보안이 까다로운 OT환경, 적합한 솔루션이 필요하다
  • 정형우 기자
  • 승인 2019.05.13 16:13
  • 댓글 0
이 기사를 공유합니다

IT환경은 대부분 윈도우 기반이고 대부분 환경이 유사하지만 OT환경은 서로 다른 경우가 많아 솔루션 적용이 힘들다. 또한 IT와 OT환경이 융합되고 있는데 최근 IT, OT, IoT까지 융합 시 모든 것을 한 번에 보호하는 데는 그에 걸맞은 보안 솔루션이 필요하다.

IT환경에선 사소한 문제도 OT환경에선 눈 여겨 봐야

[인더스트리뉴스 정형우 기자] 4차산업혁명과 더불어 정부의 적극적인 참여로 인해 제조업을 비롯한 다양한 산업의 스마트화가 빠르게 진행되고 있다. 정확함과 편리함을 위한 변화지만 네트워크를 통해 전에 없던 새로운 방식의 사이버 공격이 이뤄지는 문제도 생겨나고 있다. 스마트해진 생산만큼이나 스마트해진 보안이 필요할 때이다.

IT환경은 물론, OT환경에서도 사이버 보안이 중요시 되고 있다. [사진=dreamstime]

특히, 최근엔 IT환경뿐만 아니라 OT환경에서의 보안 솔루션 역시 중요한 주제로 떠오르고 있다. IT환경에 비해 비교적 안전했던 OT환경이지만 이미 타깃이 되고 있고 사이버 테러가 IT에서 OT로 연계되는 등 여러 가지 방식의 공격이 이뤄지고 있기 때문이다.

지난 5월 10일 한국동서발전 본사에선 다크트레이스(Dark Trace) 앤드류 쏜체브(Andrew Tsonchev) 기술 디렉터가 ‘OT, IT, IoT환경에서의 인공지능 보안 솔루션’에 대한 설명회를 진행했다. 그중에서도 OT환경에 적합한 솔루션을 제시해 참석자들에게 유용한 정보를 제공했다.

까다로운 보안 솔루션을 요구하는 OT환경

IT환경은 대부분 윈도우 기반이고 가끔 맥이나 리눅스를 사용하는 정도로 환경이 유사하지만 OT환경은 제조사에 따라 사용하는 기술이 매우 다르며, 커스터마이징 돼 있어 솔루션 적용이 힘들다. 또한 날이 갈수록 IT와 OT환경이 융합되고 있는데 최근 IT, OT, IoT까지 융합을 시도하는 이들도 있어 이 모든 것을 한 번에 보호하는데 어려움이 있다.

OT환경을 대상으로 시행되는 사이버 공격을 막기 어려운 또 다른 이유는 그 환경에 특화된 공격이기 때문. 표준적인 멀웨어를 사용하는 것이 아니라 정보가 없는 새로운 공격이 이뤄지기 때문에 IT환경보다 탐지도 어렵다.

다크트레이스(Dark Trace) 앤드류 쏜체브(Andrew Tsonchev) 기술 디렉터 [사진=인더스트리뉴스]
다크트레이스(Dark Trace) 앤드류 쏜체브(Andrew Tsonchev) 기술 디렉터 [사진=인더스트리뉴스]

다크트레이스는 보안 솔루션 적용 시 스위치에서 네트워크 데이터를 얻는데 “OT환경은 스위치가 너무 많고 노후된 것도 많아 일반적으로 감시가 쉽지 않지만 다크트레이스는 노후된 스위치 분석도 이뤄내고 있다”고 말한 쏜체브 디렉터는 “데이터 다이오드나 다른 기술을 활용해 OT트래픽을 수집하는 어플라이언스를 통해 시스템에 지장을 주지 않고 패시브하게 데이터를 수집할 수 있도록 하고 있다”고 설명했다.

이 어플라이언스는 정기적 업데이트나 외부 정보가 없어도 작동 가능한 것이 특징이다. 다크트레이스는 설립 초기 핵심 인프라 보호를 목표로 삼고 독립적인 환경에서 구동될 수 있는 시스템을 만들었다. 따라서 현장에 있는 어플라이언스만으로도 어떠한 외부적인 업데이트나 정보를 받지 않고도 머신러닝이 이뤄진다.

쏜체브 디렉터는 “OT와 IT를 함께 보호하길 권장한다”고 강조했다. IT에서 발생한 위협이 OT환경까지 전파된다거나, 그 반대인 경우도 꽤 많기 때문이다. 그뿐만 아니라 “보안팀간에도 협력이 이뤄져 환경을 보호하는 것이 더욱 쉬워진다”고 덧붙였다.

머신러닝을 통해 이뤄지는 똑똑한 감시

산업제어 시스템은 침해를 받는 경우가 있긴 하지만 IT환경에서만큼 잦지 않다. 쏜체브 디렉터는 “만약 OT환경에 다크트레이스 솔루션을 활용한다면 시스템 전반에 대한 가시성을 제공할 수 있다”며, “평소 알지 못했던 작은 문제들을 찾아내는데 멀웨어나 사이버 공격도 탐지는 물론 설정오류나 오작동, 수상한 활동, 기존과 다른 패턴의 시스템 사용까지 파악하게 된다”고 설명했다.

다크트레이스 Threat Visualizer. 왼편 아래 쪽에 경고 알림과 더불어 점수를 표시해 더 위험한 활동을 쉽게 파악할 수 있게 한다. [사진=다크트레이스]

아울러 시스템에 여러 개의 위협이 발생할 때 머신러닝을 통해 각각의 항목에 점수를 부과해 사용자가 위험도를 쉽게 파악할 수 있다. 쏜체브 디렉터는 “에러, 실패메시지, 새로운 기기 연결 등의 경고 알림도 표시되는데 IT환경에선 중요하지 않을 수 있지만 OT환경은 IT환경에 비해 정적이기 때문에 사용자는 이러한 것도 위협으로 인식하고 관심을 가져야 할 필요가 있다”고 피력했다.

다크트레이스는 머신러닝을 통해 PLC들의 이름, 제조사, 펌웨어 버전 등의 정보를 제공한다. 특히, 정보제공이 되지 않는 기기의 경우 관리가 힘들 수 있지만 다크트레이스 솔루션은 기기정보를 스스로 파악해 각각 어떤 식으로 활동하는지도 확인할 수 있다. 즉, 지멘스나 하니웰 같은 시스템에 대한 이해가 없어도 데이터만 보고 사용자에게 정보 제공이 가능한 것이다.

쏜체브 디렉터는 “다크트레이스를 설치했을 때 가장 이상적인 건 어떠한 커스터마이징이나 튜닝 없이도 위험을 잘 감지하는 것이다. 파트너가 원하는 경우 보안구역이나 보안정책에 대한 추가적인 정보를 제공해줄 수 있다”며, “예를 들어 한 기기가 평소에 어떤 기기와 연결, 통신이 이뤄지는지를 우리에게 알려주면 태깅이 가능하며, 이를 통해 어떠한 자산이 더 중요하고 어떠한 위협이 지금 환경에 더 위험한 것인지 우선순위를 파악할 수 있게 해주기 때문에 효율적인 관리가 가능하다”고 설명했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.