본 백서는 지니언스가 스마트팩토리(Smart Factory)에 적용될 수 있는 보안 솔루션에 대해 연구하고 있는 내용을 정리한 문서입니다. OT(Operational Technology, 제조운영기술) 보안을 위해 최우선적으로 필요한 가시성(Visibility)의 확보와 비 인가 사용자 및 단말에 대한 접근통제 내용입니다. 이것은 지니언스가 지난 십여 년간 꾸준히 쌓아온 기술 노하우를 바탕으로 한 전문 분야로 자부할 수 있습니다. 본 백서를 통해 우리의 생활과 안전에 심각한 위협을 줄 수 있는 산업용 네트워크의 보안에 대한 필요성과 OT보안 기술의 이해를 높이는 것을 그 목적으로 하고자 합니다.
Ⅰ. 산업용 네트워크 보안과 고려 사항
가시성의 확보는 산업용 네트워크 보안의 첫걸음이라 할 수 있습니다. 그러나 가시성은 산업용 네트워크에만 국한된 것은 아니며, IT 네트워크에서도 중요한 부분입니다. 마찬가지로 IT 영역의 보안을 산업용 네트워크에 적용하는 것을 고려해 볼 수 있습니다. 이를 위해서는 다음과 같은 산업용 네트워크 특성의 이해가 필요합니다.
1. 접근 통제
네트워크 트래픽은 위조 및 변조가 될 가능성이 있으며, 상태 정보 또는 제어 명령의 조작은 심각한 오류 및 장애를 발생시킬 수 있습니다. 네트워크에 무단으로 접근하는 것을 방지하기 위한 포트 보안을 고려해야 합니다. 또 다른 예방 조치는 사용하지 않는 포트를 물리적으로 사용하지 못하게 하여 권한이 없는 사용자가 조작할 수 있는 가능성을 제거하는 것입니다. MAC 주소와 통신 포트에 대한 실시간 관리 또한 비인가 접근을 통제하는 방법입니다. 시스템 관리자가 접근 가능 목록(Whitelist)을 작성하고, 허용된 MAC 주소만 접근을 허용할 수 있어야 하며, 이 목록은 주기적으로 업데이트, 관리되어야 합니다.
2. 단방향 게이트웨이
특정 산업의 경우 보안규정에 따라 DB를 복제하고, 프로토콜 서버를 에뮬레이트 하는 등의 행위를 철저히 규제합니다. 이를 위해 시큐어 부팅, 인증서 관리, 데이터 무결성, FEC(Forward Error Correction)와 같은 보안 기능이 포함된 물리적 단방향 통신이 사용될 수 있습니다. 단방향 게이트웨이는 TCP/IP와 이더넷을 물리적으로 단절 시키고, 원하는 데이터만을 한 방향으로 전송할 수 있습니다. 이를 통해 외부의 사이버 공격을 원천 차단함으로써 산업 제어 시스템 내부망을 보호합니다. 단방향 통신 방식으로 설계된 TAP을 활용하면 제어망을 방해하지 않고 수집된 패킷을 외부 서버로 안전하게 전송할 수 있습니다.
3. 패시브(Passive) TAP과 레가시 산업용 이더넷
많은 산업용 장비는 내부(제어) 네트워크에서만 통신하도록 설계되었습니다. 장비 개발사의 비표준 통신 프로토콜을 이용하여 통신하는 경우 계층 간 또는 외부에서 데이터를 송/수신하기 위하여 추가적인 게이트웨이 설치가 필요합니다. 이때 게이트웨이는 전송과 프로토콜 변환 등의 역할을 수행합니다. 일종의 센서 역할을 하는 패시브 네트워크 탭(TAP)은 산업용 이더넷 데이터 수집을 위한 필수적인 연결 솔루션입니다(백서 본문 8페이지).
4. IT 보안 솔루션의 OT 환경 적용 검토
산업용 네트워크를 보호하기 위해서 IT 환경에서 동작하는 보안 솔루션을 적용할 수도 있습니다. DPI(Deep Packet Inspection) 기능이 포함된 방화벽, 침입 탐지 시스템 등의 보안솔루션이 이에 해당합니다. 패킷은 네트워크 TAP 또는 SPAN을 통해 수집되고 전송되며, 기존 IT 보안장비를 통해 분석될 수 있습니다. 두 환경 간의 차이점은 분석기술의 표준화 여부입니다. IT 환경에서는 다수 사용자의 다양한 트래픽 요구를 처리하지만, OT 환경에서는 제한된 대상들 간의 동일하고 정확한 트래픽을 반복적으로 처리합니다. IT 솔루션의 도입이 이러한 트래픽 패턴에 변형을 가져오고 이것이 OT 환경 내부에 혼란을 야기할 수 있으며, 주요 보안 허점이 될 수도 있음을 간과 해서는 안 됩니다.
Ⅱ. Genian NAC와 OT보안
지니언스는 고객사의 FA(Factory Automation) 네트워크나 OT 네트워크에 Genian NAC가 도입되어 운영되고 있으며, DPI(Device Platform Intelligence)에는 매일 다양한 산업용 제어 장치와 서버 등이 탐지되고 있습니다. 관리자는 가시성 확보와 동시에 IP/MAC 관리 등을 수행하고 있으며, 일부 PC에 대한 접근 통제와 패치, 업데이트 관리 등을 NAC를 통해 수행하고 있습니다. Genian NAC를 통해 탐지되는 산업용 기기리스트와 상세화면은 백서 본문 9페이지에서 확인할 수 있습니다.
현재 운영 중인 NAC 센서는 OOB(Out of Band) 방식으로 설치되어 네트워크 성능에 영향을 주지 않으며, 장애를 유발하지 않습니다. 향후 TCP/IP 등의 IT 프로토콜 이외에 산업용 프로토콜(필드버스)을 수집, 분석하는 기능과 머신러닝 등을 활용한 이상 징후(Anomaly Detection) 탐지 기능 등이 추가된다면 산업용 네트워크 보안 솔루션으로 부족함이 없을 것이라고 생각합니다. 그리고 이것이 스마트 팩토리와 인더스트리 4.0과 같은 미래 지향적인 제조와 생산이 가능한 시기를 조금 더 앞당길 수 있다고 확신합니다. 스마트 팩토리 보안 솔루션, Genian OTIS 개념도는 백서 본문 10페이지에서 확인할 수 있습니다.
Ⅲ. Conclusion
사이버 공격은 이제 IT 영역을 넘어 발전소 등의 국가 기반 시설과 민간 기업의 제조, 설비라인으로 빠르게 확대되고 있습니다. 이러한 공격에 의한 피해는 단순히 문서가 암호화되거나 사진이 삭제되는 것과는 비교할 조차 없습니다. 우리의 생활과 안전을 이러한 위협으로부터 보호할 수 있는 산업용 네트워크에 대한 보안이 그 어느 때보다 절실히 필요한 때입니다.
하지만 크게 걱정할 필요는 없습니다. 여러분들 곁에는 새로운 세상의 중심에 보안 소프트웨어 기업 지니언스가 있습니다.
참조 URL
https://genians.co.kr/wp-content/uploads/Genian_NAC_Whitepaper_OT.pdf
https://genians.co.kr/wp-content/uploads/2019/07/Genian_NAC_Whitepaper_DPI.pdf
https://genians.co.kr/wp-content/uploads/2019/07/Genian_NAC_v5.0_introduction.pdf
https://genians.co.kr/wp-content/uploads/2019/09/Genian_NAC_v5.0_Brochure.pdf
https://genians.co.kr/wp-content/uploads/Global_NAC_Market_Forecast_to_2024_kor.pdf
지니언스의 제품