새로운 사각지대 OT보안 대응태세가 필요하다.
기자 : 관리자 날짜 : 2022-03-01 (화) 17:19




미국 동부지역에서 발생한 ‘콜로니얼 송유관 사태’는 지금까지 발생한 사이버 사고의 유형과 는 전혀 다른 사건으로 미국 사회에 커다란 충격 을 주었다. 콜로니얼 송유관 사태는 미국 전역에 걸쳐 몇 일간 연료 부족 사태를 일으켰으며, 이 로 인해 많은 경제적 손실이 발생했다. 이렇게 피해가 커진 원인은 산업제어시스템(Industrial Control System: ICS)은 폐쇄망이라 해킹이 불 가능 하다고 믿고 있었으나 네트워크의 발달 로 온라인 네트워크(On-Line)와 연결되어있는 IT(Information System)시스템을 이용해서 해 킹이 가능하였기 때문이다. 문제는 그동안의 해킹은 정보유출이 주요 이 슈가 되었으나 이번 해킹 공격은 수십만이 사용 하는 시민들에게 불편함을 준 것이며 해킹이 가 능했던 것은 수천 킬로미터에 달하는 파이프라 인들과 밸브들이 복잡하게 연결된 산업시설을 대해 과거처럼 폐쇄 망이란 생각을 갖고 보안문 제를 중요하게 생각하지 않고 관리하였으며 보 안문제 해결에 필요한 투자역시 적극적으로 실 시하지 않은 결과라고 판단되었다. 이 사건으로 인해 우리가 깨달은 것은 이제 OT는 폐쇄 망이 아니므로 해킹이 가능하다는 것과 해킹되면 국 민들이 겪어야할 불편과 경제적인 손실은 이루 말할 수 없다는 것이었다. 한편 국내 보안뉴스에서는 2021년 7월 국가 정보원은 한국원자력연구원이 북한 소행으로 추정되는 해킹 공격에 12일간 노출되었다고 발 표했다. 아울러 서울대병원, 한국항공우주산 업(KAI), 대우조선해양 등 우리나라의 주요 기 관 및 방위산업체와 시설들이 무차별적으로 해킹 공격을 당하고 있다고 밝혔다. 이것은 북한 의 사이버 공격이 기존의 IT분야뿐만 아니라 OT(Operational Technology)분야까지 그 영 역을 넓히고 있어 그동안 우리에게 낯설게 여겨 소홀하게 다뤘던 OT보안에 대해 국민들에게 경 고음을 울리면서 군에게는 사이버공격에 대한 대응태세를 준비를 요구했다. OT라는 용어는 IT에 비해 잘 사용되지 않는 용어로서 IT와 다른 의미는 무엇이며 담당하는 역할은 무엇인지 그 차이점을 알아보고 적절한 대응태세를 갖추기 위해 IT보안과 다른 점을 연 구해서 체계적인 준비를 해야겠다. 또한 기존의 IT 보안체계와 OT보안체계가 어떤 점에서 다른 가에 대해 미국과 한국 사태를 통해 분석된 결과 를 토대로 앞으로 전개될 양상에 대한 우리군의 대응태세를 논해 보고자 한다. 먼저 용어에 대한 변천과정을 알아보면 OT 라는 용어는 최근에 사용되는 용어로서 그 이전 에는 산업제어시스템(ICS : Industrial Control System)과 SCADA(Supervisory Control and Data Acqusition : 공정감시/제어 및 데이터 수집), DCS(Distributed Control System : 분 산제어 시스템), PLC(Programmable Logic Controller : 프로그램된 제어장치)라는 용어들 이 사용되었다. 가트너(Gartner)그룹에 의하면 OT라는 용어는 기업의 물리적 장치, 프로세스 및 이벤트를 직접 모니터링하고 제어하며 변화 요소를 감지하거나 변경할 수 있도록 설계된 하 드웨어 및 소프트웨어로서 스마트 시티(Smart City), 스마트 팩토리(Smart Factory), 사회기반 시설 등 다양한 환경에서 운용되고 있는 시스템 을 말하며 즉 OT는 그동안 우리에게 익숙한 기 존의 IT환경과는 또 다른 환경으로 운영환경, 네 트워크, 프로토콜, 인력, 제어방법, 보안 등 거의 모든 부분에서 IT와 다르다 IT전문가 입장에서 볼 때 OT에서 느끼는 가 장 큰 차이점은 기술에 대한 이해도와 보안에 대해 경험적으로 축적된 개념이 매우 다르다는 것이다. 한마디로 정의하면 IT가 해킹 당할 때 는 정보유출이 가장 큰 이슈가 되나 OT가 해킹 당할 때는 단순 정보유출 의 문제에서 끝나지 않고 사회기반시설의 중단으로 야기되는 금전적 피해, 직 간접적인 인명피해, 더 나 아가서는 대규모 사회혼 란까지 일으킬 수 있기에 그 심각도가 매우 높다는 것으로 IT와 OT의 차이점 은 위의 도표와 같다. 폐쇄 망이기에 물리적인 보안으로도 충분히 안전하다고 여겼던 OT는 네트워크의 발달로 인 해 OT운영환경이 IT환경과 결합해서 어디서든 지 OT운영환경에 접속이 가능한 시대가 도래하 여 기존 폐쇄 망에 익숙해 있던 보안의식을 완전 히 바꿔야할 시기다. 즉 OT보안이 안되면 피해 는 상상을 초월하게 되므로 피해방지를 위해서 라도 OT환경에서 가장 우선적으로 대비해야할 것이 보안이란 것을 명심해야 한다 특히 OT환경의 Smart화는 IoT 센서, AI/빅 데이터, 5G 등 다양한 ICT 최신 기술과 접목하 여 발전하고 있으며, 과거 공장이나 기업 내부 에만 머무르던 제조 데이터는 이제 지리적 위치 에 영향을 받지 않고 활용되도록 글로벌 IT 시 스템 및 클라우드 서비스로 옮겨가서 새로운 기 술과 외부 연결성이 추가되면, 방어해야 할 공 격 접점(Attack Point)과 보호해야 할 대상 자산 (Security Asset)이 늘어나므로 새로운 시스템 도입 시에는 항상 보안대책이 고려되어야 한다. ■ IT와 OT 융합에 따른 취약점 및 보안 대책 OT시스템은 주로 장비나 기계류를 작동시 키는 산업제어시스템(ICS)형태로 구축되며 주요 구성품은 프로그램 된 제어장치(PLC : Programmable Logic Controller)를 주로 사 용하며 감시제어 및 데이터수집체계인 SCADA 시스템을 통해 시설과 장비의 오작동을 모니터 링 하는데 중점을 두었다. 그러나 오늘날의 OT 시스템은 소프트웨어와 네트워크의 기능을 최대 한 활용하여 비용을 절감하고 기술을 고도화 하 여 성능을 높이기 때문에 산업현장의 1/3이 인터넷에 연결되어 해커들에게 노출됨으로서 보안 에 대한 위협이 크게 증가한 상태로 과거는 IT에 대한 보안시스템 구축을 위해 노력했으나 지금 은 IT와OT가 융합된 시스템의 보안을 유지하기 위해 더욱 치밀하고 정교한 대응체계 구축이 요 구되는 시점이다. OT는 대부분 ICS인증을 받지 않거나 암호 화되지 않는 시스템을 사용해서 보안에 취약하 며 장비 설치연도가 15~20년이 경과된 시스템 이 많기 때문에 기존위협이나 지능형위협에 매 우 취약하다. 그 이유는 장비의 설치기반도 다 르고 제품도 서로 다른 프로토콜을 사용하는 여러 업체의 제품을 복합적으로 사용하는 경우 가 많아 한두 곳의 변경만으로도 기기에 장애 가 일어나 생산이 중단될 수 있는 취약점을 갖 고 있다. 이런 문제점을 해결하기 위해서 보안업체 등에 서는 다양한 대책을 제시하고 있으나 그들이 주 장하는 대책을 분석해 보면 크게 4가지 분야를 제시하고 있다. 첫째, OT 환경에 최적화된 인 력운영계획을 마련해야 한다. 아무리 좋은 기계와 시스템이 있어도 사람만큼 적절한 조치 를 할 수 있는 것은 없다. 기술 은 사람의 능력과 경험에 의해 서 좌우되기 때문에 현재 OT환 경과 업무에 대한 이해도가 높 은 IT인력의 확보는 대단히 중요하다. 더욱 아 쉬운 점은 IT/OT를 모두 다룰 수 있는 융합보안 인력은 현저히 부족상황으로 회사운영을 담당하 는 경영진은 인력운영에 대해 보안부서 업무를 조정하고 OT전담 인력을 배정하며 보안의 책임 은 최고경영자에 있음을 인식하여 직접 모든 것 을 감독하여야 한다. 둘째, 표준화된 관리체계를 구축해서 상호 미 흡한 부분에 대한 허점을 보완해야한다. 군 작전 개념으로 이야기 하면 양쪽 부대의 전투지경선 이 적의 공격에 취약하듯이 해커가 노리는 곳도 OT와 IT환경이 서로 교차되는 부분으로 이곳에 대해서 각 분야에 대한 책임을 명확하게 구분하 여 관리해야한다. 이런 것은 사람들에 의한 것보 다 연구를 통해 정해진 관리체계를 잘 활용하는 것이 중요하다. 이미 보안 위협에 부합하는 보안 운영정책, 절차 등을 담은 글로벌 표준이 정립되 어 있으니 이에 준해 관리체계를 표준화 하는 것 이 효율적이라고 판단된다. 참고로 미국의 국가 표준기술연구소(NIST)의 사이버보안 프레임워 크는 이런 표준에 대한 취약점을 잘 보완할 수 있도록 되어 있으므로 각 단계별 강조하는 사항 을 잘 활용하면 된다. 셋째, 그간 식별과 이력관리가 잘 이뤄지지 않 았던 OT자산에 대한 가시성을 높여야 한다. 자 산 가시성이란 OT네트워크의 모든 장치와 폭 넓은 속성(모델번호, 펌웨어 버전 등)을 포함하 며 네트워크 가시성은 모든 네트워크 세션과 대 여폭, 수행된 작업, 변경사항 및 기타 관련정보 를 포함한다. 여러 인력들이 분산된 사업장에 서 각자 장비에 대한 관리를 수행했던 만큼 많 은 장비들이 보안관점에서 벋어나 있었다. 따라 서 모든 OT자산과 제어 네트워크에 대한 분석 을 통해 보호할 자산을 선별하고 이러한 자산들 의 위험요소를 도출해 통합적으로 모니터링 할 수 있는 보호방안을 수립해야한다. 특히 대부분 의 OT기기는 패치 없이 작동하기 때문에 늘 취 약점을 파악하여 적시적절하게 패치 하는 것은 매우 중요하다. 마지막으로 통합보안체계를 구축해야 한다. 이것은 보안에 관련된 모든 체계가 하나의 통제 (Control)속에서 임무가 수행되도록 하는 것이 다. 예를 들면 방화벽, 침입탐지시스템(IDS)와 침입방지시스템(IPS), 안티 바이러스 등 IT영역 에서의 기존 보안 솔류선과 OT영역 고유의 프로 토콜을 기반으로 하는 OT보안 솔류선을 도입하 여 각각 운영을 한다면 두 영역이 교차되는 부분 에 대한 취약점은 문제가 될 것이다. 따라서 IT 와 OT 두 영역을 모두 통합적으로 관제할 수 있 는 보안체계 구축은 필수다. 대한민국은 매일 북한의 사이버공격을 받고 있다. 공공부문 공격은 국정원이, 국방부문은 사 이버작전사령부가 민간 부문은 KISA가 총괄하 는 분권화된 대응체계로 운영되 고 있어 만일 OT에 대한 공격으 로 국가기반시설이 피해를 받는 다면 이는 전쟁선포와 같다는 개 념으로 지금까지 생각하고 있던 대응태세와 다르게 강력하고 통 합된 사이버 대응태세를 구축해 야한다. 따라서 현재의 분권화된 대응체계로는 IT/OT분야에 대 한 북한 사이버공격을 효과적으 로 대응할 수 없기 때문에 국가차 원의 컨트롤 타워가 신속하게 정 립되어야만 한다


   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.