■ 왜 에단 헌트는 해킹에 목숨을 걸어야 하는 걸까?   영화 ‘미션 임파서블’에는 기밀 정보를 빼돌리기 위해 온갖 고생을 하는 주인공 ‘에단 헌트’의 모습이 잘 묘사되어 있다. 변장은 기본이고, 수심 60m의 급류 속에서 3분간 숨을 참는다. 공중에 매달려 침투하다 떨어진 땀 한 방울로 인해 발각될 위기에 처하기도 한다. 무사히 잘 끝나면 참 다행인데 문제는 이러한 시도가 포착될 위험이 높고 또 이 과정에서 누군가를 죽여야 하는 경우도 생기다 보니 안타깝게도 우리 편(?)의 희생을 치러야 하는 일 역시 종종 발생하게 된다는 것이다.   일반적으로 ‘해킹’ 또는 ‘사이버 공격’을 이야기할 때 이런 일들이 생명의 위협을 느끼는 위험천만한 일이라고는 생각하지 않는다. 왜냐하면 우리에게 익숙한 해커의 이미지는 어두운 공간에서 후드를 쓰고 컴퓨터 앞에 앉아 빠르게 타자를 치고 있는 모습에 가깝기 때문이다. 그런데 왜 영화나 드라마 속 주인공들은 언제나 위와 같이 어렵고 험난한 방법을 써가며 직접 침입을 시도하는 걸까? 보다 극적인 전개를 위한 허구나 과장인 걸까?   그 이유는 산업제어시스템(ICS: Industrial Control System)이 기본적으로 외부의 IT망과 분리된, 다시 말해 폐쇄망으로 구성되어 있다는 데 있다. 이러한 시설들은 보유하고 있는 정보의 중요도가 높을수록, 사회 전반에 미치는 영향력이 클수록 더욱 삼엄한 보안을 유지하게 된다. 그렇다면 조금 더 안전하게, 직접 가지 않고 해당 시설의 정보를 뺏거나 해킹하는 것은 정말 불가능한 일인 걸까? 산업제어시스템(ICS)의 환경, 더 나아가 OT(Operational Technology, 운영 기술)에 대해 살펴보며 그 가능성에 대해 논의하는 시간을 가져보고자 한다.   ■ ​OT란 무엇인가?   최근 보안 트렌드를 살펴보면, 정보 기술을 의미하는 IT(Information Technology)와 비교되는 말로 운영 기술의 OT(Operational Technology)라는 용어가 등장한다. 기존 산업제어시스템으로 알려졌던 환경이 보다 넓은 영역인 OT로 확장돼 쓰이고 있는 추세다.  

  

<이미지1. OT, ICS, SCADA 구성 / 출처: 가트너(Gartner), 이글루시큐리티 재구성>

  가트너(Gartner)에 따르면 OT(Operational Technology)란 기업의 물리적 장치, 프로세스 및 이벤트를 직접 모니터링/제어하여 변경을 감지하거나 변경하는 하드웨어 및 소프트웨어로, 스마트 시티(Smart City), 스마트 팩토리(Smart Factory), 사회기반시설 등 다양한 환경에서 운영되고 있는 시스템을 말한다. 우리에게 익숙한 기존의 IT 환경과는 또 다른 환경으로, 운영 환경, 네트워크, 프로토콜, 인력, 제어 방법, 보안 등 거의 모든 부분에서 IT와는 사뭇 다른 모습을 보인다.   IT 전문가가 처음 OT를 접할 때 느끼는 가장 큰 차이는 바로 사용하는 언어다. 세종대왕이 나라말이 중국과 달라 서로 통하지 않아 훈민정음을 창제했다 하셨던 것처럼, IT와 OT는 매우 다른 언어를 사용한다. 모 산업 시설에서 OT 보안 컨설팅을 수행한 컨설턴트는 해당 프로젝트에서 가장 어려웠던 점으로 ‘IT와 OT 언어의 다름’을 꼽았다. 그간 IT 영역에서 오랜 기간 컨설팅을 수행하며 나름 자부심도 있는 베테랑 컨설턴트였는데, OT 영역에서 처음 실무자와 인터뷰를 하며 느꼈던 ‘언어의 다름’에 도저히 진도가 나가지 않아 언어를 습득하는데 꽤나 많은 시간과 노력을 들였다고 한다.   보안을 바라보는 관점에서도 IT와 OT 간의 큰 차이를 느낄 수 있다. 보안의 우선순위 관점에서 보았을 때 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 중 IT는 기밀성을, OT는 가용성을 가장 중요하게 여긴다. 이 차이는 두 영역의 업무 차이에서 비롯되기도 하지만 앞에서 이야기했듯 OT는 폐쇄망 환경, 즉 외부와 연결되어 있지 않은 환경에서 운영됨에 기인하는 바도 크다. 지금까지의 OT 환경은 ‘폐쇄성’을 담보로 안전한 보안을 보장받아 온 것이다. 그러나 시대가 변화함에 따라 이러한 OT의 폐쇄성 역시 시험대에 오르게 됐다. 4차 산업혁명과 더불어 IoT, 빅데이터 등 여러 신기술이 등장하면서 폐쇄망이었던 OT 망이 IT 망과 연결돼 운영되기 시작한 것이다.  

  

 

<이미지2. IT와 OT 보안의 차이 / 출처: GE코리아, 이글루시큐리티 재구성>

  ■ ​OT 환경에서의 보안 이슈   보안에 관심 있는 사람이라면 ‘스턱스넷(Stuxnet)’이라는 단어를 기억하고 있을 것이다. 2010년 6월 발견된 스턱스넷은 산업제어시스템으로 유명한 독일 지멘스사의 산업용 소프트웨어를 선택적으로 공격해 해당 소프트웨어를 사용하는 산업시설에 침투, 오작동을 유발하는 악성코드였다. 이로 인해 이란의 핵 개발 시설이 큰 피해를 입었고 비단 이란뿐 아니라 중국을 비롯한 여타 많은 국가에도 빠르게 확산돼 다양한 산업시설들을 감염시켰다.   스턱스넷은 산업제어시스템을 겨냥하여 제작된 악성코드다. 해커의 자기 과시 또는 금전적인 이유로 제작된 기존의 악성코드와는 다르게 국가의 주요 산업시설 파괴를 목표로 한다. 그로 인해 당시 많은 보안 전문가들이 스턱스넷을 보안 위협의 패러다임을 바꾸는 악성코드라 평가하기도 했지만, 사실 스턱스넷 공격 그 자체보다 주목해야 할 것은 이렇듯 이미 오래 전부터, 긴 시간에 걸쳐 수많은 OT, 산업제어시스템들이 공격을 받아 오고 있다는 점이다. 이는 영화 ‘다이하드 4.0’에 잘 묘사된 ‘파이어 세일(Fire Sale)’이 더 이상 영화 속 허구가 아님을 잘 말해준다.   

 

<이미지3. OT 환경에 대한 보안 위협 / 출처: 스템소프트(노조미네트웍스)>

  분명 앞에서 OT 환경은 폐쇄망으로 구성됐다고 했는데 어떻게 악성코드에 감염되고 시설에 대한 공격이 이뤄지게 된 것일까? 이를 알아보기 위해서는 OT 환경의 구조를 알아야 한다. OT 환경을 표현하기 위해서는 일반적으로 ‘퍼듀모델(Purdue Model)’을 사용하는데 이는 다음과 같다.

  

<이미지4. 퍼듀모델을 통한 OT 환경 표현 / 출처: CISCO, 이글루시큐리티 재구성>

  기존에 우리가 ‘폐쇄망’이라고 부르던 OT 네트워크는 퍼듀모델 상의 Safety Zone부터 Industrial Zone까지, Level 0에서부터 Level 3까지를 가리킨다. 분명 이 영역은 외부와 단절되어 있고 IT와 다른 OT만의 별도 프로토콜(ABB, GE SRTP, Siemens S7 등)로 이루어져 있기 때문에 기본적으로는 외부로부터의 위협에서 안전하다고 여겨진다.   그런데 함정은 OT 환경이 이렇듯 폐쇄망으로만 구성될 수는 없다는 것이다. 운영 관리를 위해 Enterprise Zone, 즉 IT 망인 Level 4~Level 5의 영역이 존재하며 직원에 의한 운영, 유지관리를 위한 외부에서의 원격접속 등 다양한 이유로 IT 망과 OT 망의 접점인 ‘Industrial DMZ’, 속칭 ‘Level 3.5’가 존재할 수밖에 없다. 이 영역을 통해 IT와 OT가 연결되며 IT 영역에서 발생하는 수많은 위협이 결국 OT 환경에까지 영향을 주게 된다. OT보안 솔루션 전문업체 클래로티(Claroty)에 따르면 얼마나 많은 외부로부터의 접속이 내부의 폐쇄망으로 이루어지는지는 보안 담당자나 OT 담당자, 그 누구도 모른다고 한다.   결국 OT 환경은 우리가 알고 있던 것처럼 폐쇄망으로 이루어져 외부의 공격이 절대로 닿을 수 없는 것이 아닌, 오히려 이미 ‘외부의 공격에 노출된 환경’이라는 의미다. OT 환경에 접속하여 정보를 빼내거나 해킹 하기 위해 힘들게 변장하고, 공중에 매달리고, 물속에서 숨을 참고, 고층 건물을 기어올라가지 않아도 내부에서 PC를 통해 손쉽게 접속할 수 있는 방법도, 물론 쉽지는 않겠지만 존재한다는 말이다. 할 수만 있다면 이 사실을 얼른 ‘에단 헌트’에게 알려주고 싶은 마음이다.   ■ ​OT 보안, 어떻게 해야 할까?   IT 환경과 OT 환경의 결합은 기존 IT 환경에서 발생 가능한 보안 위협을 OT 환경에까지 전이시키는 문제를 가져왔고, 이는 곧 실제 공격에 의한 피해로 이어지게 되었다. OT 환경에 대한 보안 위협은, 단순 정보 유출 등의 이슈에 그치지 않고 사회기반시설의 중단으로 야기되는 금전적 피해, 직간접적인 인명 피해, 더 나아가 대규모의 사회혼란까지 일으킬 수 있기에 그 심각도가 보다 높다. 따라서 가용성을 기밀성과 무결성보다 우선적으로 여겼던 OT 환경에서도 ‘보안’이 최우선적으로 고려해야 하는 중요한 요소로 떠오르게 된 것은, 어쩌면 너무나 당연한 일이다.   폐쇄망이기에 물리적인 보안만으로도 충분하다고 여겨졌던 OT 환경에 대한 보안 대책은 이제 IT 환경과의 결합을 고려해 새로이 수립되어야 한다. 이를 위해 수많은 컨설팅 및 보안 전문가들이 저마다의 경험과 판단을 토대로 OT 보안에 대한 정의, 고려 사항, 대응 방안 등을 내놓았고, 각각 상이한 내용을 정리해보면 다음과 같다.  

  

<이미지5. OT 보안을 위한 요소 / 출처: 이글루시큐리티>

 

1) 보안 관리체계 수립

  OT 보안을 위한 관리체계 수립 시 정책, 조직, 기술, 프로세스에 대한 내용이 모두 포함되어야 하지만, 무엇보다 중요한 건 경영진의 의지를 통한 예산 및 자원의 확보가 반드시 선행되어야 한다는 것이다.  일반적으로 OT 환경에서 기존의 ‘정보보호’조직은 IT 보안에 국한된 R&R을 부여받아 업무를 수행하고 OT 운영 담당자들은 보안에 대한 별도의 R&R이 부여되지 않는 경우가 대부분이다. 따라서 이 두 영역을 조율하여 융합된 보안 관리체계를 수립하기 위해서는 경영진의 적극적인 개입이 필요하다.   또 보안 관리체계를 수립하기 위해서는 관리체계의 표준이 필요한데, 최근 OT 환경에 대한 보안 위협이 크게 증가함에 따라 관련된 보안 규정의 제정도 활발하게 추진되고 있다. 대표적인 글로벌 표준으로는 ISA/IEC 62443, NIST 800-82 등이 있으며 국내에서도 한국인터넷진흥원(KISA)이 ‘스마트공장 사이버보안 가이드’를 발표하고 스마트 공장에서 발생할 수 있는 보안 위협과 접근통제, 데이터 보호, 정보보안 운영정책 및 절차, 자산관리 보안 사고 예방 및 대응 등의 보안 요구 사항을 명시하고 있다. 이렇듯 다양한 표준들을 바탕으로 보안 관리체계를 수립하는 추세라 할 수 있겠다.   더불어 금년 초 개최된 세계 최대 사이버 보안 컨퍼런스 RSA 2020에서는 OT 보안이 주요 이슈 중 하나로 다뤄졌다. OT 환경에 대한 보안체계 수립 시 NIST CSF(NIST Cyber Security Framework)를 IT 및 OT의 공통적인 언어로 사용하자는 논의가 있었다. 보안 운영 측면에서 IT와 OT는 융합될 것으로 예상되기 때문에 NIST CSF를 통해 IT뿐만 아니라 OT 보안 상태의 갭(Gap)을 식별하고, 리스크(Risk) 기반으로 우선순위를 도출하여 갭(Gap)을 줄이기 위한 전략적 로드맵을 수립하자는 것이다. 현시점에서는 OT 환경에 딱 맞는 표준뿐 아니라 IT 환경과의 융합을 고려한 관리체계의 수립이 무엇보다 중요하다는 사실을 시사해 준다.  

  

<이미지6. Top10 List for Securing Your OT Environment / 출처: Rockwell Automation, 이글루시큐리티 재구성>

   

2) 가시성(Security Visibility) 확보

  보이지 않는 대상을 보호할 수는 없다. IT 보안에서 ‘보호해야 하는 IT 자산에 대한 식별’이 중요하고도 필수적인 요소로 손꼽히듯이 OT 보안도 마찬가지다. 그러나 OT 영역에서의 가시성 확보는 대체로 IT 영역보다 어려운 경향을 보이는데 그 이유는 각기 다른 인력들이 담당하는 다양한 장비가 여러 사업장에 흩어져 있는 경우가 많기 때문이다. 이에 어떤 장비가 어디에 있는지를 모두 완벽하게 파악하고 있는 사람을 찾기는 더더욱 힘들다. 클래로티(Claroty), 사이버엑스(CyberX), 스카다가디언(SCADA guardian) 등 OT 보안 솔루션들이 OT 환경에서 BMT(Bench Marking Test, 성능 테스트) 또는 POC(Proof of Concept, 기술 검증)를 하게 될 때 가장 먼저 하는 일이 대상 장비를 시각화하여 찾아내는 것, 바로 가시성 확보라고 한다. 이 과정에서 각각의 담당자들조차 모르고 있던 장비를 찾아내곤 하는데 이러한 장비들은 보안의 구멍 역할을 할 가능성이 높다.   보호해야 할 장비를 모두 식별해냈다면 다음에는 각 장비들이 어디와 연결되어 있는지, 담당자는 누구인지, 어떠한 용도인지, 어떠한 프로토콜로 통신을 하고 있는지 등 해당 장비에 대한 정보를 파악해야 한다. 이렇듯 대상 장비들에 대한 가시성 확보가 이루어져야 어떻게 보안 아키텍처를 수립할 것인지에 대한 밑그림이 그려지게 된다.  

  

<이미지7. OT 보안 솔루션을 통한 가시성 확보 / 출처: 클래로티(Claroty)>

 

3) 보안 아키텍처 수립

  GE의 라지브 나일(Rajiv Niles)은 ‘OT 시스템의 경우 악성코드 감염 등 장애 감지에 필요한 시간이 평균 272일로 알려져 있으나 보안을 갖춘 IT 시스템의 경우 24시간 이내’라고 말하며 OT 보안의 현주소를 지적한 바 있다. OT 환경에는 보안 위협을 탐지할 수 있는 설비나 도구가 충분하지 않아 대응은 물론이고 발생한 위험을 알아차리는 것조차 어렵다는 것이다,   다행히 오늘날의 OT 보안은 이전보다 체계화되고 프로세스화되는 모습을 보이고 있다. 일반적으로 OT의 보안 아키텍처는 앞에서 언급한 ‘퍼듀모델(Purdue Model)’을 기반으로 수립되는데, 퍼듀모델에서는 보안을 위해 ‘심층방어(Defense-in-Depth)’ 아키텍처를 제공하고 이를 기반으로 계층화된 보안 제어 및 구현 방안을 제시해 준다.   퍼듀모델을 바탕으로 IT와 OT가 융합된 환경에서의 보안 위협을 모니터링하고 대응하기 위해서는 IT 영역에서의 레거시 보안 솔루션(Firewall, IDS/IPS, Endpoint Protection 등)을 통한 보안체계 수립과 동시에 OT 영역의 고유한 네트워크 프로토콜을 기반으로 하는 별도의 보안 솔루션이 활용되어야 한다. TCP/IP로 대표되는 IT 프로토콜과 달리 OT 환경에서는 각 설비 업체의 고유한 프로토콜을 통해 통신하기 때문에 통칭 ‘OT 보안 솔루션’을 활용해야 하며, 이러한 OT 보안 솔루션들이 공통적으로 내세우는 특장점으로는 OT 프로토콜의 호환성을 비롯해 가시성 확보, 리스크 관리, 위협 분석 등이 있다.

  

<이미지8. ICS/OT Security Reference Architecture / 출처: Gartner(August 2017) 일부 재가공>

  IT와 OT, 두 영역 모두에 최적화된 보안 아키텍처를 수립했다면 이를 융합하여 통합 보안을 할 수 있는 ‘통합 SOC(Security Operation Center, 보안관제센터)’와 ‘SIEM(Security information and event management, 통합보안관제솔루션)’이 필요하다. IT와 OT를 아우르는 ‘통합 SOC’를 통해 식별-예방-탐지-대응-복구를 위한 일련의 보안 프로세스를 수립 및 운용해야 한다. 그리고 이를 위해서는 IT 영역과 OT 영역의 수많은 보안 솔루션에서 수집되는 정보를 통합적으로 모니터링을 할 수 있는 ‘SIEM’ 역시 필수불가결하다. 이미 IT 보안에서는 빅데이터 기반의 SIEM을 넘어 AI가 접목된 SIEM의 구축 및 운영이 이루어지고 있고, 이는 OT 보안 솔루션과의 연계를 통한 융합 관제 솔루션으로서 활용이 가능하다.   ■ ​OT 보안에 대한 이해, 어렵지 않아요.   지금까지 OT 보안에 대해 살펴보았다. 정보보안업계에서 일을 하던 사람이라면 왠지 모를 기시감(旣視感, Deja vu)을 느꼈을 수도 있는데 OT 보안을 위해 고려하고 해야 하는 일들이 바로 초창기 IT 보안이 태동할 시기, 가장 중요하다고 강조되었던 것과 일맥상통하기 때문이다. 보호해야 할 자산을 식별하고, 경영진의 의지를 앞세우고, 조직 및 R&R을 명확히 하고, 정보보호관리체계를 수립해 관리하고, 적절한 보안 아키텍처를 구축하고 운영하는 것은 비단 IT뿐만 아니라 OT 보안을 관통하는 공통 요소다. 그동안 폐쇄망이라는 무적의 방패 뒤에 가려져 있던 OT 환경이 IT 환경과의 융합으로 여러 보안 위협에 노출되기 시작했고, 그로 인해 다소 늦게 보안에 대한 필요성이 제기된 것일 뿐이다.   IT 환경에 최적화된 여러 보안 요소들에 OT만의 고유한 특성을 반영한다면, 생각보다 어렵지 않게 OT 보안을 구현해낼 수 있다. 물론 세세한 차이점 하나하나가 실무 단계에서는 큰 어려움으로 다가올 수 있지만 우리는 언제나 그렇듯 해답을 찾아낼 것이다. 빠르게 변해가는 환경 속에 IT와 OT가 구분되지 않는, 완벽하게 융합된 보안 생태계를 구축해내는 시점은 머지않을 것으로 기대된다. 그러니 아쉽게도 ‘에단 헌트’가 사무실에 앉아 커피를 마시며 정보를 빼내는 일은, 또 다른 이유로 쉽지 않을 듯하다.