랜섬웨어가 생산공장, 공항, 발전시스템을 공격하면서 폐쇄망 보안에 빨간불이 켜졌다. 폐쇄망은 가장 높은 수준의 보안 정책으로 보호돼야 하지만, 실제로는 보안에 소홀한 관리 환경으로 인해 보안에 매우 취약한 환경이 됐다. 폐쇄망 네트워크는 중단 없이 운영돼야 해 소프트웨어 업데이트가 어렵고, 보안 전문가가 적어 제대로 된 보안 정책을 수립하고 운영하기 어렵다. 그럴수록 기본 보안 수칙에 충실하는 것이 정답이다. 다계층 방어 시스템을 구성하고, 관리자의 보안 수칙을 강화하며, 정기적인 취약점 진단, 모의해킹, 지능적인 보안관제로 리스크를 줄여나가야 한다.<편집자>
일방향 전송 장비·데이터 보호/백업 솔루션 필수
폐쇄망 중 강력한 보안이 요구되는 산업제어 시스템은 외부로 데이터를 전송만 하는 일방향 전송장치가 필요하다. 국가정보보안 기본지침, 정보통신기반보호법 등에서는 제어시스템을 업무망·상용망에 연동할 때 외부 네트워크와 물리적 일방향 환경 구축하도록 명기하고 있다.
내부망에서 발생하는 데이터는 외부 시스템으로 전송해야 하는데, 생산효율화를 위한 빅데이터 분석, 관제 시스템 분석 등에 필요하다. 단방향 통신 시, 전송된 데이터가 수신 시스템에 정확하게 도착했는지 확인하는 절차가 필요하다.
그러나 수신 시스템에서는 정보를 보낼 수 없기 때문에 일방향 통신 장비는 데이터 유실을 탐지할 수 있는 SN(Sequence Number), 유실된 데이터를 복원할 수 있는 FEC(Forward Error Creection), 수신 시스템의 충분한 프로세싱 파워와 저장 공간 등이 필요하다.
일방향 전송장비를 공급하는 기업은 NNSP, 한전KDN, 휴네시온 등이 경쟁하고 있으며, 이 분야의 선도주자인 이스라엘의 워터폴시큐리티가 지난해 국내에 진출해 영업하고 있다.
취약점 점검·모의해킹으로 상태 진단해야
완벽한 보안은 없다. 아무리 좋은 시스템과 솔루션을 도입하고, 체계적인 보안 정책을 수립해 운영한다 해도 보안규칙을 위반하는 사람이 있으며, 사회공학적 기법을 이용해 교묘하게 사람을 속여 침투하는 공격자가 있다. 1만번 시도해 한 번만 성공해도 수익을 얻을 수 있지만, 방어하는 쪽에서는 100만번 방어하고 한 번만 뚫려도 실패한다. 공격자는 성실하고 똑똑하다. 또한 공격자 커뮤니티에서는 공격정보를 적극적으로 공유하며, 이를 판매해 큰 수입을 얻고 있기도 하다.
특히 폐쇄망은 공격에 성공했을 때 큰 수익을 얻을 수 있기 때문에 공격자들이 수시로 취약점을 찾아내고 운영자를 유인한다. 따라서 운영조직에서는 항상 공격이 진행되고 있다는 점을 전제로, 선제방어와 탐지·대응 전략을 동시에 사용해야 한다.
선제방어의 방법은 엔드포인트·네트워크·데이터 보안과 취약점 진단, 모의해킹이 있다. 취약점 진단은 시스템에 존재하는 취약점을 찾아 제거하며, 새롭게 발견된 취약점을 즉시 패치하는 작업이 이뤄져야 한다. 수많은 시스템의 취약점을 일일이 찾아 패치하는 것은 어려운 일이기 때문에 취약점을 탐색하는 자동화된 솔루션을 이용하는 것이 효과적이다. 모의해킹은 예방주사와 같이 시스템이 공격받을 가능성이 있는지 테스트해 보는 작업이다.
취약점 진단과 모의해킹은 전문기업의 서비스로 제공되며, 시스템의 전수조사를 위한 자동화된 솔루션도 제공된다. 래피드7, 포지티브테크놀로지스 등이 대표적인 솔루션 기업이며, 우리나라 인프라 취약점 진단 영역에서는 지란지교시큐리티가 인수한 에스에스알과 엘에스웨어가 활동하고 있다.
보안관제·침해대응으로 진행 중인 공격 막아야
탐지·대응 영역에서는 보안관제, 침해대응(IR) 서비스가 있다.
아이넷뱅크가 공급하는 카본블랙의 침해대응(IR) 솔루션 ‘Cb 리스폰스’는 엔드포인트에서 일어나는 모든 행위를 기록하고 감시하는 솔루션으로, 엔드포인트에서는 정보 수집만 수행하고 서버에서 분석하기 때문에 엔드포인트 리소스를 사용을 최소화하며, 다른 애플리케이션과의 충돌이나 장애도 발생시키지 않는다. 리스폰스는 전 세계 주요 IR 기업과 매니지드 보안 서비스 기업(MSSP)이 사용하는 대표적인 IR 솔루션이다.
배성우 아이넷뱅크 상무는 “SOC를 직접 운영하지 못하는 기업은 물론이고 SOC를 운영하는 기업도 정확한 침해 현황을 파악하지 못한다. IOC가 없는 공격을 파악하지 못하며, 침해 흔적이 발견됐다 해도 다른 시스템 어디로 전파됐는지 파악하는 것도 어렵다”며 “카본블랙은 보안 이벤트를 역추적해 분석함으로써 공격이 어떻게 진행됐고, 어디까지 전파됐는지 쉽게 파악 가능하며, SOC가 없어도 침해대응이 가능하다”고 말했다.
