2023-05-07
visibility1475
2023-05-07 HelloT 최재규 기자 원문보기
OT망은 상호 연결, 프로토콜 식별, 프로토콜 변환 등이 용이해야 하는 복잡한 특성이 있기 때문에 보안 솔루션을 충족하기 쉽지 않다.
스마트 팩토리 설비에 모든 취약점을 인식했다고 하더라도, 취약점 점검·관리·해결 등은 사실상 불가능하다.
따라서 모든 위협에 대응할 것이 아니라, 현실적으로 접근 가능한 부분부터 고민하고 해결책을 찾는 일이 중요하다.
지난 3월 8일 열린 제조 보안 세미나에서 나온웍스의 윤용관 마케팅 전략기획실장이 ‘나온웍스가 제안하는 OT 보안 솔루션’에 대해 발표한 내용을 정리했다.
미중 무역전쟁을 계기로 ‘알타시아’라는 개념이 생겼다. 알타시아는 중국 독점 공급망에 대응하는 중국 대안 아시아 공급망을 구축하는 국가를 묶어 지칭하는 개념이다.
해외 유수 분석 기관이 중국에 몰린 제조 산업 공급 체계를 어떻게 이외의 국가로 나눠서 배분할 것인지에 대한 연구를 공급망 차원에서 진행 중이다.
그런 관점에서 우리나라 제조 혁신이 세계 공급망 및 제조산업에 어떻게 기여할지 분석한다.
나온웍스 고객 입장에서 복잡한 업무를 시스템화하고, 관리하면서 이슈를 기술적으로 접근해 나갈지에 대한 고민의 해답 또한 제시한다.
OT, 무엇이 다른가?
나온웍스는 보유한 전략을 국내에 현지화했다. 그럼에도 OT 프로토콜 분석 기술에 대해 많은 고민이 있었다.
생산설비에 활용하는 프로토콜 등이 외국에서 파생된 것들이다 보니, OT 프로토콜을 다뤄야만 문제 파악과 분석이 가능한 상황에서 국내 기업의 제약이 많았다.
그래서 나온웍스는 새로운 ‘망(네트워크)’에 대해 아낌없이 투자했다. 나온웍스는 현재 특정 산업군 주요기관 공공 분야에서 90% 이상의 점유율로 보안 솔루션을 공급하고 있다.
그 이유는 고객이 IT 자산을 활용해서 누릴 수 있는 효용(효율적 업무 프로세스, 비용 절감 등 달성)은 새로운 망을 얼마나 잘 활용하는지에 따라 결정된다고 여겼기 때문이다.
지금은 나온웍스가 국내에서 활용되는 OT 프로토콜 50~60여 가지를 국내 환경에 적합하게 분석한 데이터 및 노하우가 OT 분야 확장에 큰 역할을 차지했다고 생각한다.
또한 나온웍스는 OT 프로토콜 분석기술을 기반으로, 설비 움직임을 모니터링·제어가 가능한 수준으로 다양한 프로젝트를 진행했다.
산업의 복잡한 환경을 디지털화하기 위해 어떤 역할을 해야 하는지에 대한 고민부터, 다양한 프로토콜을 사용하는 설비를 간소화된 환경에서 어떻게 활용할 수 있는지에 대한 접근까지 고민했다.
OT망은 상호 연결, 프로토콜 식별, 프로토콜 변환 등이 용이해야 하는 복잡한 특성이 있기 때문이다.
OT망은 특히 해당 특성을 충족하기 쉽지 않다. 조금의 관심만 기울이면 문제를 해결할 수 있는 IT망과는 다른 것이 OT망이다.
스마트 팩토리 설비에 모든 취약점을 인식했다고 하더라도, 취약점 점검·관리·해결 등은 사실상 불가능하다고 생각한다.
따라서 모든 위협에 대응할 것이 아니라, 현실적으로 접근 가능한 부분부터 고민하고 해결책을 찾는 일이 중요하다.
가장 많은 공격을 받은 산업은 제조업
사용자는 업무 성과 및 제품 품질 향상을 위한 계획을 세우고 설비를 도입하지만, 구매 과정·글로벌 상황 등 여러 변수로 인해 계획과 다른 결과를 맞이하는 경우가 많다.
특히 설비의 움직임만으로 위협을 찾는 건 굉장히 어려운 일이다.
미들웨어 관점에서 보면, 사용자는 컨트롤 가능한 요인을 활용해 위협을 할증하는 최적화 전략을 실행하는 게 현재 트렌드다. 변수가 많은 현재 상황에서 가장 효율적인 전략으로 평가받는다.
‘IBM Security X-Force Threat Intelligence Index’ 자료에 따르면, 제조업 분야가 23%로 가장 많은 사이버 공격을 받는 산업인 것으로 나타났다.
공격 유형은 OT 대상 고도화 악성코드가 90.6%로 압도적으로 많았다. 공격자는 설비 정지·불량 발생 등 생산성 감소를 목적으로 공격을 가한 것으로 나타났다.
주요 공격 피해자 목록을 보면, 사회적 역기능을 불러일으키는 효과를 도출하기 위한 것으로 분석 가능하다. 소위 광고효과를 노린 것이다.
연결부터 보호까지, ‘나온웍스 웨이’
나온웍스는 앞선 위협과 피해를 도출할 때, 시스템이 학습하는 방식의 접근법을 제안한다. 시스템이 설비 및 공정에 활용되는 수많은 프로토콜을 학습하고 데이터화해 하나의 표준을 구축하는 것이다.
쉽게 말해 여러 언어를 하나로 통합하는 것이다. 통합된 하나의 언어를 통해 또 다른 학습을 이어나간다.
나온웍스는 이 솔루션을 ‘나온웍스 웨이’라고 칭한다. 나온웍스 웨이는 IT 자산, OT망 등으로 외부 위협 발생 가능 부분을 세분화해 다룬다(그림 1).
▲ 그림 1. IT와 OT의 외부 위협 발생 가능 부분 (출처: 나온웍스)
보통, 취약점만 다루는 시스템 내에서도 업데이트된 취약점이 개선되기까지 2~3년이 소요되고, 개선되지 못하는 부분도 많이 있을 것이다.
그럼에도 사용자는 필수적으로 진단을 수행해야 한다. 진단을 수행하면서 여러 상황 변화를 인지하고 상황에 대비·대응하자는 것이다.
연결부터 보호까지 전체적 관점으로 답을 찾아나가야 한다. 그런 생각에서 탄생한 것이 나온웍스 웨이다.
보통 OT망에 위협이 가해질 때, 일방향 전송장비를 사용해 대응한다.
또한 표준화된 방법으로 데이터를 수집하지 못하다 보니, 설비가 어떻게 작동되고 있는지 HMI 화면을 통해서만 확인 가능하다.
나온웍스의 산업용 프로토콜 게이트웨이 ‘CEREBRO-C’는 여러 프로토콜을 표준 프로토콜로 변환해 설비의 오류 및 이상을 확인한다.
필요한 경우, 해당 데이터를 클라우드로 보내 표준화된 프로토콜로 변환 후 설비 상태를 확인한다.
국내는 OT망 보안만 전문으로 다루는 회사가 드물기 때문에 나온웍스는 해당 분야에 진출하게 됐다. 현재는 AhnLab TS엔진까지 올려서 파일부터 네트워크단의 오류 및 이상까지 확인·진단하도록 구성했다.
그렇게 되면 각각의 산업 위협 데이터를 수집·전파해 데이터베이스화가 가능하다. 이를 통해 공정 및 설비에 대한 위협을 예방하거나 대응할 수 있다.
적용 사례
설비의 움직임을 물리적 움직임으로 변환해 추정하는 방식을 보안에 적용한 나온웍스의 대표사례가 있다.
미국 유·가스정 공정 및 설비 이상을 밸류값 흐름을 가지고 파악하도록 구성한 기술이다.
유·가스정 사업 진행시, 물리적 거리가 멀다는 제약이 있다. 설비가 원격지에 위치하기 때문에 관리 비용도 많이 요구된다.
나온웍스는 원격지 내 유정 플런저 리프트를 통해 원유가 추출되는 것을 미터기로 계산하고, 해당 데이터를 프로토콜로 변환해 서버에 저장해 제어 및 모니터링 하도록 했다.
보안적 관점에서 여러 보안성을 적용해 관리하는 형태로 유·가스정을 운용했다.
유·가스정은 필지와 필지의 연결성을 요구하기 때문에 MQTT 등 프로토콜을 통해 데이터를 수집하고 클라우드로 보낸다.
이때 데이터는 안정성을 담보해야 하고, 클라우드에서는 의사결정에 준하는 데이터를 분석하는 형태로 구성했던 사례다.
두 번째 사례는, 물리적 일방향 보안 솔루션(CEREBRO-DD)이다. 보안 영역과 비보안 영역으로 나눠 해당 솔루션을 활용한다.
영역을 나눈 이유는 접근 방법의 차이가 있기 때문이다. ITS시스템 관점에서 예를 들어보겠다.
구청 소속 사용자 인터넷 PC(비보안 영역)와 버스정류장 등에 활용되는 내부망 및 폐쇄망 PC(보안 영역)는 차이가 있다. 같은 PC지만 보안에 요구되는 수준이 다른 것이 그 기준이다.
물리적으로 중요한 곳에서 논리적으로 중요한 곳으로 데이터를 가져와 높은 업무 생산성을 확보하려고 할 때, 보안 리스크가 발생한다.
이때는 비보안 영역에서 보안 영역으로 데이터를 이동시키면 된다. 이때 활용하는 솔루션이 물리적 일방향 보안 솔루션이다. 발전사 및 기반시설 등에 활용된다.
마지막으로 국내에서 유일하게 제공하는 OT 보안 프레임워크다. AhnLab의 IT 경험과 나온웍스의 OT망 경험이 융합돼 탄생한 기술이다.
특히 핵심 설비가 동작하기 위해 필요한 유틸리티 설비에 대한 위협에 대해서도 머신러닝을 적용해 관리 가능하게 하는 접근법을 제안한다.
나온웍스는 엔드포인트 보안부터 네트워크 경계 보안까지 고민을 이어왔다.
그림 2는 스턱스넷을 도식화한 내용이다. 2012년부터 이어온 위협 행위의 대부분이 해당 자료에 나타난 유형과 비슷하다.
설비 및 시스템 핵심 권한을 보유한 사용자의 휴먼 에러를 유발하는 행위를 이용해 해킹하고 위협을 가하는 것이 대표적이다.
▲ 그림 2. 스턱스넷을 도식화한 구성도 (출처: 나온웍스)
알파고에 대한 실험 결과도 있다. 학습 범위를 정해서 과제를 부여한 ‘AlphaGo LEE’ 및 ‘AlphaGo Master’와는 다르게
자유로운 학습을 하도록 한 ‘AlphaGo Zero’는 시간이 갈수록 축적한 데이터를 바탕으로 월등한 능력을 보유하게 된 것을 증명했다. 생성AI가 해당 사례에 해당된다.
결론적으로 새로운 접근방법에 대해 고민하고 도전하는 것이 보안 분야에서 중요하다고 생각한다.
새로운 접근방법은 여러 가지 부분에서 어렵고 제약이 될 것 같지만, 본질을 이해하고 활용 방안을 고민한다면 혁신 실현에 도움이 될 것이다.