기업에게 가장 중요한 일은 지속가능성(Going Concern)이라고 말 할 수 있다. 만약 지진과 같은 예기치 않은 자연재해로 사업을 이어갈 수 없게 된다면, 비즈니스를 복구하기 위한 비용뿐만 아니라 사업을 중단하며 발생하는 이익 손해, 신뢰성 하락으로 입을 미래의 손실, 그리고 제품 납품 지연 등에 따른 납품 기업에 대한 손해 보상 등 부정적인 영향이 헤아릴 수 없을 정도로 많다.
그런데, 비즈니스 연속성을 위협하는 것은 자연재해뿐만이 아니다. 향후 산업인터넷을 활용하려는 기업에게 OT(운용기술) 보안은 기업의 지속가능성의 핵심 요소가 된다. 지난 7월 일본 도쿄에서 GE Digital Day 2016에서 라지브 나일(Rajiv Niles) GE디지털 산업사이버보안 이사가 이야기한 “OT 보안”의 핵심 내용을 소개한다.
272일 – OT 보안 실패를 확인하는데 걸린 시간
나일은 프레젠테이션을 이렇게 시작했다. “OT 시스템의 경우 악성 코드 감염 등 장애 감지에 필요한 시간이 평균 272일로 알려져 있습니다. 반면 보안을 갖춘 IT 시스템의 경우는 24시간 이내입니다. 차이가 분명하죠.” 또 보안 위험을 보여주는 설비와 도구가 충분히 갖춰지지 않았기 때문에 위험조차 알아차리지 못한다고 OT 보안의 현황을 설명했다.
라지브 나일, GE디지털 산업사이버보안 담당 이사
산업제어시스템(ICS) 취약성 보고 추세
산업제어시스템(ICS)의 취약성 보고 건수의 80% 이상은 2011년 이후,
전세계에서 SCADA(감시제어 및 데이터취득)시스템 공격 증가
2012년 91,676건에서 2014년 675,186건, 2015년 감소
이미 수많은 산업 기기는 네트워크에 연결되어 있다. 어디에서 어떤 산업 설비가 가동하고 있는지를 쉽게 찾아볼 수 있는 검색엔진(링크)도 있다. 그러나 기업의 66%가 OT 보안에 대한 준비가 되지 않은 것이 현실이다. OT 보안에 준비가 부족했던 이유로는 “네트워크에 연결되어 있는지 몰랐다”, “유지 보수를 위해 일시적으로 네트워크 연결 이후 그 상태로 남아있다” 등 다양하다. 그야말로 OT 보안은 “지금 눈앞에 닥친 위기’인 것이다.
2015 Global Megatrends in Cybersecurity, Raytheon and Poneman
IT와 OT는 우선순위가 다르다
라지브 나일은 “IT 보안에서의 보호 대상은 데이터이지만, OT 보안에서 보호 대상은 운전이 멈추면 곤란해지는 것 같은 중요한 기계나 시설입니다. 이런 보호 대상의 차이가 실행 대책의 우선순위의 차이, 나아가 접근의 차이로 나타납니다”고 강조한다.
기밀성(Confidentiality) / 완전성(Integrity) / 가용성(Availability)
IT 보안과 OT 보안의 차이점
IT 보안에서 보호해야 할 대상은 데이터다. 정보 유출을 방지하는 것, 그리고 변조 등으로 정확한 데이터가 손실되지 않도록 하는 것이 우선적인 과제다. 이 목적을 달성하기 위해서는 시스템을 일시적으로 종료하고 패치를 실시하는 등의 대책을 실행하기 때문에 우선순위는 기밀성(C) / 무결성(I) / 가용성(A) 순서가 된다.
그런데 OT 보안에서 엔진의 회전수 등 데이터 자체는 제삼자에게 아주 큰 가치를 가지지 못한다. 가장 중요한 것은 운영 중인 시설이 멈추지 않는 것이다. 따라서 우선순위는 가용성(A) / 무결성(I) / 기밀성(C) 순서가 된다. 또한 순조롭게 동작하는 시설을 패치하는 것은 이차적인 문제가 일어날 수 있기 때문에 OT에서는 회피하고 싶은 대책이 된다.
또 IT는 보안 규격의 표준화가 진행되고 있는 반면, OT는 제조사마다 고유 사양도 다르고, 일반적인 보안 제품의 개발을 어렵게 하는 측면이 있어, IT와 OT는 보안에 대한 대처 방법이 다르다.
OT 보안 전문가, GE디지털 월드테크의 서비스는?
OT 보안은 중요한 설비를 보호 대상으로 하고 있다. 하지만, OT에 위협이 될 일이 네트워크에서만 발생하는 것은 아니다. 직원은 물론 유지보수 사업자, 심지어 IT 전문가에 이르기까지 다양한 분야와 계층의 ‘사람’들이 출입해야 하는 ‘환경’ 등에도 위험이 도사리고 있다.
따라서 GE디지털의 OT보안 전문기업인 월드테크(Wurldtech)는 장비제조업체, 시스템통합(SI) 기업, 고객 기업 등 OT 보안에 관련된 역할을 수행하는 다양한 사람들에게 하드웨어와 서비스 모두를 포괄하는 OT 보안 서비스를 제공한다.
월드테크가 제공하는 옵쉴드(OPSHIELD) 제품은 SCADA 시스템에 내부에 통합되어 설비에 명령을 내리거나 설비의 작동 상태와 악의적인 해커의 침입 등을 관찰한다. 실제로 옵쉴드(OPSHIELD)를 도입 사례에 따르면, 도입한지 불과 2시간만에 2개의 악성코드를 발견하고, 비정상적인 IP주소에서의 액세스를 감지하는 등 평균진단시간(Meantime to Detect)이 아주 긴 OT의 약점을 극복한 성과도 보고된 바 있다.
