IoT / 보안

글로벌 OT 기업들, 위협 조기 경보 플랫폼 ‘ETHOS’ 개발 위해 뭉쳤다

Cynthia Brumfield | CSO 2023.04.25
정부와 보안 전문가는 전기, 수도, 석유 및 가스 생산, 제조 시스템과 같은 필수 서비스를 운영하는 산업 조직에 대한 사이버 공격을 가장 우려할 것이다. 이런 시스템에 사용되는 OT(Operational Technology) 도구는 복잡하고 독점적이라는 특성 때문에 IT 기술과의 빠른 융합이 어려운 데다가 OT 시스템 보안을 만성적인 고위험 과제로 만들기 때문이다. 
 
ⓒ Getty Images Bank

OT 및 산업 제어 시스템(Industrial Control System, ICS)의 보안에 대한 전문 지식 수요가 증가함에 따라 다수의 OT 보안 업체가 ETHOS(Emerging Threat Open Sharing)라는 OT 위협 조기 경보 플랫폼 개발에 협력하고 있다. ETHOS는 업체 중립적으로 운영되는 익명 기반 오픈소스 시스템으로, 초기 위협 지표에 대한 데이터를 공유하고 새로운 공격을 발견하는 것을 목표로 한다. 

ETHOS 커뮤니티와 이사회 구성원에는 거대 OT 보안 업체들이 참여한다. 1898 & Co.와 ABS 그룹(ABS Group), 클래로티(Claroty), 드라고스(Dragos), 포스카우트(Forescout), 넷라이즈(NetRise), 네트워크 퍼셉션(Network Perception), 노조미 네트웍스(Nozomi Networks), 슈나이더 일렉트릭(Schneider Electric), 테너블(Tenable), 워터폴 시큐리티(Waterfall Security) 등이다. 비영리 단체로 설립된 ETHOS의 주목적은 인텔리전스나 공격 패턴이 없는 위협을 발견해 피해를 입기 전에 차단하는 것이다.

ETHOS라는 개념은 미국 CISA(Cybersecurity and Infrastructure Security Agency)의 승인을 얻었다. CISA 사이버보안 부국장 에릭 골드스테인은 ETHOS 발표 보도자료에서 “핵심 인프라 운영업체, 특히 OT 네트워크가 직면한 규모의 위협에 대처하려면 협업 및 상호 운용성에 기반한 정보 공유가 필요하다. CISA는 시기 적절하고 효과적인 정보 공유를 방해하는 사일로를 줄이려는 커뮤니티 중심의 노력을 지속적으로 지원하고자 한다. ETHOS 커뮤니티뿐 아니라 다른 커뮤니티와도 협력해 잠재적인 사이버 위협에 대한 조기 경보와 대응 체계가 마련되고 시스템을 적절하게 보호할 수 있기를 바란다”라고 말했다.


’만성 위험’ 해결을 위한 대승적인 노력

ETHOS는 아직 초기 단계이므로 시스템이 얼마나 정확하게 작동할지 확실하지는 않다. 이사회에 참여하는 조직은 연회비를 지불하며, 그 외 공공 및 민간 자산 소유자를 포함한 모든 조직은 무료로 ETHOS에 기여할 수 있다. 

노조미 네트웍스 CPO 안드레아 카르카노는 CSO에 “건전하게 경쟁하고 위협을 샅샅이 살피기 위해 협력하는 기업을 확보하는 것이 중요하다. ETHOS는 현장에서 일어나는 일을 더 잘 알기 위한 이니셔티브다. 비록 경쟁 관계라 하더라도 함께 노력해야 한다”라고 말했다.  

테너블의 OT 및 IoT 담당 CTO 마티 에드워즈는 “ETHOS는 약 2년 전 등장했다. 당시 업계에서는 독점 솔루션에 구애받지 않고 모든 위협 정보를 공유할 수 있는 기술 중립적인 방법이 필요하다는 이야기가 있었다. 업계가 함께 끌어내고 분석하면 이런 시스템에서 조기 경고 지표를 얻을 수 있다”라고 설명했다.

클래로티의 제품 관리 부문 부사장 브라이언 던피는 “ETHOS는 개방적으로 운영되는 위협 및 공격 정보 공유 시스템이다. 사용하는 솔루션에 관계없이 위협 공유 시스템의 이점을 계속 활용하면 중요 인프라 사용자로서의 기업도 더 잘 보호할 수 있다”라고 덧붙였다.

4곳의 가상 석유 및 가스 회사가 있다고 가정해 보자. 각 회사가 운영하는 고유 기술에서 의심스러운 IP 주소 하나가 나타났다. ETHOS는 모든 기여자 간의 데이터를 연관시킨 후 “전국에 퍼져 있는 4개의 서로 다른 석유 및 가스 회사에서 같은 기간에 동일한 IP가 포착됐다”라고 경고할 수 있다. 

던피는 “초기에 공유되길 바라는 1단계 지표는 IP 주소, 트리거된 해시 서명이나 다른 침해 지표(IOC) 같은 전통적인 위협 지표다. IOC가 분석되면 시간이 지나면서 특정 지표가 갑자기 변하거나 이전에 보지 못했던 완전히 새로운 지표가 특정 기간에 나타나고 있다는 사실을 알 수 있을 것이다. 이를 기반으로 고립된 공격인지 광범위한 공격인지, 특정한 성격의 공격이 전반적으로 증가하고 있는지 판단할 수 있다”라고 덧붙였다.


“리눅스 같은 단체로 만들 것”

이사회 참여 업체들은 이미 ETHOS 플랫폼의 초기 버전 개발에 착수했다. 자발적인 작업 덕분에 일부 코드는 이미 작성된 상태다. 카르카노는 ETHOS가 오픈소스 소프트웨어 리눅스의 발전 과정을 따라갈 것으로 예상했다. “리눅스는 자원봉사자 그룹으로 시작했지만, 궁극적으로 자체 직원을 보유한 영향력 있는 비영리 조직으로 성장했다. ETHOS 역시 언젠가는 리눅스처럼 될 것”이라고 말했다.

에드워즈에 따르면, ETHOS는 2가지 측면을 중심으로 개발 중이다. “첫 번째는 고객이 데이터를 ETHOS 인프라로 보낼 때 해당 데이터가 익명으로 전송되도록 사이버보안 제품을 보유한 각 회원 조직이 ETHOS 환경에 API 후크를 구축하는 것이다. 회원 조직 대부분이 자체 제품과 구조를 갖추고 있다는 점을 고려하면 쉬운 일은 아닐 것”이라고 말했다. 

두 번째는 데이터 분석 플랫폼을 구축하는 것으로, 에드워즈에 따르면 연방 정부가 크게 지원하는 부문이다. “CISA나 에너지부 같은 조직과 긍정적인 대화를 나눴고 일부 정부 분석 기관과의 협력이 이 작업에 기여하기를 바란다”라고 설명했다.

또한 에드워즈는 단일 회사가 ETHOS를 소유하는 일이 절대 없을 것이라고 단언했다. “정부 기관이든 정보 공유 및 분석 센터든, 혹은 비영리 조직 아래 자체적으로 법인을 만들든 기술 중립적인 제삼자가 ETHOS를 뒷받침할 것”이라고 강조했다.

던피는 “참여 기업에는 2가지 임무가 있다. 고객의 중요 인프라를 보호하는 것과 중요 인프라 커뮤니티 전반을 보호하기 위해 다시 기여하는 것이다. 시간이 지나면 집단적인 위협 공유가 도움이 될 것”이라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.