국내 OT 보안 시장이 개화의 조짐을 보이자 IT 보안 및 물리보안 기업들이 시장 공략에 시동을 걸었다. 클래로티의 글로벌 파트너 RSA는 차세대 보안관제 시스템 ‘넷위트니스’의 네트워크·로그·엔드포인트 통합 플랫폼으로 IT와 OA망의 위협을 탐지하는 한편, 클래로티에서 수집되는 OT 보안위협까지 연계해 분석함으로써 IT와 OT 보안 수준을 높일 수 있다고 주장한다.
조남용 RSA코리아 이사는 “IT 보안 기술 만으로 OT 프로토콜을 분석하는 것은 불가능하다. 단순한 트래픽 행위 모니터링만으로는 지능적으로 움직이는 타깃 공격을 막지 못한다. 그러나 대부분의 해킹이 IT로 침투해 OT로 이동하는 만큼, RSA는 IT와 OT 사이의 데이터 흐름을 분석하고 이상행위를 탐지해 차단하는 방법으로 OT 보안 요구에 대응한다”고 말했다.
커스터마이징 된 프로토콜까지 지원
RSA 국내 파트너인 파로스네트웍스는 사이버비트의 ‘스카다쉴드’를 국내에 소개하면서 전력 관련 기관, 철도, 공항 등 ICS/SCADA 보안 시장을 두드리고 있다. 스카다쉴드는 OT 망 전체의 가시성을 확보할 수 있는 맵 토폴로지를 구현해 장애나 사고가 날 수 있는 지점을 정확하게 보여주고 대응할 수 있도록 한다. DPI L3까지 분석할 수 있어 OT 망을 완벽하게 이해할 수 있으며, 화이트리스트에 등록되지 않은 행위에 대해서는 포렌식 분석을 제공해 알려지지 않은 위협도 식별하고 대응할 수 있게 한다. 또한 제조사별로, 고객 환경별로 커스터마이징 된 특수한 프로토콜까지 지원한다는 장점을 갖는다.
황항수 파로스네트웍스 대표이사는 “OT는 외부에서 유입되는 위협도 문제이지만, 설정오류, 관리자·작업자의 실수 등에 의해서도 큰 사고가 일어난다. 이를 방지하기 위해서는 전체 OT망을 정확하게 이해하고 체계적으로 대응할 수 있어야 한다. 스카다쉴드는 OT의 완벽한 가용성을 보장하면서 보안위협을 선제적으로 인식하고 조치할 수 있도록 도와준다”며 “국내 OT 보안 시장이 서서히 열리고 있으므로 적극적으로 스카다쉴드의 경쟁력을 알릴 것”이라고 말했다.
팔로알토네트웍스 총판인 쿠도커뮤니케이션 보안사업부는 팔로알토네트웍스의 글로벌 파트너인 사이버엑스와 파트너십을 체결하면서 OT 보안 시장에 뛰어들었다. 사이버엑스는 퀄컴벤처 5000만달러 투자 유치에 성공하면서 주목받았으며, 전 세계 1200여 고객을 확보하고 있다. 국내에서는 발전 관련 시장이 가장 먼저 열릴 것이라고 기대하고 적극적인 영업을 전개하고 있으며, 스마트팩토리 산업을 타깃으로도 적극적인 활동을 벌이고 있다. 사이버엑스는 수많은 OT 프로토콜을 지원할 뿐 아니라 커스터마이징 된 프로토콜을 자동으로 분석해 관리자 개입 없이 빠르게 작동할 수 있도록 한다.
조인 쿠도커뮤니케이션 이사는 “최근 제조공장을 비롯한 OT 망은 랜섬웨어 공격으로 인한 피해를 입고 있다. 이 문제를 해결할 수 있는 최적화된 OT 보안 솔루션이 사이버엑스”라며 “쿠도커뮤니케이션은 OT 분야 전문가를 영입하고, 지속적으로 파트너를 영입하는 등의 노력을 전개해 국내 OT 보안 시장을 개척해 나갈 것”이라고 말했다.
AI로 OT 이상행위 탐지
OT 보안은 산업용 프로토콜에 대한 이해가 있어야 하기 때문에 IT 보안 기술은 OT 보안에 적용될 수 없다는 것이 중론이었다. 그러나 이미 여러차례 OT 해킹 사례에서 볼 수 있듯, 최근 OT 공격은 IT 망으로 침투해 OT 네트워크로 이동해 공격을 시도하며, IT 공격에 사용하는 도구를 이용한다. OT망에서도 TCP/IP를 사용하는 구간이 있으며, 유지보수, 업데이트 패치 등을 위해 외부 인터넷으로 연결되는 망이 있어 IT 보안 기술도 OT 보안에 필요하다는 판단 때문이다.
또한 OT 네트워크에서 오가는 트래픽은 단순하고 반복적이어서 프로토콜을 완벽하게 이해하지 못해도 이상행위를 파악할 수 있다. 다크트레이스가 이러한 주장을 펼치면서 OT 보안 시장에 뛰어들었다. 다크트레이스는 특히 자사 솔루션이 최초 설계 당시부터 IT와 OT를 보호하는 융합보안을 염두에 두었다고 강조하며 경쟁사가 갖지 못한 OT 보호 능력을 갖췄다고 강조한다.
다크트레이스의 ‘산업용 면역 시스템(IIS)’은 AI를 활용해 전용 프로토콜 또는 산업별 애플리케이션의 유형에 상관없이 정상적인 행위를 학습하고 이상행위를 탐지한다. OT 스위치에 미러링 혹은 스패닝 포트에 모니터링 모드로 연결해 시스템에 영향을 주지 않으며, OT와 IT 전반에서 네트워크 트래픽을 모니터링한다.
윤용관 다크트레이스코리아 차장은 “OT 망은 AI 기반 관제 시스템에 최적화돼있으며, 다크트레이스의 면역 시스템이 이러한 환경에 가장 잘 맞는 솔루션이다. 그래서 이미 여러 국내 주요 기관의 OT 망에 공급돼 안정적으로 운영되고 있다”며 “경쟁사가 한국 시장에 진출하면서 시장을 개화시켰으므로 다크트레이스의 차별점을 적극적으로 알리고 시장 우위를 지켜낼 것”이라고 밝혔다.
