지금까지 IT(정보 기술) 환경과 OT(운영 기술) 환경은 분리된 형태였으며 각 담당 팀에서 별도로 관리 및 운영해왔습니다. 그러나, 지난 10년간 디지털 전환이 가속화되면서 IT 환경과 OT 환경은 ‘융합’이라는 큰 변화를 맞이했습니다. IT 환경과 OT 환경이 연결되면서 조직은 새로운 사이버 물리 시스템 및 기타 기술에 점점 더 의존하게 되었습니다. 서로 다른 IT 환경과 OT 환경의 연결은 효율성, 지속가능성 향상 등 비즈니스 이점을 가져다 주었지만 이러한 융합이 IT 보안과 OT 보안에 새로운 위험을 야기하고 있습니다.

IT와 OT의 차이점

IT 환경의 주된 목적은 데이터와 정보, 그리고 이들이 흐르는 다양한 시스템을 관리하고 처리하는 것입니다. 서버, 컴퓨터, 소프트웨어 애플리케이션, 데이터베이스, 통신/데이터 및 정보 저장/분석에 활용되는 기타 자원 등이 IT 시스템에 해당합니다. 즉, IT 시스템은 비즈니스 운영을 지원하는 데 필요한 데이터와 정보를 관리하는 역할을 하고 있습니다.

반면 OT 시스템은 핵심 인프라 산업에서 사용되는 산업 제어 시스템(ICS), 센서, 로봇 등 주로 상품과 서비스의 생산 및 공급에 관여하는 물리적 장치를 관리하고 제어합니다. OT 시스템의 역할은 비즈니스 운영에 필수적인 물리적 프로세스와 장치의 제어 및 자동화를 관리하는 것인데 간단히 말하자면 IT가 데이터와 통신에 중점을 두고 있다면 OT는 물리적인 움직임과 그 결과에 초점을 두고 있습니다.

IT/OT 융합이란?

분리되어 있던 IT와 OT 환경의 융합은 수많은 연결성을 만들어내면서 업무 효율성, 운영 가시성, 의사결정 능력을 향상시켰습니다. IT/OT 융합의 대표적인 예로 물리적 장치, 센서, 기계를 IT 네트워크에 연결하는 산업 사물인터넷(IIoT)을 들 수 있습니다. 이러한 IT/OT 융합 장치의 특징은 데이터 수집, 원격 모니터링, 성능 분석이 가능하다는 점인데, 기업은 이를 통해 중요 인프라의 자동화를 개선하고 예지정비 및 실시간 의사결정을 내릴 수 있게 되었습니다.

IT/OT 융합은 기업의 디지털 전환 이니셔티브 가속화에 도움을 주고 있습니다. 자동화 프로세스로 인적 오류는 줄이고 생산성 및 운영 효율성을 높이며 개선된 데이터 가시성으로 운영 인사이트를 얻고 데이터 기반 의사결정을 내릴 수 있게 되었기 때문이죠.

디지털 혁신의 핵심 동인 IT/OT 융합은 운영 프로세스를 디지털 역량과 연계시켜 기업이 가치를 전달하는 방식 자체도 변화시키고 있습니다. 다만 IT/OT 융합이 비용 절감과 리소스 효율화라는 이점을 제공하는 만큼 연결성 증가로 인해 기업은 다양한 과제를 직면하고 있습니다. 앞으로 더 많은 IT 기기 및 시스템이 OT 환경과 상호 연결되고 XIoT(확장된 사물인터넷)가 계속 확장됨에 따라, 더 많은 기업이 이와 관련된 과제를 겪게 될 것입니다.

IT/OT 융합이 사이버보안에 미치는 영향

IT 시스템과 OT 시스템의 보안 요구사항이 매우 다른 환경에서 기업은 한 조직의 IT 및 OT 운영을 함께 감염시키는 독특한 사이버 위협을 마주하고 있습니다. 이러한 사이버 공격에 대응하기 위해 IT 보안팀과 OT 보안팀의 전문적인 보안 통제와 긴밀한 협업이 필요합니다.

우선 중요 인프라와 핵심 프로세스의 안전과 보안을 위해 IT 및 OT 보안 분야 모두 전문성을 갖춘 보안 전문가를 확보해야 합니다. 이후 IT/OT 통합 보안 운영 센터(SOC) 구축해 선두적으로 공격에 대응하여 전반적인 IT/OT 환경을 보호할 수 있습니다. 특히 사일로(silo)화된 IT/OT 융합 환경에서는SOC 구축이 다음 문제점 해결에도 큰 도움이 될 수 있습니다.

IT 시스템과 OT 시스템의 보안 방식이 다른 이유

사이버보안은 IT와 OT 모두에 있어 매우 중요한 과제이지만, 이 두 영역을 보호하는 방법에는 근본적인 차이가 있어 서로 다른 접근 방식이 요구됩니다. 가장 주요한 차이점은 IT 환경과 OT 환경에서 보호해야 할 자산의 유형입니다. 앞서 언급한 바와 같이 IT 시스템은 주로 데이터의 저장 및 처리에 사용되는 반면, OT 시스템은 물리적 프로세스와 시스템을 제어하는 데 사용됩니다. 쉽게 설명하자면 IT보안은 주로 주민등록번호, 개인 건강 정보(PHI), 교육 기록 등 민감한 정보 보호에 주력한다는 것입니다. 이러한 민감한 데이터에 대한 사이버 공격은 평판 훼손, 도난, 금전적 손실, 과징금 부과 등의 결과를 초래할 수 있습니다.

반면 OT는 석유·가스, 화학, 전력, 운송, 제조 등 산업에서 핵심 인프라의 안전성과 신뢰성을 확보에 중점을 둡니다. IT와 달리 OT 장치는 수십 년의 긴 수명 주기를 가지며, 물리적 사이트나 플랜트 전역에 광범위하게 분산 배치되어 있습니다. 또한 OT 장치들은 주로 독점 프로토콜을 사용하기 때문에 기존 보안 도구로는 이를 해독할 수 없어 OT 네트워크의 완전한 가시성 확보가 불가능합니다.

OT 네트워크가 매우 취약하므로 기존 취약점 스캐닝을 사용하면 OT 장치 오류가 발생할 수 있고, 전체 플랜트 가동 중단으로도 이어질 수 있습니다. 보편적으로 사내 지원 인력이나 제3자 공급업체가 OT 자산을 관리하기 위해 원격 접속을 자주 활용하는데, 감사, 변경 관리, 리스크 평가 등을 위해서는 이런 원격 세션에 대한 가시성이 확보되어야 하지만 기존 IT 원격 액세스 솔루션은 산업 환경에 적합하지 않습니다.

중요 인프라 조직에서 OT 사이버 공격은 설비 가동 중단, 장비 오작동, 심지어 발전소 폭발까지 훨씬 더 끔찍한 결과를 초래할 수 있습니다. 더불어 OT 공격은 데이터 피해를 넘어 사람의 건강과 안전에 치명적인 영향을 미칠 수 있습니다. 이러한 상황은 IT/OT 연결성이 빠르게 확대되고 사이버 공격은 더욱 정교화되면서 더욱 심각해질 것입니다. 기업은 지금 바로 IT와 OT의 서로 다른 위험 특성을 고려한 강력한 사이버보안 전략을 수립하고, 공격으로부터 조직을 성공적으로 방어해야 합니다.

OT 취약성에 대한 보호 대책

중요 인프라 조직의 OT 시스템에 대한 사이버 공격이 야기하는 결과를 이해했으니 이제 OT 취약성의 정의와 이를 방지하는 방법을 이해해야 합니다. OT 취약점이란 해커가 해당 시스템에 대한 무제한적 액세스나 제어권을 얻기 위해 악용할 가능성이 있는 OT 시스템의 CVE, 잘못된 구성 또는 기타 보안 결함을 의미합니다. OT 취약점은 다음과 같은 여러 문제로 인해 발생할 수 있습니다.

위 문제로 인해 재정적 손실, 생산 중단, 환경 피해, 인간의 건강과 안전에 대한 위협 등 광범위한 결과가 초래될 수 있습니다. 그렇기에 각 OT 시스템이 고유한 특성을 지니며 식별과 수정이 필요한 특정 취약점이 있음을 인식하는 것이 매우 중요합니다.

하지만 팀이 어떤 취약점에 우선순위를 둘지 평가하려면 먼저 어떤 취약점이 존재하는지부터 파악해야 합니다. 이 과정의 시작은 OT 네트워크 내 각 자산에 대한 포괄적이고 상세하게 업데이트된 목록을 확보하는 것입니다. 그 다음 환경 내 취약점을 정확히 파악하기 위해서는 OT 자산 별 세부 정보를 최신 CVE 및 기타 취약점 데이터베이스와 연계할 수 있어야 합니다. 이 데이터베이스는 방대한 규모여야 하며 CVE뿐 아니라 취약한 프로토콜, 잘못된 구성 등도 포함해야 기업이 보안 결함을 정확하고 효율적으로 식별해 낼 수 있습니다. 그러나 강력한 취약성 관리와 전사적 OT 보안 전략 수립의 가장 어려운 점은 ‘어디서부터 시작해야 하는가?’입니다.

OT 보안의 시작점

클래로티의 반기 XloT 보안 상태 보고서에 따르면 Team82 연구원들은 2022년 하반기에 발표된 688개의 취약점 중 74%가 OT 장치에 영향을 미쳤다는 사실을 발견했습니다. 또한 "공개된 OT 취약점의 62%가 산업제어시스템(ICS)용 Purdue 모델의 레벨 3에 있는 장치에 영향을 미치고 공개된 취약점의 1/4이 레벨 1 또는 PLC 및 기타 컨트롤러에 센서를 포함한 기본 제어 장치에 영향을 미친다"는 사실을 밝혔습니다. 이러한 통계는 네트워크 세분화 및 보안 원격 액세스가 성공적으로 구현되는 것뿐만 아니라 강력한 OT 보안 프레임워크 도입이 필요함을 보여줍니다.

수명이 다했고 해당 벤더사의 지원이 종료된 레거시 ICS 장치를 처리해야 한다면 위험 '완화'만이 유일한 해결책입니다. 네트워크 세분화는 조직이 사이버 위협을 완화할 때 고려해야 하는 첫 번째 단계입니다. 중요 영역을 가상 세분화로 분리하면 엔지니어링 및 기타 프로세스 기능에 맞게 조정된 영역별 정책을 설정할 수 있습니다. 특히 조직 데이터, 애플리케이션, 인프라 및 서비스의 클라우드 이전으로 에어갭(외부 인터넷과 완전히 격리된)이 줄어들면서 네트워크 세분화는 필수적인 제어 수단이 되었습니다. 이 때 클래로티 XDome과 같은 네트워크 보안 솔루션을 사용하면 조직은 중요 자산과 행동 패턴을 파악하여 네트워크 통신 정책을 자동으로 정의하고 권장할 수 있습니다. 이를 통해 조직은 전반적인 사이버 보안 상태를 개선하는 데 핵심이 되는 제로 트러스트의 기반을 마련할 수 있습니다.

네크워크 세분화는 일반적으로 OT 보안을 위해 두 번째로 권장되는 보안 원격 액세스(SRA)와 함께 진행됩니다. SRA는 세분화된 역할 기반 액세스 제어(RBAC), 암호화, 다단계 인증 및 제로 트러스트 기반 기능을 사용하여 원격 사용자 세션을 보호합니다. 예를 들어, 클래로티 보안 원격 액세스 도구는 IT 시스템용으로 설계된 기존 원격 접속 솔루션과 달리 산업용 네트워크의 운영, 관리, 보안 요구 사항에 맞춰 구축되었습니다. RBAC와 포괄적인 모니터링으로 기업은 사용자에게 필요한 접근 권한만 제공할 수 있습니다. 이렇게 세분화된 가시성과 제어로 관리자는 타사 사용자 및 직원의 실시간 활동을 모니터링할 수 있으며 악의적 행위에 신속하게 대응할 수 있습니다. 즉 SRA는 조직의 OT 공격 표면을 최소화하고 사이버 위험 노출을 줄이며 사고 대응 역량을 강화하는 데 도움이 됩니다.

성공적인 OT 보안 프레임워크

이제 IT와 OT 시스템 보안의 차이점을 이해했다면 조직 환경 보호를 위한 성공적인 보안 프레임워크를 구현할 수 있습니다. 지금까지 살펴본 바와 같이 기존의 IT 보안 솔루션은 OT 시스템을 보호할 수 없습니다. IT/OT 융합 환경에서 성공적인 사이버보안 프레임워크를 만들려면 IT팀과 OT팀 간의 긴밀한 협업을 강화하고, 모든 중요 자산을 보호할 수 있는 보안 솔루션이 필요합니다. 산업 제어 시스템에 가장 큰 위협으로 작용하는 것이 바로 OT 취약성인 만큼, 기업은 네트워크 세분화와 보안 원격 액세스 같은 대응책을 신속히 이행해야 합니다. 이런 보안 조치들이 전사적 보안 전략의 토대가 되어 강력한 사이버보안 체계의 기반이 될 것입니다.