IT와 OT의 융합은 더 이상 막을 수 없는 흐름이 되었다. 그럼에도 이 두 가지 영역이 잘 합쳐지지 않아 생기는 보안 사고는 계속해서 터지고 있다. 보안 강화 전략을 고민하고 있다면 다음 네 가지 스텝을 밟아보는 것이 어떨까.

[보안뉴스 문정후 기자] 지난 30년 동안 기업들은 IT와 OT가 서서히 융합하는 것을 보아 왔다. 산업 4.0이라든가 5G, IoT와 같은 기술들이 무서운 속도로 발전하면서 융합의 속도 역시 점점 더 빨라지고 있다. 그래서 기업들은 IT와 OT 시스템들 사이에서 보다 많은 데이터를 교류시키고 있으며, 이를 통해 비즈니스의 가치를 높이려고 애쓰고 있다.


하지만 모든 기술이 그렇듯, 이러한 발전의 과정이 순탄한 것만은 아니다. IT/OT 융합을 잘못 관리한 것 때문에 큰 규모의 사이버 보안 사건이 여러 번 발생하기도 했는데, 공격자들은 대부분 피해 조직 내에서 디지털 기술로 관리되는 장비에까지 침투하는 데 성공해 지적 재산을 탈취하는 데 성공했었다. 해커들이 주로 노리는 부분을 한 마디로 정리하면 다음과 같다. “OT 시스템들에 대한 IT 기술의 낮은 가시성과 제어 권한.”

이런 구조적 취약점은 기업들은 서서히 이해하기 시작했고, IT 기술을 가지고 OT 장비들을 제어함과 동시에 가시성을 확보하기 위한 노력들을 이어갔다. 그래서 지금까지도 계속해서 IT와 OT의 융합 전략이 업그레이드 되고 있고, OT 보안에 대한 중요성 또한 보다 널리 이해되고 있다. 혹시 IT와 OT의 융합을 이뤄감에 있어서 보안을 강화하는 방법을 아직 찾고 있는 기업이 있을 수 있어 4단계로 정리해 보았다.

IT와 OT 영역을 점검 및 평가하라
IT와 OT를 성공적으로 합치기 위해서는 모든 IT와 OT 및 클라우드까지 포함한 전 네트워크 영역의 구성과 데이터의 흐름을 먼저 잘 이해하고 있어야 한다. 이에 대한 이해도가 있어야 사업적으로 필요한 것들은 물론 각종 방어 및 운영의 목적까지도 정확하게 정의할 수 있게 된다. 그리고 그런 정확한 이해도가 있어야 미래의 전략도 명확하게 수립하고 구축할 수 있다.

이렇게 앞으로 진행할 융합의 기반이 단단히 다져졌다면, 이제는 보안의 기본 체력을 점검할 차례다. 이미 존재하고 있는 보안 아키텍처를 평가하고 기업의 IT 시스템과 OT 시스템들이 어떤 식으로, 어떻게 연결되어 있으며, 어떤 관계를 가지고 있는지 파악하라. 클라우드와 서드파티 커넥션들까지도 전부 평가할 수 있어야 한다. 이런 과정이 있어야 IT 보안 팀들이 OT 시스템들에 대한 가시성을 갖출 수 있게 되고, OT 아키텍처를 영역별로 구분해 관리할 수 있게 된다.

네트워크 경계선을 정하고 자산들을 배정하라
IT와 OT 보안 팀들이 각각의 담당 구역에 대한 가시성을 확보했다면 이제 네트워크 영역을 규정하고, 각각의 네트워크에 알맞은 자산을 배정할 차례다. 그리고 한 발 더 나아가 데이터의 연결과 흐름까지도 규정하고 단단히 보호해야 할 보안 영역도 정의해야 한다. 위에 했던 것보다 간단한 작업처럼 보이지만 대단히 중요한 생산 시스템들을 격리시키면서 동시에 관련 IT 시스템들에 제한된 권한만 할당하는 일은 꽤나 골치를 아프게 할 수 있다.

사업에 미치는 영향을 0으로 유지하면서 망 분리 작업을 성공적으로 해내려면 상당한 수준의 사전 준비를 먼저 진행해야 한다. 이 사전 준비라는 것은 대부분 꼭 필요한 도구들을 마련하는 것인데, 클라우드 기반 망 분리 소프트웨어나 하드웨어 기반 격리 솔루션, 애플리케이션에 특화된 방화벽 등이 여기에 포함된다. 이런 도구들에 미리 투자한다면 꽤나 안전하고 안정적으로 이 단계를 넘어갈 수 있다.

모니터링, 방어 제어, 정책 서버
자산에 대한 가시성을 확보한다는 건 IT/OT의 안전한 융합에 있어 가장 중요한 일이라고 해도 과언이 아니다. “보이지 않는데 어떻게 보호할 것인가?”라는 보안 업계의 명언은 정말로 진실을 가장 담백하게 담아낸 말이다. 문제는 가시성을 확보한다는 게 좀처럼 쉽지 않다는 건데, 이를 위해 조직들은 그 무엇보다 OT 영역 내에 에이전트 기반의 모니터링 기능과 수동적인 모니터링 기능을 모두 갖춰야 한다.

이 모니터링 기술들은 현존하는 IT 보안 운영 기술들과 통합될 수 있으며, 그렇게 했을 때 단순 보안 강화를 넘어서 사업적 가치까지 이끌어낼 수 있다. 그런 경우 투자에 대한 리턴이 확실해질 수 있다. 그 외에 도메인 기반 방어 제어 기술들과 정책 서버들까지도 전체 모니터링 전략에 통합시키는 것을 추천한다. 이렇게 해야 가시성 확보라는 것에 한 차원 높은 의미가 부여된다.

아이덴티티와 접근 관리 기술을 구축하라
IAM이라고 하는 ‘아이덴티티 및 접근 관리’ 기술은 현대판 ‘네트워크 경계선 보호 기술’이다. 네트워크라는 게 기업 사무실이나 건물 내에만 존재하고 있을 때, 그래서 외곽선만 보호하면 내부가 안전할 수 있었던 시대의 방화벽이나 게이트키퍼와 같은 것이 현대의 IAM이라는 것이다. 그래서 많은 기업들이 이제 방어진을 구축할 때 IAM에 집중한다. 옳은 방향이며, IT와 OT의 융합을 꾀할 때도 IAM 모델을 구축하는 게 좋다.

전통적 의미에서는 ‘고립된 OT 시스템들’이지만 기업 내 IT 인프라와 연결되는 시스템들은 오히려 점점 많아지고 있다. 디지털 기술에 대한 의존도가 점점 높아지고 있기 때문이다. 또한 데이터를 활용해 잠재력을 이끌어내는 경우가 점점 많아지다 보니 더 그렇게 되고 있다. 이런 OT 시스템들에는 보다 강력한 인증 시스템을 도입해야 한다. 물리적 접근 권한은 인증을 받은 사람들에게만 제공하고 원격 접근은 아예 하지 않을 수 있도록 하는 게 좋다.

디지털 변혁은 갈수록 더 큰 화제가 되고 있고, 기업들의 1순위 달성 목표가 되어가고 있다. IT와 OT가 융합되어야 하는 건 막을 수 없는 흐름이 됐다. 그런 흐름에 맞춰 IT와 OT의 보안 전략이 새롭게 등장해야 될 때가 되었다. 그렇다고 이 보안 전략이라는 게 대단히 새로울 것은 없다. 인프라 구성을 제대로 파악해 가시성을 확보하고, IAM이라는 새로운 ‘네트워크 외곽 경계’를 도입하면 된다. 본질적으로는 보안의 기본기에 충실하자는 것과 다름이 없는 소리다.

글 : 랜디 포터(Randy Potter), 수석 아키텍트, Capgemini Americas
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>