전체메뉴

[애플경제 전윤미 기자] 스마트팩토리가 보편화되면서, 사이버 보안에 대한 대응이 한층 강조되고 있다. IT 환경과 융합되고 네트워크로 서로 연결되는 환경이다보니 더욱 보안의 허점이 생길 수 밖에 없다.

세계 최대 반도체 위탁생산 기업인 TSMC의 공장이 한때 워너크라이 랜섬웨어 공격을 당하고, 세계 최대 알루미늄 생산업체인 노르스크 하이드로사가 로커고가(LockerGoga) 랜섬웨어 공격으로 가동이 중단되거나 수동 전환을 했던 사례가 대표적이다.

이는 스마트팩토리가 활성화되고 있지만, 정작 사이버 공격에는 효과적으로 대응하지 못하고 있음을 보여주는 반면교사로 지적되고 있다.

국내외 전문기관들 ‘사이버 보안 매뉴얼’ 제시

스마트팩토리 사이버보안의 주요 대상은 무엇보다 운영기술(OT) 환경이다. 스마트팩토리의 핵심이라고 할 산업제어시스템(ICS) 네트워크를 구축하고, 기업 네트워크와 연결할 때 특히 보안에 신경써야 하는 것이다. 현재 국내 전문기관이나 전문가들이 추천하는 스마트팩토리 사이버보안 매뉴얼은 대체로 4~5가지 정도가 제시되어 있다.

한국전자통신연구원은 “OT 환경의 보안관리체계로는 ISA/IEC 62443(안전한 산업 자동화 및 제어시스템 구현 절차)와 NIST800-82(산업제어시스템 보안 가이드라인)을 가장 많이 참고하고 있다.”고 소개했다.

한국인터넷진흥원도 ‘스마트공장 사이버보안 가이드’나, ‘스마트공장 보안 모델’ 등을 발표, 기업들이 이를 보안 지침으로 활용할 수 있도록 하고 있다.

특히 “효율적인 스마트팩토리를 운영하기 위한 목적의 OT와 IT기술의 융합, ICS 네트워크와 기업 네트워크의 연결 등이 사이버 위협을 확산시키고 있다.”면서 이를 소개하고 있다. 또 미국의 ‘계층적 사이버보안 방어 개념’인 인 NSA ‘심층 방어(Defense-in-Depth) 전략’도 국내 기업들에게 추천하고 있다.

우선 한국전자통신연구원이 소개한 ‘산업제어시스템 구축 가이드라인’은 ‘IEC 62443’ 즉, 산업용 통신 네트워크와 네트워크 간, 그리고 시스템 보안책이 핵심이다.

그 중 ‘IEC 62443(ISA 99)’은 ▲산업제어시스템 보안관리 요구사항과 보안기술, ▲제품 개발 과정에서 지켜야 할 보안사항, ▲산업제어시스템 구성요소에 대한 기술적 보안 사항 등이 정의되어 있다. 이는 또 산업제어시스템 상의 제품 개발에서부터 운영과 관리 과정에서 요구되는 사이버 보안의 표준을 다루고 있다.

특히 미국의 ‘NIST 사이버보안 프레임워크’(CSF)도 주목할 만하다. 이는 미국 정부가 국가안보에 중요한 핵심 인프라 등을 보호하기 위해 내린 대통령 행정명령에 기반한 것이다.

이른바 ‘NIST CSF’는 “비용 효율적이고 유연하며, 우선순위에 따라 반복 가능한, 정보보호 및 사이버보안 조치의 구축과 적용을 위한 접근법”임을 강조하고 있다. 이를 원칙으로 하며, 사이버보안 관련 리스크를 관리하기 위한 표준, 지침 및 모범사례를 담고 있다.

이는 코어, 프로파일, 구현계층으로 구성된다. 그 중 코어는 ‘식별(Identify)’, ‘보호(Protect)’, ‘탐지(Detect)’, ‘대응(Respond)’, ‘복구(Recover)’의 연속적인 5가지 기능으로 구성된다.

특히 프레임워크 코어에 있는 주요 기반시설의 사이버 위협 상황에 대한 대응 방안을 담고 있다. 그래서 “스마트팩토리의 총체적 보안 대응체계를 수립하는데 중요한 기초가 된다.”는게 일반적인 평가다.

인터넷진흥원 ‘사이버 보안 가이드’ 특히 눈길

한국인터넷진흥원이 제안한 ‘스마트공장 사이버보안 가이드’도 활용할 만하다. 이는 OT 기술과 IT 기술의 융합, 제조환경의 자동화, 디지털화와 지능화에 대응한 스마트공장 보안 요구사항을 제시하고 있다.

이는 스마트팩토리 보안을 위한 ▲접근 통제, ▲데이터 보호 ▲안전한 상태, ▲정보보안 운영 정책 및 절차,▲자산관리, ▲보안사고 예방 및 대응 등을 핵심으로 하고 있다.

특히 보안사고를 예방하고 대응하기 위한 수단으로 ▲침해사고 유출 시나리오에 맞는 가상훈련, ▲중요 자산 접근 이력 모니터링, ▲정기적인 취약점 점검 및 모의해킹 수행, ▲정보시스템에 대한 정기적인 보안감사 수행 등을 권하고 있다.

침해사고 유출 시나리오에 맞는 가상훈련은 평소에도 실제 침해사고 유출 시나리오에 맞는 훈련을 실시하는 것이다. 모의 해킹과 동일하게 화이트박스, 블랙박스와 같이 정보 유출을 인지했는지 여부에 따라 달리 한다.

가상훈련 중에서 화이트박스 훈련은 고위험군 또는 훈련 대상자에게 가상훈련에 대한 시나리오를 미리 말해주는 것이다. 그리곤 하나하나 내부 유출의 가능성을 막는 방식으로 진행한다. 가상훈련을 진행한 후엔 보안 담당자와 훈련 대상자의 피드백을 공유하는게 중요하다.

블랙박스 훈련은 단순히 기술적인 정보 유출 위협뿐만 아니라, 사회 공학적인 기법을 가미한 것이다. 실제 외부 유혹에 대해 어떻게 대처하는지, 기술적으로 보안을 잘 수행하고 있는지 등을 훈련하는 것이다. 이는 애초 사전 공지도 없이 진행되므로, 한층 정보유출에 대한 경각심을 가질 수 있다.

중요 자산 접근 이력을 모니터링하는 것도 중요하다. 기업의 모든 중요 자산에 대한 비인가자 접근, 또는 인가자의 중요 자산 접근 이력에 대한 로그를 기록, 정기적으로 모니터링 해야 한다. 이를 통해 비정상적인 접근을 탐지·차단할 수 있는 지능화된 관제시스템을 도입·운영하는 것이다.

가상훈련, 접근 이력 모니터링, 취약점 점검, 모의해킹, 보안감사 등

한국인티넷진흥원은 특히 “중요 자산 모니터링 체계를 구축·운영할 때 고려해야 할 점”을 강조하고 있다.

즉, 중요 자산의 종류나, 관리 현황, 사용 현황 등을 가시적으로 파악할 수 있는 모니터링 시스템(대시보드)을 구축하는게 먼저다. 그런 다음 중요 자산을 활용하는 애플리케이션이나, 직원에 대한 정보를 실시간 파악한다. 이상 징후가 생기면 이를 알람, SMS, 이메일 등으로 관리자에게 통보하는 기능을 갖추도록 한다.

또 비정상 접근이나 이상 징후를 모니터링 할 수 있는 빅데이터를 활용한 실시간 모니터링 시스템(real-time monitoring)도 구축해야 한다. 지능형 정보유출 시도에 대비, 비정상적인 접속이나 활동 등을 정확하게 인지하는 것도 중요하다. 즉 “다양한 정보유출 시도 패턴과 새로운 유출 시도 형태를 즉각적이고 신속하게 탐지해내는 지능형 모니터링 체계를 구축해야 한다”는 것이다.

이 외에도 “비정상 행위 탐지를 위해 기존의 규칙에 기반한 이상 징후 탐지기술 외에도, 추가적으로 행위 프로파일링 기반의 이상 징후 탐지분석 기술이 필요하다”는 조언이다.

시스템 도입, 변경때마다 훈련과 점검 중요

중요 시스템이 취약점에 노출되어 있는지 확인하기 위한 정기적인 취약점 점검과 모의해킹을 할 필요가 있다. 이를 매년 1회 이상 또는 새로운 시스템을 도입하거나 변경할 때마다 취약점을 점검하고 모의해킹을 하는 것이다. 수행해야 한다.

“이를 통해 발견된 취약점은 위험도 평가를 통해 우선순위에 따라 보완 조치해야 한다.”고 강조했다.

취약점을 점검하기 위해선 취약점 점검 대상(서버, 네트워크 장비 등), 점검 주기, 점검 담당자 및 책임자, 취약점 점검 절차 및 방법 등이 포함된다.

이 경우 라우터, 스위치 등 네트워크 장비 구성 및 설정 취약점, 서버 OS의 보안 설정 취약점, 방화벽 등 정보보호시스템 취약점은 물론, 어플리케이션 취약점, 웹 취약점, 모바일 앱 취약점, IoT 기기 및 근거리 무선 네트워크 취약점 등이 모두 파악 대상이다.

또 “회사의 규모 및 보유하고 있는 자산의 중요도에 따라 모의해킹 수행 여부를 결정한다.”면서 “취약점 점검 결과 발견된 취약점별로 대응방안 및 조치 결과를 문서화하여 조치 결과서를 작성하고, 스마트공장 책임자에게 보고한다”고 강조했다.

모든 사내 정보시스템에 대한 정기적인 보안감사도 필수다. 이를 통해 보안 정책 및 지침에 맞게 자산이활용 내지 보관, 파기, 감독·보호되는지 확인해야 한다. 이를 준수하지 않거나 관리가 미흡한 부분이 발견되었을 경우, 즉시 개선하거나, 사고를 사전에 차단해야 한다.

보안감사는 체크리스트 등을 활용할 수 있다. 그래서 감사준비→감사착수→감사수행→결과보고→ 후속조치 절차에 따라 수행된다.