4. OT보안에서의 NW Traffic Anomaly Detection (이상징후 탐지)
OT보안은 IT보안과 다르게 악성 행위, 위협, 악성코드 등 명확하게 악성을 판단하는 기준인 블랙리스트를 적용하기 어렵습니다. IT 환경과 다르게 환경의 운영과 변화가 매우 다양하고, 실질적으로 악성으로 밝혀진 취약점 공개가 매우 적기 때문이죠.
이에 17년도부터 미국을 시작으로 화이트리스트 접근의 보안 강화 개념인 Anomaly Detection(이상징후 탐지) 관점에서 OT보안이 꾸준히 거론되고 많은 솔루션이 출시되고 있습니다.
Anomaly Detection(이상징후 탐지)는 정상상태가 아닌 것은 모두 위협의 가능성인 이상징후로 판단해 관리자에게 그 정보를 제공하고, 조기 대응하는 것을 원칙으로 하는데요. 여기서 정상 상태를 기준으로 정책화 하기 위해 특정 기간(통상 8주)의 데이터 및 트래픽, 시스템 등의 상태를 정상 상태의 기준으로 설정하고 있습니다. 그렇기 때문에 명확히 악성, 위협이라고 판단되는 것을 포함해 정상 상태 기준에서 어긋나는 것은 모두 관리자에게 알람을 주도록 되어 있습니다.
여기서 정상 상태가 아닌 이상징후에 대한 판단의 대상을 앞서 논의한 취약점 점검 항목을 통해 살펴보면 두 가지 기능으로 수렴되는데요. 즉, [그림 4]와 같이 제어시스템의 컨트롤 데이터 비정상 제어 명령에 대한 이상 탐지와 NW 트래픽 흐름의 패턴과 양의 변화 분석을 기반으로 이상징후를 탐지하는 제어망 NW 트래픽 이상 탐지 두 가지로 구분할 수 있습니다.
제어망 NW 트래픽 이상 탐지 기능을 적용하면 보안 위협에 조기 대응할 수 있습니다. 과다 세션 및 트래픽 볼륨 발생 징후, 비정상적인 패스로의 접속 증가, 침입 이상 징후를 탐지해 신속한 대응이 가능하게 하죠. 또한, 비정상 제어 명령(Data Code) 실시간 감지로 해커의 악의적인 제어 명령 조작과 제어 명령 위변조를 탐지합니다. 더불어 주요 정보통신기반시설 산업제어시스템 보안 취약점 점검 ‘C-29’ ‘C-30’에서 포함해 제시하는 운영자의 제어 오류를 신속하게 탐지하고 대응할 수 있도록 합니다.
여기서 제어 명령의 이상징후 탐지는 아래 [그림 5]에 표기된 ①, ②의 허용되는 파라미터 값 범위 안에 있는 값 Min-Max 값 안에서도 명확하게 비정상 제어 명령으로 탐지해야 하는데요. 제조업에서 대부분 운영 시 발생되는 ③영역에서도 비정상 제어 명령으로 판단할 수 있는 지능적인 탐지 기능이 수반돼야 합니다. 앞서 스턱스넷의 사례에서 보듯 주기적으로 모터의 회전 수를 1410Hz, 2Hz, 1064Hz로 변경하는 악성 행위의 경우, ③영역에서 침해를 일으켰다는 점을 주목해야 합니다.
5. 산업제어시스템 공급업체의 OT보안 사업 동향과 NW Traffic Anomaly Detection 솔루션 비교
산업제어시스템을 공급하는 글로벌 밴더사들은 자체적으로 OT보안 사업을 적극적으로 추진해왔습니다. 대표적인 밴더사들의 동향을 살펴보면 다음과 같습니다.
하니웰은 18년도에 싱가폴에 산업 사이버 보안 센터를 설립하고, 19년에는 USB 위협 보호 솔루 SMX 출시했는데요. 다중사이트 산업 보안 SW를 전 세계 1백만 개 이상 공급해 산업 노드 보안 관리로 확대하고 있습니다. 하니웰은 17년, Nextnine 인수해 OT보안 사업을 강화하고 있습니다.
GE는 동남아시아와 중동 및 아프리카의 신흥시장에 집중해 OT보안 사업을 추진하고 있는데요. 에너지 및 유틸리티 부분 NW 모니터링 솔루션 제공하고, 산업제어시스템 및 IoT 시스템 보안 개선 컨설팅 및 솔루션을 제공하고 있습니다. 18년에 OT보안 NW 트래픽 모니터링 솔루션 보유 기업인 노조미와 협력을 맺었으며, 14년에는 캐나타 기업인 Wordtech를 인수해 비정상 제어 명령을 탐지하는 솔루션을 출시해 사업을 추진하고 있습니다.
지멘스는 Siemens ProductCERT(컴퓨터비상대응팀) 전담 보안팀을 운영하면서 Mobility Data Capture Unit과 Claroty NW 위협 감시 솔루션과 통합해 OT보안 사업 중 NW 트래픽 이상징후 탐지 솔루션 사업을 강화하고 있습니다.
마찬가지로 Rockwell, 슈나이더도 노조미, Claroty와도 오래 전부터 협력관계를 맺어 NW 트래픽 이상징후 탐지 솔루션 사업으로 OT보안 사업을 확대하고 있습니다.
이들은 협력 관계를 형성해 본인의 공유 제어시스템 공급 사이트에 OT보안 사업을 추가하고자 하는데요. 이들과 협력하고 있는 OT보안 솔루션 기업의 제품을 비교하면 다음 [그림 7]의 표로 정리할 수 있습니다.
이 중 OT 자산 자동식별·분류, 네트워크 토폴로지 자동 생성과 같은 OT보안 기능을 제공하는 CyberX는 모든 산업 프로토콜을 분석하고 가시성을 제공합니다. 또한, 산업제어시스템의 이상 행위 분석에 대한 특허 기술 전용 클라우드 샌드박스를 보유해 더 빠르고 정확하게 위협을 탐지할 수 있죠. 뿐만 아니라 설비 운영에 영향을 주지 않도록 신속한 구축도 가능하다고 프로모션하고 있습니다.
Claroty는 엔터프라이즈 산업용 제어 설비 네트워크 및 국가 기간망을 사이버 공격으로부터 보호해 인프라의 안전성과 신뢰성을 구축하고 있습니다. Claroty의 주력 제품인 Continuous Threat Detection(CTD)은 완벽한 가시성, 지속적인 위협 및 취약점 모니터링, ICS 네트워크 심층 분석 기능을 지원하는데요. Claroty CTD는 복잡한 대규모 산업용 네트워크의 안전과 보안성 및 안정성을 유지할 수 있도록 특별히 설계됐으며, 기본 운영 프로세스에 영향을 미치지 않으면서 사이버 복원력을 개선하는데 이상적입니다.
또한, OT 미러링 트래픽을 스위치SPAN Port를 통해 머신러닝 기반 베이스라인학습 및 분석이 가능한데요. 별도 에이전트를 설치하지 않는 구성으로 구축하기 때문에 기존 설비에 대해 매우 안정적인 가용성에 대한 신뢰도를 제공합니다. 이러한 구성은 OT 인프라/팩토리 다운타임이 없도록 해 솔루션의 안정성에 대한 고객의 우려를 해소할 수 있습니다.
[참고]
KISA, 주요정보통신기반시설 기술적 취약점 분석.평가방법 상세가이드, 2021.3
Global Market Insights, ICS Security Market Report 2026, 2020
강민균, 산업제어시스템의 국가별 사이버 보안 현황, ICT신기술, 정보통신기획평가원, 2019.10
김위찬, 르네 마보안; 블루오션 전략, 교보문고, 2005.
김진철, 발전제어시스템 보안모니터링 기술 동향, ICT신기술, 정보통신기획평가원, 2021.1
송창용, 비즈니스 진화에 기초한 블루오션 전략캔버스의 개선에 관한 연구, Journal of the Society of Korea Industrial and Systems Engineering, Vol. 35, No. 3, 2012
글 ㅣ LG CNS 사이버시큐리티팀 허철준 책임
