기획·칼럼

사이버 공격으로부터 주요 시설 보호할 방안은?

[AI 돋보기] 차단에서 관리로 OT 보안 패러다임 변해

정보통신기술(ICT)은 기존 정보통신 산업에서 여러 산업으로 확장돼 적용되고 있다. ICT 융합 시대가 도래한 셈이다. 이에 따라, 사이버 보안 범위 또한 늘어났다. 기존 보안 범위가 인터넷에 국한돼 있었다면, ICT 융합 시대에는 전 산업으로 확대되고 있다.

이러한 산업에는 발전소, 공장 등 국가 주요 산업도 속해있다. 따라서 사이버 보안은 국가 안보 관점에서 중요해질 전망이다. 북대서양조약기구(NATO)는 2016년에 사이버 공격을 새로운 전쟁으로 선언한 바 있다.

더욱이 사이버 공격이 비대칭성 무기임을 고려하면 사이버 보안의 중요성은 더욱 강조된다. 비대칭성 무기는 적은 투자로 적대국에 큰 피해를 줄 수 있는 무기이다. 대표적인 예로 핵폭탄을 들 수 있다. 핵폭탄은 적대 국가에 한 번의 공격으로 매우 큰 피해를 줄 수 있다.

사이버 공격 또한 마찬가지이다. 해커는 악성코드 하나로 국가 주요 시설을 파괴할 수 있다.

과학기술정보통신부(과기부)는 융합보안의 중요성을 예측하고 관련 인력을 작년부터 육성하기 시작했다. 과기부는 2019년부터 융합보안대학원 육성 사업을 추진하기 시작했다. 2019년에는 3곳의 대학교를 선정했다. 한국과학기술원, 고려대학교, 전남대학교 등을 선정했다. 이들 대학은 융합보안대학원 운영에 필요한 자금으로 6년간 최대 40억 원을 지원받는다.

올해에도 융합보안대학원 신설을 위한 사업을 추진한다. 지원 대상은 성균관대, 강원대, 순천향대, 충남대, 부산대 등이며, 지원 규모는 전년보다 확대됐다.

국가 주요 시설 융합보안 강화 필요

국가 안보 관점에서 융합보안 강화가 필요하다. ⓒNav Sea

융합보안은 국가 안보 관점에서 중요하다. 이에 따라, 정부는 국가 주요 시설을 대상으로 융합보안을 강화할 필요가 있다.

거의 대부분의 해커는 목적을 가지고 사이버 공격을 감행한다. 국가 정부 소속 해커의 경우, 적대국에 피해를 주는 것이 주안점이다. 따라서 해커는 국가 주요 시설을 노려 사이버 공격을 주로 시도한다. 국가는 대응 전략으로 국가 주요 시설에 융합보안을 강화하는 것이 당연하다.

실제로 국가 주요 시설을 대상으로 한 공격이 많이 이뤄지고 있는데, 이에 대응하지 못해 피해 본 국가가 상당히 많다.

미국 ICS 침해 사고 대응팀은 국가 주요 시설 대상으로 약 300건의 사이버 공격 시도가 매년 발생되고 있음을 발견했다. 참고로 이는 미국 ICS 침해 사고 대응팀이 탐지한 건수를 기준으로 한 것이다. 공격 시도 횟수는 미탐지 건수를 포함하면 더 많아질 것으로 보인다.

물론, 이러한 공격에 대응하지 못해 피해 본 국가가 한둘이 아니다. ICS 사이버 공격 피해는 1999년까지 거슬러 올라가는데, 당시 미국 석유 송유관이 사이버 공격으로 폭발된 적이 있다. 해커는 송유관 제어 규칙을 조작해 송유관을 폭발시켰다. 이로 인해 3명이 사망하고, 4500만 달러(약 540억 원)의 피해가 발생했다.

이후, 여러 국가 주요 시설이 사이버 공격으로 피해를 입었다. 이란의 나탄즈 원자력발전소 공격은 대표 사례로 들 수 있다. 해커는 원자력 발전소 원심분리기 제어 영역을 공격해 1000여 대의 원심 분리기를 폭발시켰다. 해커는 원심분리기 최대 동작 속도치를 조작하고 비정상적으로 빠르게 동작시키는 방식으로 이 같은 피해를 줬다. 이로 인해 발전소는 1년간 중단됐다.

국가 발전소 마비로 도시 전체가 추위 공포를 겪은 사례도 있다. 2016년 우크라이나는 러시아의 사이버 공격으로 수도인 키예프(Kiev)가 정전 피해를 보았다. 참고로 공격이 한밤중에 일어났는데, 이로 인해 시민은 어둠 속 추위에 떨어야 했다.

OT 보안의 현주소

이처럼 국가 주요 시설에 관한 사이버 보안이 얼마나 중요한지를 알 수 있다. 그럼 어느 부분에서 사이버 보안 강화가 이뤄져야 할까?

이를 위해서는 발전소, 공장 등 국가 주요 시설 사이버 시스템의 현주소를 이해할 필요가 있다. 국가 주요 시설은 일반적으로 정보기술(IT) 영역과 특성이 다르다. 주요 시설의 시스템의 장비는 IT와 달리 장기간으로 사용된다. IT 장비가 5년 정도의 수명주기를 가지고 사용된다면, 주요 시설의 시스템 장비는 20년 정도의 수명주기를 가지고 사용된다. 그리고 IT와 달리 설비 제어에 직접적으로 연관된 경우가 많다. 참고로 이러한 활용도 때문에 주요 시설 시스템을 운영기술(OT)이라고 부른다.

OT 영역은 IT 영역과 달리 외부와 철저하게 구분되어 운영된다. 따라서 OT 시스템이 노후화되어 외부 공격에 취약점이 있더라도 안전하다. 참고로 시스템 노후화는 여러 취약점이 존재한다. 보안 업데이트 지원을 받을 수 없기 때문이다.

국가 주요 시설은 0계층에서 5계층으로 나눈다. 5계층은 비무장지대(DMZ)라고 불리는 영역으로 외부에서 오는 통신을 검열한다. 그리고 목적에 따라 4계층에 있는 IT 영역으로 전송된다. 혹은 OT 영역으로 전송될 수 있다.

3.5계층에 있는 OT 영역 전용 DMZ에서 비권한 통신을 차단한다. OT 영역은 웬만해서 외부와 통신할 일이 없기 때문에, 거의 대부분 외부 통신은 3.5계층에서 차단된다. 물론 일부 4계층에서 오는 통신이 허용되기도 한다. 0계층에서 3계층은 OT 영역으로 설비 제어부분을 포함한다.

그런데 여기서 문제가 있다. 사물인터넷이 OT 영역에 적용됨으로써 외부 통신이 잦아들고 있다는 점이다. 외부 통신은 IT 영역보다 OT 영역에 상당히 취약할 수밖에 없다.

실제로, 보안 전문 기업 ‘카스퍼스키는(Kaspersky)’은 OT 보안 위협성에 관해 조사했다. 그리고 응답자의 54%가 IoT 연결이 OT 영역을 위협한다고 발표했다.

키예프는 사이버 공격으로 정전 피해를 입은 바 있다. ⓒGood Free Photos

가시성 확보가 시급

그럼 어떤 방법으로 이에 대응할 수 있을까? 답은 간단하다. 기존 OT 보안 패러다임을 바꾸는 것이다.

패러다임 형태는 차단 위주에서 내부 현황 파악을 위한 가시성 확보가 중요하다. 다시 말해, 차단으로 한계가 있으니 가시성 확보로 위협에 신속히 대응하는 체계 마련이 중요하다.

언스트 엔 영(Ernst & Young)은 설문 조사를 통해 가시성 확보가 중요하다고 발표했다. 응답자의 52%가 OT 영역 내 보안 위협 파악이 중요하다고 응답했기 때문이다. KPMG 또한 이와 같은 생각이다. OT 영역의 가시성 확보로 취약점 관리뿐만 아니라 공격에 대응할 방안이 마련하는 것이 중요하다고 발표했다.

기존 OT 영역에서는 시스템 현황을 파악하는 것이 어려웠다. 여러 종류의 수많은 장비가 설치돼 있었기 때문이다. 그런데 관리자가 이러한 장비 동작을 한눈에 파악하고 이상 증후를 알아서 포착한다면, OT 보안 내구성은 상당히 향상될 수밖에 없다.

실제로, 이러한 움직임은 세계적으로 일고 있다. OT 영역의 가시성 확보를 위해 여러 종류의 수많은 장비 동작을 파악할 수 있는 OT 보안 기술이 등장하고 있다. 참고로 기계학습을 이용해 비정상 행위에 관한 것도 파악할 수 있는 기능을 제공한다.

이 같은 기술은 기존 IT 보안과 다르다. 이러한 이유로, 해당 산업은 스타트업 위주로 형성되고 있다. 노조미(Nozomi), 클라로티(Claroty), 사이버엑스(CyberX), 인디지(Indegy) 등이 OT 보안 설루션의 주요 기업으로 등장했는데, 해당 기업 모두 2014년 전후로 설립된 기업이다.

그래서 국내 정부 또한 세계 움직임에 따라 OT 영역 내의 가시성 확보를 통한 국가 주요 시설 보안 강화하는 것이 중요하다.

(254)

태그(Tag)

전체 댓글 (0)

과학백과사전