2019.09.09

확산하는 서비스형 ICS '논란'··· "편리함 극대화 vs. 새 취약점"

J.M. Porup | CSO
산업제어시스템(ICS) 장비는 드러나 있지 않고 복잡하므로 보안상 유리하다. 프로토콜이 매우 독특해 공격 방법을 알아내는 데 많은 시간과 돈이 들기 때문이다. 사실상 국가의 지원과 명령을 받는 해커를 제외하면 실제 공격에 나설 이들도 별로 없을 것이다.
 
ⓒ Getty Images Bank

문제는 이를 최신 IT 클라우드 인프라에 연결하는 순간 시작된다. 이제 ICS/운영기술(OT) 시스템은 각종 “전통적인” 공격에 노출된다. 예를 들면, 패치가 되지 않은 IT 취약성을 악용한 웜 공격을 받을 수 있다. 일부 ICS 보안 업체는 이른바 '서비스형 ICS(ICSaaS)'를 제공한다. 시장이 요구하는 것이 바로 서비스형 ICS라고 주장한다. 시장의 방향이 그런 방향으로 가고 있다며 서비스형 ICS를 최대한 안전한 방식으로 제공한다는 것이다. 그러나 이는 자칫 큰 사고로 이어질 수 있다.

원격 감시는 보안 분석가가 ICS 시스템의 실시간 정보에 접근하게 해 주는 방식인데 잘만 하면 보안 개선에 도움이 된다. 특히, 외주 보안업체와 원격 텔레메트리를 공유하고자 하는 중소기업에 유용하다. 그러나, ICS/OT 시스템을 클라우드 인터페이스를 통해 원격 관리한다는 생각은 기본적으로 위험하다. ICS 보안업체 드라고스(Dragos)의 보안 전문가 조 슬로윅은 “이러한 추세에서 최선의 결과를 얻기 위해서는 기업의 운영 방식을 근본적으로 재고해야 한다"라고 말했다.

ICSaaS 제공 내용
현재 활동 중인 5~6곳의 ICS 보안 업체 중에서 최소한 2곳이 클라우드 기반 서비스를 제공한다. 첫 출시는 인데지(Indegy)에서 내놓은 사이러스(CIRRUS) 클라우드 플랫폼이다. 정책과 구성을 원격으로 관리할 뿐만 아니라 위협 감지와 보고까지 가능한 'IT 렌즈(IT lens)'를 통해 OT 시스템의 '뷰'를 제공한다.

그렇다면 중요한 인프라 시스템이 클라우드에 연결돼 있어 위험하지는 않을까? 인데지의 홍보 담당자 마크 겐드론은 “이미 클라우드에 연결된 환경이므로 추가로 위험이 더 늘어나는 것은 아니다. 우리가 이런 기능을 제공하는 것은 기업 고객이 요청이 크기 때문이다"라고 말했다. 실제로 인데지는 자유 시장 경제 체제 아래에서 수요에 대응해 제품을 내놓고 있고, 이런 업체는 비단 인데지 뿐만이 아니다.

인데지의 경쟁사이기도 한 드라고스는 이러한 클라우드 통합에 대해 비판적이다. 그러나 슬로윅은 ICSaaS로의 이동은 막을 수 없는 대세가 될 것으로 본다. 따라서 사후에 보안에 대응하려 애쓰는 대신 처음부터 보안을 고려해 구축하는 것이 업계 전체에 이득이라고 지적했다. 그는 “주요 시스템 제공업체를 중심으로 운영 차원에서의 진단과 감시를 위해 원격 텔레메트리와 클라우드 기반 링크 쪽으로 이동하려는 움직임이 커지고 있다. 이러한 추세라면 어떻게 하면 이를 스마트하게 추진할 것인가, 또한 잠재적인 단점은 최소화하면서도 운영/안정성/보안의 관점에서 어떤 장점을 제공할 것인가 하는 문제가 남게 된다. ’클라우드에 ICS를 연결하기만 하면 만사형통일 것’이라는 생각은 터무니없다. 현명하게 대처할 필요가 있다"라고 말했다.

ICS 보안회사 클라로티(Claroty)는 이 시장에 눈독을 들이면서 ICaaS 사업을 검토 중이다. 업체의 글로벌 마케팅 수석 담당자 패트릭 케네디는 “클라우드 기반 아키텍처는 보안에 상당한 장점을 제공한다. 광범위하게 분산된 환경의 중앙 집중 관리 개선, 속도 증가, 배치 비용 감축, 미지의 위협에 대한 대응 시간 개선 등이 대표적이다. 특히 중소기업은 이를 통해 엔터프라이즈급 보안 기술에 더 쉽게 접근할 수 있다. ICSaaS에도 이와 비슷한 장점을 제공할 수 있다"라고 말했다.
 
이러한 추세에 대한 업계의 반발이 없지 않다. ICS 보안 업체 사이버엑스(CyberX)의 산업 사이버보안 담당 부사장 필 너레이는 “OT/ICS에 클라우드를 연결하는 추세가 커지고 있지만 기업 대부분에 맞지 않을 수 있다. 실제로 OT 네트워크를 인터넷 혹은 기업 IT 네트워크에서 완전히 분리하는 것은 비현실적이고 비효율적이라는 것이 최근에야 널리 받아들여지고 있다. 물론 클라우드 기반 서비스는 사용하기 쉽고 프로비저닝이 신속하며 사실상 무한하게 확장되는 장점이 있다. 그렇다고 해도 기업 대부분은 민감한 OT 네트워크 트래픽 데이터를 클라우드로 보낼 준비가 아직은 돼 있지 않다"라고 말했다.

또 다른 ICS 보안업체인 노조미 네트웍스(Nozomi Networks)는 ICSaaS의 잠재적인 단점을 자세히 지적하지는 않았다. 그러나 노조미 공동 창업자 안드레아 카르카노는 “기업 현장에서는 네트워크 전반에 걸쳐 보안 가시성을 확보하기 위해 OT 보안 툴에 IT 보안 툴을 연결하는 ICS 팀이 점점 늘어나고 있다"라고 말했다.

원격 텔레메트리 vs. 원격 관리
중소 규모 산업 현장에서는 보안 인재가 부족한 경우가 많아 자동화와 외주를 폭넓게 활용한다. 특히 ICS/OT 네트워크 내부에서 오는 단방향 원격 데이터 피드가 유용하다. 이를 통해 발생 가능한 문제에 대해 실시간 경고를 받을 수 있고 원격 분석가가 보안 사고를 점검할 수 있다. 그러한 데이터 피드를 받기 위해 외부 세계에 연결된 방화벽에 단방향 구멍을 뚫기 쉽다. 문제 해결에 바쁜 와중에는 단방향 방화벽이 양방향 방화벽으로 변하기도 쉽다. 그리고 다시 방화벽을 닫는 것을 다들 깜빡한다. 시스템 관리자가 정신없이 바쁘다 보면 의도치 않게 실수를 하는 것이다.

더 심각한 것은 불필요한 기능이 추가되는 것이다. 의도는 선하지만 잘 모르는 경영진이 원격 사고 대응에 나설 때까지 얼마나 시간이 걸릴까? 슬로윅은 “방화벽 규칙이나 네트워크 접근 같은 것을 계속해서 모니터링하는 것은 쉬운 일이 아니다. 악용의 범위를 최소화하기 위한 솔루션을 어떻게 활용할지 기업이 진지하게 고민해야 할 부분이다. 결과적으로 우리가 원하든 원치 않든 좋지 않은 상황이 벌어질 가능성이 크다"라고 말했다. ciokr@idg.co.kr


2019.09.09

확산하는 서비스형 ICS '논란'··· "편리함 극대화 vs. 새 취약점"

J.M. Porup | CSO
산업제어시스템(ICS) 장비는 드러나 있지 않고 복잡하므로 보안상 유리하다. 프로토콜이 매우 독특해 공격 방법을 알아내는 데 많은 시간과 돈이 들기 때문이다. 사실상 국가의 지원과 명령을 받는 해커를 제외하면 실제 공격에 나설 이들도 별로 없을 것이다.
 
ⓒ Getty Images Bank

문제는 이를 최신 IT 클라우드 인프라에 연결하는 순간 시작된다. 이제 ICS/운영기술(OT) 시스템은 각종 “전통적인” 공격에 노출된다. 예를 들면, 패치가 되지 않은 IT 취약성을 악용한 웜 공격을 받을 수 있다. 일부 ICS 보안 업체는 이른바 '서비스형 ICS(ICSaaS)'를 제공한다. 시장이 요구하는 것이 바로 서비스형 ICS라고 주장한다. 시장의 방향이 그런 방향으로 가고 있다며 서비스형 ICS를 최대한 안전한 방식으로 제공한다는 것이다. 그러나 이는 자칫 큰 사고로 이어질 수 있다.

원격 감시는 보안 분석가가 ICS 시스템의 실시간 정보에 접근하게 해 주는 방식인데 잘만 하면 보안 개선에 도움이 된다. 특히, 외주 보안업체와 원격 텔레메트리를 공유하고자 하는 중소기업에 유용하다. 그러나, ICS/OT 시스템을 클라우드 인터페이스를 통해 원격 관리한다는 생각은 기본적으로 위험하다. ICS 보안업체 드라고스(Dragos)의 보안 전문가 조 슬로윅은 “이러한 추세에서 최선의 결과를 얻기 위해서는 기업의 운영 방식을 근본적으로 재고해야 한다"라고 말했다.

ICSaaS 제공 내용
현재 활동 중인 5~6곳의 ICS 보안 업체 중에서 최소한 2곳이 클라우드 기반 서비스를 제공한다. 첫 출시는 인데지(Indegy)에서 내놓은 사이러스(CIRRUS) 클라우드 플랫폼이다. 정책과 구성을 원격으로 관리할 뿐만 아니라 위협 감지와 보고까지 가능한 'IT 렌즈(IT lens)'를 통해 OT 시스템의 '뷰'를 제공한다.

그렇다면 중요한 인프라 시스템이 클라우드에 연결돼 있어 위험하지는 않을까? 인데지의 홍보 담당자 마크 겐드론은 “이미 클라우드에 연결된 환경이므로 추가로 위험이 더 늘어나는 것은 아니다. 우리가 이런 기능을 제공하는 것은 기업 고객이 요청이 크기 때문이다"라고 말했다. 실제로 인데지는 자유 시장 경제 체제 아래에서 수요에 대응해 제품을 내놓고 있고, 이런 업체는 비단 인데지 뿐만이 아니다.

인데지의 경쟁사이기도 한 드라고스는 이러한 클라우드 통합에 대해 비판적이다. 그러나 슬로윅은 ICSaaS로의 이동은 막을 수 없는 대세가 될 것으로 본다. 따라서 사후에 보안에 대응하려 애쓰는 대신 처음부터 보안을 고려해 구축하는 것이 업계 전체에 이득이라고 지적했다. 그는 “주요 시스템 제공업체를 중심으로 운영 차원에서의 진단과 감시를 위해 원격 텔레메트리와 클라우드 기반 링크 쪽으로 이동하려는 움직임이 커지고 있다. 이러한 추세라면 어떻게 하면 이를 스마트하게 추진할 것인가, 또한 잠재적인 단점은 최소화하면서도 운영/안정성/보안의 관점에서 어떤 장점을 제공할 것인가 하는 문제가 남게 된다. ’클라우드에 ICS를 연결하기만 하면 만사형통일 것’이라는 생각은 터무니없다. 현명하게 대처할 필요가 있다"라고 말했다.

ICS 보안회사 클라로티(Claroty)는 이 시장에 눈독을 들이면서 ICaaS 사업을 검토 중이다. 업체의 글로벌 마케팅 수석 담당자 패트릭 케네디는 “클라우드 기반 아키텍처는 보안에 상당한 장점을 제공한다. 광범위하게 분산된 환경의 중앙 집중 관리 개선, 속도 증가, 배치 비용 감축, 미지의 위협에 대한 대응 시간 개선 등이 대표적이다. 특히 중소기업은 이를 통해 엔터프라이즈급 보안 기술에 더 쉽게 접근할 수 있다. ICSaaS에도 이와 비슷한 장점을 제공할 수 있다"라고 말했다.
 
이러한 추세에 대한 업계의 반발이 없지 않다. ICS 보안 업체 사이버엑스(CyberX)의 산업 사이버보안 담당 부사장 필 너레이는 “OT/ICS에 클라우드를 연결하는 추세가 커지고 있지만 기업 대부분에 맞지 않을 수 있다. 실제로 OT 네트워크를 인터넷 혹은 기업 IT 네트워크에서 완전히 분리하는 것은 비현실적이고 비효율적이라는 것이 최근에야 널리 받아들여지고 있다. 물론 클라우드 기반 서비스는 사용하기 쉽고 프로비저닝이 신속하며 사실상 무한하게 확장되는 장점이 있다. 그렇다고 해도 기업 대부분은 민감한 OT 네트워크 트래픽 데이터를 클라우드로 보낼 준비가 아직은 돼 있지 않다"라고 말했다.

또 다른 ICS 보안업체인 노조미 네트웍스(Nozomi Networks)는 ICSaaS의 잠재적인 단점을 자세히 지적하지는 않았다. 그러나 노조미 공동 창업자 안드레아 카르카노는 “기업 현장에서는 네트워크 전반에 걸쳐 보안 가시성을 확보하기 위해 OT 보안 툴에 IT 보안 툴을 연결하는 ICS 팀이 점점 늘어나고 있다"라고 말했다.

원격 텔레메트리 vs. 원격 관리
중소 규모 산업 현장에서는 보안 인재가 부족한 경우가 많아 자동화와 외주를 폭넓게 활용한다. 특히 ICS/OT 네트워크 내부에서 오는 단방향 원격 데이터 피드가 유용하다. 이를 통해 발생 가능한 문제에 대해 실시간 경고를 받을 수 있고 원격 분석가가 보안 사고를 점검할 수 있다. 그러한 데이터 피드를 받기 위해 외부 세계에 연결된 방화벽에 단방향 구멍을 뚫기 쉽다. 문제 해결에 바쁜 와중에는 단방향 방화벽이 양방향 방화벽으로 변하기도 쉽다. 그리고 다시 방화벽을 닫는 것을 다들 깜빡한다. 시스템 관리자가 정신없이 바쁘다 보면 의도치 않게 실수를 하는 것이다.

더 심각한 것은 불필요한 기능이 추가되는 것이다. 의도는 선하지만 잘 모르는 경영진이 원격 사고 대응에 나설 때까지 얼마나 시간이 걸릴까? 슬로윅은 “방화벽 규칙이나 네트워크 접근 같은 것을 계속해서 모니터링하는 것은 쉬운 일이 아니다. 악용의 범위를 최소화하기 위한 솔루션을 어떻게 활용할지 기업이 진지하게 고민해야 할 부분이다. 결과적으로 우리가 원하든 원치 않든 좋지 않은 상황이 벌어질 가능성이 크다"라고 말했다. ciokr@idg.co.kr


X