작년부터 많은 고객 그리고 전문가 그룹 내에서 화두가 되었던 질문이 “공장 보안 어떻게 해야 합니까?”라는 것이었습니다. 최근 제조업의 혁신을 가져올 스마트 팩토리가 국내•외 큰 관심을 끌고 있는 이 시점에 대다수의 제조업 고객은 생산, 제조에 스마트 기술의 도입과 함께 기존 및 신규 생산 공장에서의 보안을 어떻게 가져갈 것인가 하는 고민을 깊게 하고 있습니다.

사실 IT 중심의 보안컨설팅 업무를 수행해 온 대다수의 보안 전문가들에게도 제조업 혁신을 가져올 Smart Factory 보안, 그리고 기존의 Legacy Factory 보안은 골치 아픈 숙제이기도 했습니다. 작년에는 시기적으로 공교롭게도 워너크라이 및 변종 악성코드로 인해 다수의 글로벌 제조 기업에서 생산 중단 사고가 발생하며 스마트 팩토리에 대한 공격과 피해가 현실 세계의 이슈로 부각된 한 해이기도 했습니다.

대부분의 제조업의 IT/OT 담당자, 보안 담당자들은 현재 취약한 공장의 보안에 대해 심각하게 고민 중이며, 일부는 이미 현실화된 공격으로 크고 작은 피해를 입고 있는 상황입니다. 사실 팩토리 보안의 이면에는 구조적인 문제점이 존재하고 있어 발생된 사고의 사안별 해결•대응만으로는 팩토리 보안의 취약성에 대한 근본적인 해결을 할 수 없는 상황입니다.

이러한 고객 및 생산망 보안에 대한 고민과 관련해서 보안 전문가들도 팩토리 영역의 보안 취약점과 대응 방안을 현실적으로 해결할 수 있는 답을 찾기 위해 노력을 해왔고, 작년 및 올해는 좀 더 체계적이고 근본적인 팩토리 보안 대응 기술과 솔루션이 제공되어, 올해까지 많은 팩토리 보안 구축과 적용이 이루어지고 있는 상황입니다. 

팩토리 담당자의 보안에 대한 고민

사실 IT와 OT는 특화된 전문성이 요구되는 영역이고, 망 분리된 생산 영역에서 독립 운영되어 왔기 때문에 이 두 영역의 조직, 전문 인원 등은 제한된 업무 협력만 수행해 왔습니다. 하지만 최근의 생산 제조 현장에서 발생된 보안 사건, 사고와 새로운 스마트 팩토리 구축이 현실이 된 지금의 시점에서는 두 조직 간 상호 긴밀한 협업을 통해서만 보안 위협 대응이 가능한 시점이 도래했습니다.

아래는 최근 보안 전문가에게 요청되고 있는 주요한 팩토리 보안과 관련한 고객들의 고민과 질문 내용입니다.

● 팩토리 담당자의 보안에 대한 고민

• 공장 일부 생산라인의 PC에서 웜, 바이러스가 있는데 치료가 안 되고 계속 감염되고 있어요.
• 공장의 PC가 너무 구형이다 보니 보안 Agent 설치가 두렵습니다.
• 신규 공장의 증설로 많은 외부 설비 업체의 출입이 이루어지고 있습니다. 악성코드의 감염이 걱정됩니다.
• 오래전 구축된 설비여서 OS에 대한 패치가 안 되어 있거나, 최소한 패치만 적용되어 걱정됩니다. 현실적으로 신규 OS 패치가 생산에 미치는 영향이 판단되지 않아 적용이 어려워요.
• 회사 보안 정책으로 USB 반 출입이 금지되어 있지만 내부적으로 설비 유지 보수를 위해 USB를 사용하고 있어요.
• 보안상 SMB와 같은 파일 공유를 사용하지 말아야 하는데 생산 검사 장비의 사용을 위해 일부 허용하고 있어요.
• 설비 전문가가 VPN 연결을 통해서 지방 공장 설비 연결이 필요한데, 안전한 접근 및 보안 통제를 어떻게 해야 할까요?
• 전사적으로는 IT 망은 보안 관제, 탐지가 잘 이루어지지만 생산망은 마땅한 보안 관제가 없는 현실입니다. 조기 경보는 커녕, 보안 사고 발생해도 사고가 커진 뒤에나 알 수 있어요.
• N/W나 보안 솔루션에서 감염 PC를 발견하면 제공되는 IP 만으로 PC를 찾아 조치하기 어렵습니다. 생산 PC와 장비는 생산 부서 차원에서는 자산 관리가 되지만, 전사 또는 보안 관제 관점에서 관리, 식별이 어려워요.

이러한 고민과 질문들은 아래의 ICS 망의 특징에서 비롯한다고 볼 수 있습니다.

1. 팩토리 보안의 특징은 성능 및 안정성, 가용성에 대한 요구 사항이라고 할 수 있습니다.
2. 장비, 시스템의 수명 주기는 일반적으로 10~20년이고 구축 시 보안을 염두에 두고 구축되지 않았다는 사실입니다.
3. 설비는 외부 공급업체에서 유지 보수하고 있으며, 정기적인 패치, 업그레이드가 이루어지고 있지는 않은 것이 현실입니다.

팩토리 ICS의 보안을 설계하고, 위협에 대응을 하기 위해서는 아래와 같은 산을 넘어야 합니다.

1. 항상 높은 가용성을 유지해야 하므로 보안 관련해 시스템 정지 허가를 받는 것이 매우 어렵습니다.
2. 초기에 보안이 고려되지 않고 구축된 시스템이어서 핵심 인프라 보호를 위해서는 보다 세밀한 심층 방어 (defense-in-depth) 보안 아키텍처가 완전히 새롭게 필요합니다. (다양한 유형의 공격으로부터 시스템을 보호하는 계층화 된 보안 제어의 구현이 필요)
3. 팩토리 보안 아키텍처는 ICS 환경의 가용성과 무결성을 유지하면서 보안 기능을 제공해 인간의 생명과 기업의 자산을 보호하도록 설계되고 관리 되도록 구현해야 합니다.

팩토리 보안에 대해 최근 몇 년간 LG CNS 블로그에서 기고되고 위협의 현실화에 대해 경고해 왔는데, 과연 최근 1~2년 사이에 어떠한 보안 위협, 공격이 실행되었는지 최신 사례를 중심으로 한 번 더 살펴보도록 하겠습니다. 

현실화된 팩토리 보안 위협 – 최근의 보안 사고 사례

“중요 환자가 입원해 있는 무균실에 세균 하나가 들 간다면?”

망이 분리된 폐쇄망에 구축된 공장 환경은 완전한 망 분리가 이루어질 때만이 안전할 수 있습니다. 하지만 최근의 오픈 및 표준 IT 기술이 접목되는 상황에서 폐쇄 망으로 구축 운영되는 공장의 보안은 단 하나의 악성코드 유입만으로도 치명적인 결과를 초래할 수 있는 구조적 취약성을 안고 있습니다. 최근 발생한 아래의 두 사건 사고는 이러한 우려가 우리의 현실에서 발생할 수 있다는 것을 확인할 수 있는 계기가 되었습니다.

● 2018: TSMC – Wannacry Ransomware

작년 8월에는 애플의 차기 폰에 탑재되는 AP를 독점 생산하는 TSMC가 워너크라이 변종에 감염되어 생산이 중단되고 이로 인해 매출 및 손익에 피해를 본 사고가 발생했습니다. 피해의 영향은 금전적인 손실뿐만 아니고 애플의 AP를 독점 생산하던 TSMC의 애플과의 사업 관계에도 영향을 미칠 것으로 분석되었습니다.

사고의 원인은 TSMC의 설명에 의하면 새로운 소프트웨어를 설치하는 과정에서 “바이러스 스캔을 정확하게 하지 않은 직원의 실수였을 뿐입니다.”라고 해명되었습니다. 하지만 중요한 점은 전 세계적으로 유명한 TSMC조차도 단순히 백신 스캔을 하지 않은 직원의 실수로 생산이 중단될 정도의 공장 보안이 취약하고, 취약하게 관리되었다는 사실입니다.

● 2019: NorskHydro –Lockergoga Ransomware

올해 3월에는 세계 최대 알루미늄 생산자인 노르웨이 대기업 노르스크 하이드로(Norsk Hydro)가 랜섬웨어 공격을 받아 미국과 유럽의 IT 시스템에까지 영향을 미치고, 생산이 중단되는 사건이 발생했습니다. 사건의 여파로 인해 금전적 손실 외에도 전 세계 알루미늄 가격이 상승하는 계기가 될 정도로 파급력이 큰 사건이었습니다.

다양한 질문과 문의, 그리고 팩토리 보안 프로젝트 관련 요청이 들어왔던 2018년도는 해외뿐 아니라 국내에도 바이러스나 웜 감염에 의한 팩토리 내 크고 작은 사건 사고가 발생했던 한 해였습니다. 앞에서 살펴본 바와 같이 팩토리 시스템은 설치 구축 후 오랜 기간 운영되는 특성이 있고, 이로 인해 해당 산업 제어 시스템의 상당수가 보안 취약점에 대해서 보안 패치가 적용되지 않고 운영되고 있는 상황입니다.

TSMC 공장 공격 사례와 같이 이제 팩토리 보안은, 남의 고민, 강 건너 불구경이 아닌 나의 일로 변화되었습니다. 글을 읽으시는 독자분이 팩토리와 관련 있거나 기존의 IT/OT 또는 보안 담당자라면, 이제 팩토리 보안은 남의 일이 아닌 여러분의 일이 된 것을 의미합니다. 

팩토리 보안의 이론적 배경 및 보안 참조 모델

공장 보안을 준비하고 설계하는 단계에서 고객과 보안 전문가의 고민 사항은 아래와 같습니다.

1. 적용 가능한 글로벌 팩토리 보안 표준이 있는가?
2. 어떠한 보안 참조 모델을 기반으로 설계 및 대응을 할 것인가?
3. 솔루션, 서비스가 해당 팩토리 보안 참조 모델을 지원하는가?
4. 자사의 팩토리 생산 구조에 따른 적합한 모델과 솔루션은 무엇인가?

위의 고민과 관련해 국내•외 인정받고 업계 전반 논의되는 팩토리 보안 아키텍처 및 보안 참조 모델에 대해서 차례로 설명해 드리도록 하겠습니다.

● Purdue Model을 참고로 한 공장 보안 참조 Architecture

학계 및 팩토리 보안 업계에서는 팩토리 보안의 이론적 배경 및 보안 참조 모델로 퍼듀 모델을 사용하고 있습니다.

Purdue 논리적 프레임 워크는 2004년 ISA99위원회에서 제정되었고, 아래 그림과 같이 5개 구역과 6개 Operation 레벨로 구성되어 있습니다. 산업계 전반으로 ICS/SCADA 보안 솔루션 등은 최근 퍼듀 모델에 기반해 기술 구조와 보안 요구 사항에 대응하는 제품을 출시하고 있고, 전 세계적으로 유명한 SANS Institute 등에서도 ICS 보안 참조 모델을 퍼듀 모델에 기반해 제공하고 있습니다.

ICS 보안 참조 모델의 아키텍처는 액세스 제어, 로그 관리, 네트워크 보안 및 원격 액세스와 같이 ICS에서 중요하다고 간주하는 네 가지 보안 도메인의 아키텍처를 설명하고 제시하는데 사용됩니다.

IT 보안을 주로 해온 대부분의 보안 전문가, 담당자들에게 이 모델은 복잡해 보일 수도, 생소하게 보일 수도 있지만, 세부적인 내용은 IT 보안과 유사하며, 단지 팩토리 시스템, 인프라의 일부 제한된 특성을 반영한 모델이라고 이해하시면 될 것 같습니다.

● 퍼듀 모델과 기존 IT 보안 아키텍처 간의 큰 차이점은?

IT에서 일반적인 정보 보안은 중요한 정보 자산의 기밀성, 무결성 및 가용성을 보호하기 위해 노력합니다. 하지만 팩토리 ICS 환경에서는 제어 시스템의 가용성, 작업자의 생명과 안전, 처리되는 데이터의 무결성이 가장 중요합니다.

ICS에서는 시스템 수명 주기는 일반적으로 10~20년이며 통상 보안을 염두에 두고 구축되지 않습니다. 이렇게 구축 운영되어온 과거의 레거시 팩토리 시스템과 최근 다양한 스마트 IT 기술과 접목되는 스마트 팩토리를 구현하기 위해 퍼듀 모델은 심층 방어(defense-in-depth) 아키텍처를 제공해 다양한 유형의 공격으로부터 시스템을 보호하고 계층화된 보안 제어 및 구현 방안을 제시해 줍니다.

궁극적으로 ICS 환경의 가용성과 무결성을 유지하면서 무엇보다 인간의 생명을 보호하기 위해 정보 위험을 줄이는 것을 목표로 하고 있습니다. 

팩토리 보안 구축을 위해 고려해야 할 사항

팩토리 보안을 구축하는 경우 당장의 이슈 현안에 집중하는 경우가 많은데, 특히 팩토리 내의 웜이나 악성코드가 문제가 되고 있어 공장 백신에만 집중하는 경우가 많습니다. 사실 공장 망 내 보안 이슈가 될 수 있는 경로는 다양하고 이러한 문제점에 대한 근본적인 대응 및 해결을 위해서는 팩토리 보안을 위한 전체 큰 그림을 설계하고 우선순위에 따라 단계별 대응 전략으로 실행해야 합니다.

위의 그림과 같이 최근의 팩토리 보안은 스마트 팩토리로 진화하고 있는 기술적 추세를 반영하고 수용할 수 있는 다양한 팩토리 보안 솔루션을 준비해야 합니다.

최근에는 악성코드에 의한 공장 망에 대한 다수의 공격을 방어하고 생산의 가용성을 보장하기 위한, ‘해킹 및 악성코드 대응’에 필요한 솔루션 군들이 우선 고려 대상으로 선정되어 구축이 완료되었거나 확산하는 추세입니다.

팩토리 보안이라고 할 만한 솔루션도 부족했던 점이 사실이지만, 최근 악성코드 감영 이슈 등으로 인해 요청도 많아졌고, 기술적 성숙으로 인해 구축 대응 가능한 다양한 솔루션들이 출시되어, 이를 기반으로 한 팩토리 보안 구축이 다수 진행 중입니다.

아래의 표의 내용은 위의 최우선 순위 ‘해킹 및 악성코드 대응’을 고려한 대응 영역별 솔루션을 구축해 팩토리 내 보안 통제를 구현한 사례입니다.

구축 사례를 통해서 살펴본 팩토리 보안 요구 사항 및 최적의 솔루션 선정 과정

고객의 인프라와 공정에 따라 다소간 차이는 있겠지만, 대부분의 팩토리 보안을 준비하는데 공통적인 참고가 될 수 있어 해당 구축 사례를 공유하며, 이러한 고객의 고민을 구축 이행에서 어떻게 대응하고 해결해 나갔는지를 함께 살펴보도록 하겠습니다.

● 고객의 고민과 보안 요구

공장의 증설과 확장으로 관리해야 할 보호 자산이 증가 중이며, 초기 구축된 생산라인 내 PC의 경우 낮은 사양의 장비도 있어 보안 Agent 신규 설치 시 제약이 예상됨

1. 기존에 화이트리스트 기반의 백신 솔루션이 있으나, 화이트 리스 등록 및 보호 모드 전환 등에 있어 관리상 어려움이 많아 팩토리 PC에 대한 새로운 EDR 백신 도입 검토를 통해 악성코드 감염 대응을 희망
2. 기존 공장의 설비와 공정 S/W의 영향을 최소화하는 보안 및 자산 관리 S/W의 도입을 통해 IT 망과 같은 공장 망 자산 및 보안 관리 체계를 구축하기를 희망
3. 보안 침해 및 감염에 대한 공장 망 내의 조기 경보 및 공장 망 보안에 대한 전문 관제 솔루션의 도입을 희망했음, 전체 보안 관리 대상 자산과 보안 사고 조기 감지 및 사고에 대한 종합적 관제 체계가 필요했음
4. 망 분리된 생산망은 폐쇄 망으로 운영 중이나, 긴급 및 운영 필요성에 따라 제한적인 IT 망 접속을 허용하는 경우가 있는데, 이 경우 상대적으로 취약한 공장 망과 IT 망간의 교차 감염이 우려되는 상황임, 별도의 승인 및 인증 접근제어를 통해 원격 접속에 대한 통제와 사용자 Auditing, 송수신 파일 등에 대한 자동화된 바이러스 검사 기능이 요구됨

● LG CNS 솔루션 대응 및 구축

1. ① 현장 실사 및 팩토리 영역별 보안 요구 사항 식별, 상세화 추진, 잔여 리스크 의사결정② 실망 BMT/PoC 통해 고객사 최적화된 솔루션 Suits 제공③ 영역별 대응 솔루션 단계별 구축 및 확산  – 선정된 솔루션을 생산망 실망 PoC 기반으로 대상, 일정, 정책 적용 및 전개의 일정으로 구축 이행  – 오픈과 확산 전개는 공장 별 단계적으로 진행하였고, 테스트 베드 설치 검증 통해 안정성, 가용성 확인 후 확산④ 구축 및 안정화 기간 IT 및 OT 담당자 교육 및 운영 이관 실시⑤ 구축 이후에도 프로젝트팀, 유관 솔루션 전문 유지 보수 담당자와 유기적 협의체 구성해 운영 지원

 팩토리 보안 대응 솔루션 선정 방법

팩토리 보안 구축은 생소한 생산망 인프라•네트워크 환경, 초기 구축된 레거시 생산라인의 장비와 네트워크 구성 그리고 저 사양 장비로 인해 사전 검증을 통해서만 전개 시의 가용성을 담보할 수 있는 상황이었습니다.

특히 무중단을 요구해 팩토리 보안을 구축하면서도 생산 가용성을 보장하고 안정적인 확산을 이루기 위해 글로벌 검증된 솔루션이라 할지라도 두 개 이상의 솔루션을 대상으로 실망 PoC(BMT) 검증을 통해서 고객에게 적합한 솔루션으로 선정해서 구축하는 것이 매우 중요했습니다.

동일한 솔루션이 고객사의 생산망 기술 구조, 예를 들자면 PLC 기반인지 DCS 기반인지에 따라 다른 보안 대응 수준과 기능상의 일부 제약 등이 발견되기도 하였습니다. 팩토리 보안의 가장 중요한 점은 사전 고객의 보안 요구를 명확히 파악하고 이에 따른 기술적 요구 사항과 함께, 솔루션의 실망 PoC 등을 통해 사전 검증해 선정하는 것이 중요하다고 할 수 있습니다.

아래는 공장 망의 특성에 따라 일반적 IT 보안과 달리 특화되어 요구되는 보안 요구 항목을 간략 정리한 내용입니다.

앞서 언급한 바와 같이 최근의 제조업은 국내•외 사업장을 영유하고 있어 도입 초기에 외산, 국산 솔루션이 국어 OS의 지원 및 사업장 소재 국가의 언어 지원이 보장되어야 전사적 확산이 진행될 때 동일한 보안 수준을 글로벌하게 적용하고 지원할 수 있어 매우 중요한 포인트라고 할 수 있습니다.

아래의 도표는 솔루션 영역별 요구 사항 및 팩토리 보안만의 특이 고려 사항을 정리한 예시입니다. 일반적인 IT 보안 솔루션과 유사하면서도 팩토리 환경에서만 요구되거나 고려해야 할 항목 등이 존재합니다.

식별된 고객 팩토리 보안 요구 사항과 실망 검증된 솔루션을 기반으로 팩토리 보안 아키텍처의 설계 및 주변 시스템 연동, 그리고 구축 솔루션 간 연동을 통해 구현을 진행합니다. 요구 기능 중 중장기 개선 과제는 별도 식별해 향후 신규 및 개선 구축 진행 시 반영될 수 있도록 제안하고, 새로운 팩토리 보안 대응 솔루션을 기반으로 한 담당 실무자의 교육과 운영 이관을 통해 프로젝트를 마무리할 수 있게 됩니다. 

팩토리 보안 솔루션 구축 – Output Image 와 완성된 팩토리 보안 아키텍처(예시)

최종적으로는 위와 같은 팩토리 보안 대응 아키텍처가 설계된 기준으로 구축 완료되며, 향후 신규 공장 증설 및 레거시 생산망의 단계적 전환 시 동일한 대응 아키텍처를 구성해 구축 운영하게 됩니다.

퍼듀 모델에 충실하며 각 영역 별 망 분리를 통해 접근제어와 통제가 이루어지고, 감염이나 공격 발생 시 피해를 국지화 시킬 수 있는 아키텍처입니다. 이러한 팩토리 보안 아키텍처를 통해 현재 진행 중이거나 향후 도입 예정된 스마트 팩토리의 지능화, 정보화, 자동화된 기술의 도입에서도 안전한 생산망의 보안을 보증할 수 있게 됩니다. 

구축 완료 후 – 마지막이 아니라 새로운 시작

고객의 팩토리 보안 요구를 정의하고 적합한 최적의 솔루션을 선정해 구축 및 확산을 진행하고 프로젝트를 성공적으로 마무리했지만, 이것은 끝이 아니라 새로운 시작, 출발점을 의미합니다. 서로 상이한 전문성을 갖고 운영되던 IT와 OT 영역의 전문가가 팩토리 보안의 공통된 목표 달성을 위해서는 상호 협업과 지원이 필요합니다. 많은 자원이 투입된 보안 대응 인프라를 능숙하고 원활하게 운영, 관리해 나가야 하는 새로운 도전이 구축 후 고객 및 실무 담당자의 몫으로 남겨집니다.

IT 보안과 마찬가지로 운영 중인 인프라와 정보보호 자산의 정상적 운영 상태를 잘 알고 있어야 팩토리 보안 솔루션, 서비스의 체계적 지원을 활용해 사전 위협을 식별해 내고 제거해 나갈 수 있는 것입니다.

구축 후에도 IT보다 상대적으로 보안에 대한 인프라, 솔루션은 구축 후에도 잔여 리스크가 있게 되어 취약합니다. (팩토리 망의 여러 가지 제약 사항, 가용성, 생산 중단 불허, Legacy 망 구성의 재구성의 어려움 등) 남은 잔존 위협 중심으로, 발생할 수 있는 사고에 대한 체계적인 대응을 지속 시뮬레이션하고 훈련해 전문성을 갖춘 운영 조직, 보안 정책 조직으로 발전해 나아가야 합니다.

마지막으로 프로젝트의 종료 후에도 경영진 보고 등을 통해서 ‘조직, 인원, 프로세스 측면’과 관련한 IT/OT 담당자의 보안에 대한 역할과 책임(R&R)을 명확히 할당할 것과 경영진의 팩토리 보안에 대한 관심과 목표 부여(보안 KPI)가 주어지고 지속적으로 관리 운영 되도록 해야 할 것입니다.

지금 한국의 제조업은 현재 전 세계적으로 높은 수준의 제조업 경쟁력을 보유하고 있으며, 이러한 우위를 지속 유지하기 위한 4차 산업혁명의 선도적 추진 등, 새로운 혁신•도약을 이루고자 노력하고 있는 기로에 서 있는 시점입니다.

ICS, Industrial IoT 기술을 기반으로 한 스마트 팩토리 확장을 통해 4차 산업혁명의 전환을 고민하는 고객에게 LG CNS는 변화의 촉매로서 팩토리 보안 전문 인력과 기술 및 솔루션으로 고객의 성공을 지원하도록 노력하겠습니다.

글 l LG CNS 보안컨설팅팀

1. [참고자료]Cyber-‐security in Industrial Control Systems – Purdue Engineering https://engineering.purdue.edu/VAAMI/ICS-modules.pdfSecure Architecture for Industrial Control Systems – SANS.orghttps://www.sans.org/…/ICS/secure-architecture-industrial-control-…NIST.SP.800-82r2-Guide to Industrial Control Systems (ICS) SecurityImproving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies(2009 Homeland Security)삼정KPMG, 2019.05 스마트 팩토리 시대의 사이버보안 위협과 대응 체계 수립