산업 네트워크의 안전을 보장하는 일은 그리 간단하지 않다. 산업 네트워크가 직면하고 있는 위협은 끊임없이 변화하고 진화하고 있다. 따라서 산업 네트워크를 사이버 위협으로부터 안전하게 보호하기 위해 지속적인 모니터링이 필수적이다. 이 백서에서는 우선 안전한 산업 네트워크를 설계, 배치 및 유지하기 위해 시스템 운영자가 고려해야 하는 주요 과제를 검토하려고 한다. 해결 과제를 제시한 다음에는 산업 네트워크의 보안을 강화하기 위해 필요한 것으로 판단되는 세 가지 기준을 상세히 고려할 것이다. 이 백서를 모두 읽은 후에는 산업 네트워크와 장치를 설계, 관리 및 유지하기 위해 취해야 할 조치들을 잘 이해하게 될 것이다.
운영 기술(OT)은 밸브 또는 펌프와 같은 네트워크 상의 물리적 장치를 모니터링하고 제어하기 위한 하드웨어와 소프트웨어의 조합으로 구성된다. OT는 다양한 하드웨어 및 소프트웨어가 산업 환경에서 작동할 수 있도록 보장함으로써 산업용 사물 인터넷(IIoT)의 확장을 촉진한다. 가장 일반적인 예로는 공장 자동화의 PLC(Programmable Logic Controller), 제조 산업의 DCS(Distributed Control System) 및 석유 가스와 같은 프로세스 자동화 산업의 SCADA 시스템이 있다. 네트워크가 확장되어 여러 제어 시스템과 산업 기술을 포함하게 되면 IACS(Industrial Automation Control System)로 알려진 시스템이 구축된다. 네트워크를 통합하여 IACS를 구축할 때의 주된 이점은 원격 관리와 자동화된 프로세스를 촉진함으로써 효율성을 높일 수 있다는 것이다. 그러나 IACS 네트워크가 확장되고 더 많은 사이트가 네트워크에 액세스해야 함에 따라 IACS 네트워크의 취약성이 커지게 된다.
수년 동안 산업 네트워크는 엔터프라이즈 네트워크와 격리되어 있었기 때문에 사이버 보안은 시스템 운영자가 신경 써야 할 중요한 문제가 아니었다. 이는 네트워크가 다른 네트워크와의 격리로 인해 잘 보호되었기 때문이다. 그러나 상황이 달라지면서 오래된 보안 관행으로 시스템 운영자가 더 이상 네트워크 보안을 유지할 수 없게 되었다. 이 백서에서는 IACS 네트워크에서 사이버 보안이 왜 그토록 중요한지, 그리고 안전한 IACS 네트워크를 구축, 관리 및 유지하기 위해 어떤 과제를 달성해야 하는지 분석하는 데 중점을 두려고 한다.
IACS 네트워크의 사이버 보안을 강화하기 위해 극복해야 할 과제
네트워크마다 독특한 특징을 가지고 있고 제기되는 각각의 위협도 독특한 만큼 시스템 운영자가 직면하는 수많은 사이버 보안 위협도 각양각생일 수 밖에 없다. IACS 네트워크의 안전을 보장하기 전에 시스템 운영자가 모든 위험을 철저히 파악하고 있어야 한다. 이제 시스템 운영자가 도전 과제를 해결하기 위한 솔루션을 구현하기 전에 가능한 많은 정보를 확보할 수 있도록 이들이 직면하고 있는 이러한 도전 과제를 상세하게 살펴보겠다.
보안 네트워크를 설계 및 배포하고 시스템 운영자가 모범 사례를 따르도록 하는 방법
일반적으로 산업 네트워크 또는 특정 장치에는 위협 요소로부터 안전한 부분이 존재한다. 그러나 하나의 장치 또는 네트워크 영역만 뚫려도 전체 네트워크의 보안이 위태로워지게 된다. 악의적인 의도를 가진 누군가가 네트워크 상의 장치 하나에만 접근할 수 있어도 네트워크의 다른 영역과 장치를 손상시키고 제어하기가 매우 쉽다. 대부분의 네트워크는 승인된 액세스 권한이 없는 사용자가 네트워크에 액세스하지 못하게 설계되어 있지만 네트워크 상의 장치 하나에 보안 구멍이 뚫리면 네트워크 다른 장치들이 이로 인해 보안 위험이 제기된다는 사실을 인식하기가 매우 어렵다. 원래 폐쇄되어 있던 네트워크에 보다 많은 장치와 네트워크를 추가함으로써 산업 자동화 제어 시스템 네트워크를 격리시키던 장벽이 허물어지고, 이로 인해 네트워크에 더 많은 잠재적인 진입 지점이 생겨 공격에 더 취약해지고 있다. 이전에 격리된 네트워크만 관리하던 시스템 운영자는 IACS를 안전하게 유지하는 방법에 대한 지식이 부족한 경우가 많다.
산업용 네트워크 장치에 대한 사이버 공격을 방지하는 방법
작은 구멍이 결국 둑을 무너뜨리듯이 하나의 장치에 대한 제어력만 얻으면 네트워크에 있는 전체 장치의 구성을 마음대로 변경하는 일은 매우 쉬워진다. 이것이 산업 자동화 제어 시스템에 미칠 수 있는 영향은 치명적일 수 있다. 또한 산업용 네트워크가 현대적인 추세에 맞춰 발전을 거듭하면서 기존의 기능 중 일부는 업데이트가 필요하다. 이전에 격리되었던 산업용 네트워크는 로그 파일을 보관하고 유지할 필요가 없었다. 그러나 현대적인 산업 네트워크는 다른 네트워크와 융합되는 추세여서 해킹에 더 취약하게 만든다. 이러한 위협에 맞서기 위해 산업 네트워크의 장치는 가능한 신속하게 문제를 시정할 수 있도록 사이버 보안 위반이 발생한 시기와 방법을 결정하기 위해 로그 파일을 기록하고 유지해야 한다. 네트워크 장치가 사이버 보안의 영향을 받지 않도록 보장하기 위한 두 번째 대응 조치는 데이터 암호화와 관련된다. 이전에는 산업 네트워크가 엔터프라이즈 네트워크와 분리되어 있었기 때문에 시스템 운영자가 민감한 데이터를 암호화하는 일이 드물었다. 그러나, 현대적인 산업 제어 네트워크가 지속적으로 확장됨에 따라 폐쇄된 네트워크 밖으로 전송되는 데이터가 도난 당하거나 손상될 가능성이 높아졌다. 이 때문에 현대적인 네트워크에 데이터 암호화가 필수적이다.
전체 시스템 수명 주기에 걸쳐 네트워크 보안을 관리하는 방법
현대적인 산업 네트워크는 쉴 새 없이 변화 발전하고 있다. 이 때문에 네트워크가 훌륭한 보안 설정으로 구성되었더라도 새로운 모습으로 바뀔 미래의 네트워크에 이 보안이 계속해서 안전할 것이라고 보장할 수 없다. 많은 사이버 보안 전문가들은 네트워크가 사람에 의해 관리되는 시간이 많아질수록 실수가 발생하여 악의적인 의도를 가진 누군가 네트워크에 접근하고 손상시킬 수 있게 될 가능성이 커진다고 지적한다. 새로운 장치가 네트워크에 추가되고 기본 암호 설정을 변경하지 않는 경우를 대표적인 예로 들 수 있다. 장치의 기본 암호가 네트워크에 사용되면 즉시 해커가 이 장치에 액세스하고 이로 인해 전체 네트워크가 위험에 처하는 일이 쉽게 일어날 수 있다. 또한, 수명 주기를 거치는 동안 네트워크가 확장됨에 따라 네트워크 운영자가 익숙하지 않은 다른 네트워크 또는 장치와 새로운 형태로 연결해야 하는 상황이 종종 발생한다. 이러한 상황이 발생할 때 시스템 운영자는 이러한 신규 연결의 안전을 보장하기 위해 취해야 하는 조치에 대해 잘 알지 못하며, 이 때문에 잠재적으로 산업 네트워크를 약화시키는 결과를 가져올 수 있다.
산업 네트워크에 제기되는 수 많은 사이버 위협에 대응하기 위해 이용할 수 있는 방법은 매우 많다. 이러한 솔루션은 시스템 운영자가 안전한 산업 자동화 제어 시스템을 구축할 수 있게 해주는 하드웨어와 소프트웨어에 중점을 두는 경향이 있다. 또한 IEC 62443 표준, NERC CIP 및 NIST 800-53과 같은 선도적인 전문 기관에서 개발한 사이버 보안 가이드라인도 있다. 이러한 각 표준은 네트워크의 특정 부분과 여기서 직무를 수행하는 사람에게 초점이 맞춰져 있다. 여러 가지 보안 영역을 다루는 많은 보안 표준들이 존재하지만 이 백서에서는 IEC 62443 표준에서 규정하는 가이드라인에 중점을 두려고 한다. 이 표준이 산업 네트워크의 보안과 가장 관련이 깊은 내용들을 다루고 있기 때문이다.
▲ 그림 2.IEC 62443은 산업 사이버 보안과 관련된 가장 기본적인 도전 과제를 다루고 있다.
산업 네트워크의 보안을 강화하는 세 가지 측면
산업 네트워크는 산업 네트워크를 손상시키고 이로 인해 네트워크의 보안과 생산성을 저하시킬 수 있는 무단 액세스로부터 보호 받아야 한다. Moxa와 같은 많은 사이버 보안 전문가들은 산업 네트워크의 보안을 강화하기 위해 세 가지 측면을 고려할 필요가 있다고 생각한다. 자세히 들어가기 전에 우선 이러한 측면을 간략하게 소개하겠다.
• 장치 보안: 이 섹션에서는 지난 몇 년에 걸쳐 겪은 산업 네트워크의 변화로 인해 시스템 운영자가 사이버 공격으로부터 네트워크 장치를 보호하기 위해 수행해야 하는 절차가 어떻게 달라졌는지에 중점을 둔다. 우선적으로 고려할 사항은 장치 인증과 액세스 보호이다. 두 번째는 시스템 운영자가 산업 네트워크에 수백 개의 장치를 설치한 경우에 쉽고 효과적인 암호 정책을 이용하는 방법에 대한 내용이다. 마지막으로, 모든 장치에 이벤트 로그를 수집하고 저장하는 기능을 내장시키는 방법에 대해 알아본다. 시스템 운영자가 네트워크에서 발생한 상황과 이 상황이 발생한 이유를 파악하여 상황을 가능한 한 빠르게 해결하려면 이벤트 로그가 꼭 필요하다.
• 네트워크 보안: 네트워크 보안 섹션에서는 어떤 장치나 시스템에 가장 높은 수준의 보호가 필요한지를 다룬다. 이와 함께, 네트워크의 안전을 보장하기 위해 '심층방어' 접근 방식을 이용해야 하는 이유의 몇 가지 예를 설명하고 고찰한다. 마지막으로, 방화벽과 VPN을 이용하여 원격 액세스의 보안을 유지할 때의 문제를 살펴본다.
• 보안 관리: 보안 관리 섹션에서는 전체 네트워크 수명 주기에 걸쳐 네트워크를 보호하기 위해 전문가들이 개발한 보안 정책과 가이드라인에 대해 권장되는 절차들을 고려한다. 이 섹션에서는 장치 보안 및 전체 네트워크의 보안을 관리하는 방법을 고려한다. 마지막으로, 이 섹션에서는 보안 설정의 구성과 관리를 단순화하는 방법을 알아본다. 산업 네트워크에서 종종 그렇듯이 보안 설정이 너무 복잡하면 시스템 운영자가 권장 가이드라인을 무시하고 보안 설정을 구현하지 않는 경향이 커진다.
심층방어 보안 아키텍처
네트워크를 설계할 때 네트워크를 보호하는 최선의 방법은 개별 구역과 셀을 보호하도록 설계된 심층방어 보안 아키텍처를 이용하는 것이라고 많은 운영자들은 언급한다. 이러한 구역이나 셀을 통해 통신이 이루어져야 하는 경우 방화벽이나 VPN을 거쳐야 한다. 이러한 형태의 아키텍처에서는 각 레이어가 상이한 보안 위협에 대응할 수 있기 때문에 전체 네트워크가 붕괴될 가능성이 줄어든다. 또한, 네트워크의 한 부분에서 문제가 발생하는 경우, 문제를 이 레이어 내에 국한시키고 다른 영역으로 확산되는 것을 막을 수 있는 가능성이 훨씬 높기 때문에 전체 네트워크에 미치는 위험이 줄어든다. 전문가들에 따르면 신뢰할 수 있는 심층방어 사이버 보안 아키텍처를 구축하기 위해 따라야 할 세 가지 단계가 있으며 지금 그 내용을 자세히 알아보겠다.
1단계: 네트워크 세분화
네트워크 세분화는 네트워크를 비슷한 네트워크 요구 사항을 가진 여러 개의 물리적 또는 논리적 구역으로 나누는 것이다. 네트워크를 세분화할 때의 이점은 각 부분이 IACS의 해당 부분에 제기되는 보안 위협에만 중점을 둘 수 있다는 점이다. 세분화 접근 배포 방식을 따르면 하나의 장치가 전체 IACS에 대한 보안 책임을 떠안지 않고 네트워크의 한 부분만을 책임진다는 점에서 이점이 있다.
2단계: 구역간 상호 작용을 정의하여 네트워크 트래픽을 검사하고 필터링한다
네트워크 보안을 강화하려면 IACS의 구역 사이를 오가는 트래픽을 검사하고 필터링해야 한다. 사이버 보안 전문가들은 트래픽을 필터링하는 가장 좋은 방법 중 하나로 DMZ에 데이터를 통과시키는 것을 꼽는다. DMZ를 이용하면 보안 IACS 네트워크와 비보안 네트워크가 직접 연결되지 않으면서 두 네트워크 모두에서 데이터 서버에 접근할 수 있다. 보안과 비보안 네트워크 사이의 직접 연결을 해소하면 허가되지 않은 트래픽이 여러 구역으로 전달되어 전체 네트워크의 보안을 위험에 빠질 상황을 크게 줄일 수 있다.
3단계: 네트워크에 안전하게 원격 액세스할 방법을 마련한다
마지막으로, IACS 업계 내에서는 유지보수와 같은 직무를 수행할 수 있는 원격 사이트에 액세스를 제공해야 하는 필요성이 커지고 있다. 그러나, 이로 인해 악의적인 의도를 가진 누군가 원격 위치에서 네트워크에 액세스할 수 있는 위험이 크게 높아진다. 원격 사이트에서 IACS에 지속적으로 연결해야 하는 네트워크의 경우, 권한이 없는 사용자가 네트워크에 액세스하는 것을 제한하는 IPsec와 같은 보안 암호화 방법을 지원하는 VPN을 사용하는 것이 좋다. IPsec를 지원하는 VPN을 사용할 경우 세 가지 주된 이점이 따른다. 첫 번째는 데이터가 전송 과정에서 암호화된다는 것이다. 두 번째는 발신자와 수신자가 자신을 인증하도록 요구한다는 것이다. 그러면 의도한 양당사자 사이에서 데이터가 오갈 수 있다. 세 번째는 암호화와 인증을 강제 적용함으로써 데이터 무결성을 보장한다는 것이다. 시스템 운영자가 데이터를 높은 신뢰도로 이용할 수 있기 때문에 많은 전문가들은 이 이점을 가장 중요하게 생각한다. IPsec는 보안 키의 길이를 20에서 40자로 규정하고 있는데, 이는 IACS에서 데이터를 안전하게 전송하기에 충분한 암호화 수준으로 여겨진다. 데이터의 완전성을 보장하기 위해 시스템 운영자는 데이터가 암호화되고 항상 인증을 거치도록 보안 전송 방법을 이용해야 한다.
안전한 산업 네트워크 장치
네트워크의 보안이 해결되었으면 다음 단계로 사용자가 실수나 의도적으로 설정을 잘못 변경할 수 없도록 방법을 고민해야 한다. 네트워크를 운영하고 관리하는 직원, 타사 시스템 통합업체 및 네트워크에서 유지보수를 수행해야 하는 계약업체로부터 문제가 비롯될 수 있다. 이러한 위협으로부터 보호를 받는 최선의 방법은 네트워크를 위험에 빠뜨리는 방식으로 설정을 변경할 수 없도록 네트워크 장치의 사이버 보안을 강화하는 것이다. 많은 사이버 보안 전문가들은 산업 네트워크에서 장치에 보안성을 부여하는 방법으로서 IEC 62443 표준을 가장 효과적인 것으로 보고 있다.
안전한 모니터링과 관리
네트워크 장치와 네트워크 토폴로지가 안전하다는 판단이 섰으면 이제 전체 네트워크 수명 주기에 걸쳐 네트워크를 안전하게 유지하기 위한 네트워크 관리 정책을 수립해야 한다. 이를 위해 시스템 운영자는 네트워크의 안전한 모니터링과 관리를 가능한 한 원활하고 안정적으로 수행하기 위한 일련의 준칙을 마련하고 모범 사례에 따른 절차를 구현해야 한다.
▲ 그림 5.Moxa의 MXview에서 사용자는 산업 네트워크의 보안 수준을 빠르게 점검하고 보안 관련 매개 변수를 설정할 수 있다.
산업 네트워크의 유지보수
자동화 시스템의 수명 주기 동안 현지 엔지니어나 타 시스템 통합업체가 유지보수를 수행해야 하는데, 여기에는 네트워크에 있는 장치를 변경하고 교체 또는 업데이트하는 일이 포함된다. 장치에서 어떤 구성이 변경되는 경우 항상 장치가 더 이상 안전하지 않고 취약해질 가능성이 존재한다는 점을 알아야 한다. 네트워크, 특히 IACS 네트워크는 항상 발전하고 변화하기 때문에 네트워크와 여기에 있는 모든 장치들을 지속적으로 모니터링해야 한다. 네트워크의 여러 장치를 모니터링하고 관리하는 업무를 담당한 서비스 직원을 많이 두는 것이 필연적일 수 있지만 이들 모두가 자신만의 지식이나 경험을 바탕으로 구성을 변경하도록 하는 것은 바람직하지 않다. 이러한 이유로 네트워크의 모든 장치에 동일한 장치 구성과 보안 설정이 적용되도록 보장하는 훌륭한 표준 운영 절차를 채택해야 한다. 하지만 관리 정책이 여기서 끝나서는 안된다. 오류가 발생하지 않고 모든 보안 위협으로부터 네트워크를 안전하게 유지하기 위해 네트워크를 항상 모니터링하는 것이 중요하다.
산업 네트워크 운영
지금까지 설명과 같이 IACS 네트워크에서 보안을 유지하기 위한 모범 방식을 수립했으면 이제 이 프로세스를 간소할 방법을 찾는 것이 문제이다. 대부분의 경우 IACS 네트워크에서는 네트워크에 있는 모든 장치에 적용할 수 있는 다양한 보안 설정이 존재하기 때문에 모든 장치에 대해 네트워크 상태를 모니터링하는 일은 매우 까다로울 수 있다. 이러한 어려움을 극복하기 위해 시스템 운영자들은 장치의 모든 구성 파일을 저장 장치로 내보내는 방법을 자주 이용한다. 그러면 장치를 교체하거나 재설정해야 하는 경우에 시스템 운영자의 업무가 간편해진다. 구성 파일에서 장치로 직접 장치 설정을 가져오기만 하면 되기 때문이다. 그러면 앞서 언급했듯이 설정을 구성하기 위해 엔지니어가 자신만의 경험이나 지식을 동원해야 하는 문제가 해소될 뿐만 아니라, 사람의 실수를 줄이고 시간을 절약하는 측면에서도 효과적이다. 시스템 운영자는 구성 설정을 안전하게 저장하고 오류 없이 새 장치로 구성 설정을 업로드할 수 있는 안정적인 장치를 선택해야 한다.
모든 장치가 필요한 보안 기능을 지원하고 이러한 기능이 전체 네트워크 수명 주기에 걸쳐 준수될 때만 네트워크의 안전이 보장된다는 점에 유의해야 한다. 또한, 시스템 운영자는 네트워크에서 발생하는 이벤트에 매우 신속하게 대응하고 설정이 안전하고 정확하게 변경되도록 보장할 수 있어야 한다. 위의 두 가지 기능을 지원할 수 있다면 시스템 운영자가 전체 네트워크 수명 주기 동안 안전하게 네트워크를 모니터링하고 관리하는 데 큰 보탬이 될 것이다.
산업 네트워크에 제기되는 위협이 항상 변화하고 발전하기 때문에 네트워크와 이 네트워크에 있는 장치를 안전하게 보호하는 일은 어려운 과제이다. 심층방어 네트워크 구조는 네트워크를 안전하게 유지하는 데 매우 효과적인 방법일 수 있다. 전반적으로 훌륭한 네트워크 설계를 갖추는 것 외에 시스템 운영자는 IEC 62443-4-2 사이버 보안 표준을 준수하는 강화된 장치를 선택해야 한다. 전반적으로, 가능한 위협을 철저하게 이해하고 네트워크 보안을 위한 모범 방안을 따른다면 전체 네트워크 수명 주기 동안 네트워크 보안을 효과적으로 유지할 수 있을 것이다. 또한, 네트워크 수명 주기 동안 네트워크를 지속적으로 모니터링하면 네트워크가 발전함에 따라 제기되는 보안 위험을 적절하게 관리하는 도움을 얻을 수 있다.
알비스 첸(Alvis Chen), Moxa
