나 운영 중이라는 응답은 31%에 그쳤다. 응답자 중 48%는 ‘도입 예정’이라고 밝혔고 16%는 ‘잘 모르겠음’, 5%는 ‘계획 없음’이라고 답했다. 전체적으로 높은 수준의 보안을 갖췄다고 보기에는 어려운 것이 사실이다.
우리나라는 지난 몇 년간 ‘제조혁신’에 박차를 가하고 있다. 특히, 중소벤처기업부에서는 2014년부터 추진해왔으며, 올해인 2022년까지 스마트팩토리 3만개 보급을 목표로 하고 있다. 그간의 노력에 대한 결실로 많은 제조현장에서 디지털화가 이뤄졌지만, 아직까지 스마트팩토리 목표 달성을 위해서는 갈 길이 멀다. 스마트팩토리는 공장을 디지털화 하는 것을 넘어, 이를 고도화하는 작업까지 요구되기 때문이다.
스마트팩토리 달성을 위해서는 크게 ▲기초단계: 생산정보 디지털화 ▲고도화 1단계: 생산정보 실시간 수집 & 분석 ▲고도화 2단계: 생산공정 실시간 제어까지 3단계를 거쳐야 한다. 보안 측면에서 보면, 고도화 1단계부터 실시간 모니터링 및 자동제어를 위한 보안 솔루션 적용 혹은 연동이 요구된다. 다만, 아직까지는 70% 이상의 공장이 기초단계에 머물러 있는 상황이며, 진정한 스마트팩토리로 올라서기 위해서는 시간과 투자가 더 필요할 것으로 보인다.
OT 환경 구조 이해하기
OT 보안은 그 동안 여러가지 이유로 우선순위에 오르지 못했지만, 더 이상 미룰 수 없는 과제가 되었다. OT 환경을 향한 위협이 날로 커지는 가운데, 진정한 스마트팩토리 실현을 통한 제조혁신을 위해서도 OT 보안은 선택이 아닌 필수로 자리 잡았다. 그렇다면, 현 상황에서 OT 보안 체계는 구체적으로 어떻게 수립해야 할까?
효과적인 OT 보안 전략을 수립하려면 먼저 OT 환경 구조를 이해해야 한다. 한국인터넷진흥원(KISA)의 ‘스마트공장 계층구조 아키텍처’에 따르면, 스마트팩토리는 레벨 0부터 5까지 총 6개 계층으로 나뉜다.
다만 Level 3의 특성을 고려하여 Level 3.5로 하나의 계층을 추가적으로 세분화하여 보기도 한다. 각 계층에 대한 설명은 다음과 같다.
Level 0: Field Device(현장 장치) - 말 그대로 현장에서 운영되는 설비를 뜻한다. 밸브, 펌프, 컨베이어, 로봇 등 생산 설비, 장치들의 데이터를 수집하는 센서(sensor), 개폐 장치와 같이 1계층의 명령을 받아 동작하는 액추에이터(Actuator) 등으로 구성된다.
Level 1: Basic Control(공정 제어) - 1계층은 2계층에서 내려오는 명령을 처리하고 0계층으로 보낸다. 또, 0계층에서 수집된 정보와 데이터를 1계층으로 올려 보내기도 한다. 대표적인 장치로는 서두에 소개한, 현장 설비에 명령을 내리고 통제하는 PLC(Programmable Logic Controller), RTU(Remote Terminal Unit), DCS(Distributed Control System) 등이 있다.
Level 2: Supervisory Control(공정 통제) - 2계층은 현장 설비들을 원격으로 관리하고 운영하는 시스템들로 구성되어 있다. 주요 시스템으로는 SCADA(Supervisory Control And Data Acquisition)와 HMI(Human Machine Interface)가 있다. SCADA는 현장 데이터를 1계층 PLC와 RTU를 통해 수집하고, 여러 현장 장치들을 한 번에 제어한다. HMI는 현장에서 수집한 데이터를 은행 ATM과 같이 화면으로 변환해 효과적인 운영이 가능하도록 한다.
Level 3: Operations Management(생산 관리) - 3계층은 전체적인 생산 체계를 관리하고 운영 효율성을 더한다. 해당 계층은 생산 활동 전반을 최적화하는 MES(Manufacturing Execution System), 제품 수명 주기를 관리하는 PLM(Product Lifecycle Management) 등으로 구성된다.
Level 3.5: Industrial DMZ(완충지대) - 산업용 DMZ라고도 불리는 이 계층은 OT 환경과 외부 IT 환경이 연결되는 지점이다. 센서 데이터를 저장하는 RTDB(Real-Time Database)와 Historian, 애플리케이션 서버 및 패치 서버 등이 Level 3.5에 속한다. OT 보안 침해사고가 증가하고, 이후 설명할 IT-OT 융합보안의 중요성이 부각되면서 주목받고 있는 계층이다.
Level 4~5: Enterprise Biz System(전사 관리) – 자원관리(ERP), 공급망관리(SCM), 고객관계관리(CRM) 등 기업이 일반적으로 IT 환경에서 사용하는 자원들로 구성된다. 공정과 관련된 전사적 비즈니스를 관리한다.
OT 환경 공격 과정
보안 관점에서 보면, 앞서 살펴본 Level 0~5를 네트워크 망을 기준으로 다음과 같이 구분할 수 있다. 크게 보면 IT망(Level 4~5)과 OT망(Level 0~3.5)이 있고, OT망은 다시 제어망(Level 0~2)과 운영망(Level 3~3.5)로 나뉜다. 다음은 OT 환경의 계층과 네트워크 망 별 구조와 구성요소를 종합해 정리한 것이다.
OT 환경의 보안 위협은 IT 환경으로부터 시작되는 경우가 많다. OT망에 비인가 매체를 곧바로 연결하는 경우도 있지만, 대부분은 IT망 시스템이 침해된 후 OT망으로 연결된다. OT 환경은 일반적으로 폐쇄망이고, 에어갭(Air-GAP)을 통한 망분리와 네트워크 세그멘테이션(Segmentation)으로 구성되어 공격 표면(Attack Surface)이 제한적이다. 다만, OT 환경은 IT망 관리자 시스템과 연결되어 있어, IT망 시스템이 먼저 보안 위협에 노출되면 OT망 시스템의 네트워크 연결 정보와 계정 정보가 공격자에게 탈취당할 수 있다.
과정을 살펴보면, 공격자는 OT망을 관리하는 IT망 시스템을 피싱이나, 지능형지속위협(Advanced Persistent Threat: APT)과 같은 다양한 기법으로 침투한다. 이후, OT망 시스템 접속을 위한 관리자 계정과 IP, URL 등 다양한 프로파일 정보들을 탈취한다. 이후, 허술한 망분리 정책이나 관리가 미흡한 지점을 포착해 OT망으로 침입한다. 이 밖에, 보안 관리가 되지 않은 USB를 통해서도 OT망에 악성코드가 전파될 수 있으며, 핸드폰 테더링을 통해 비인가된 노트북을 설비에 직접 연결할 경우에도, OT망 경계 보안을 우회한 악성코드가 침투할 수 있다.
이후 공격 작업은 공격자 입장에서 수월한 편이다. 공격 타깃 시스템을 탐지해 악성코드를 전파하는데, OT 환경의 업무 특성상 SMB 포트, 원격 파일 전송, 원격 접속을 빈번하게 사용하고, 패치가 미흡한 노후화 시스템이 많은 관계로 빠르게 확산된다. 이후, SCADA나 HMI와 같은 운영 시스템에 연결하여, PLC를 통해 비정상적인 제어 명령을 내리거나 설비 설정을 조작하는 등 운영에 직접적인 타격을 가한다.
결론적으로, IT 위협은 해당 환경에만 머무는 것이 아니라 OT망 공격의 시작점이 될 수 있다. 따라서, OT 보안을 별도로 볼 것이 아니라, IT 보안과 연결하여 함께 고려해야 한다.
다음화에서는 OT 보안에 대한 접근 방법 및 안랩과 나온웍스 통합 OT 보안 프레임워크의 필요성을 살펴볼 예정이다.