[샌프란시스코=데일리시큐] 세계 최대 보안 컨퍼런스&전시회인 RSAC 2023이 4월 24일부터 27일까지 미국 샌프란시스코 모스콘센터에서 성황리 개최됐다.
특히 크리티컬한 인프라 및 산업제어시스템에 대한 악의적인 해커들의 사이버공격이 급증하면서 이번 RSAC 2023에서도 OT 보안이 주요 보안 산업 트렌드로 부각된 것을 알 수 있었다.
데일리시큐는 샌프란시스코 현지에서 OT보안의 핵심기업으로 성장한 조나시스템(XONA Systems) 빌 무어(Bill Moore) CEO와 막 모링(Marc Moring) 세일즈 디렉터를 직접 만나 OT 보안에 대한 현황과 조나시스템 OT 보안 솔루션 특징 등에 대해 들어보는 시간을 가졌다. 이 자리에는 한국에서 대형 제조업 고객들에게 XDR솔루션과 자체 개발한 MDR 서비스를 제공하면서 신뢰를 구축한 파고네트웍스 권영목 대표도 함께했다. 파고네트웍스는 조나시스템 한국 및 APAC 사업 총괄 파트너를 담당하고 있으며 향후 한국 및 아시아 시장에서 적극적인 OT 보안 비즈니스를 펼쳐나갈 예정이다. 다음은 인터뷰 내용 전문이다.
◆한국 독자들에게 조나시스템(XONA Systems) 소개를 부탁한다.
조나시스템은 OT 및 중요 크리티컬 인프라 시스템에 안전한 리모트 사용자 액세스 플랫폼을 제공한다. 특히 OT 조직을 갖추고 있는 산업군과 매우 일찍부터 협력해 구체적인 요구사항에 맞춰 기술 플랫폼을 구축해 왔다. 이미 오래 전부터 엔터프라이즈 IT를 위한 원격 액세스 솔루션은 많이 있지만, OT 환경에서는 사용하는 애플리케이션이 다르고 실제 원격 접속 사용자도 많지 않으며, IT 환경과는 다른 방식으로 네트워크 액세스를 보호하는 좀 더 안전하고 매우 구체적인 기술이 필요하다. 조나시스템은 OT 환경에서 특정 사이트 레벨에 맞는 컨트롤과 네트워크 트래픽 상에서 프로토콜 격리 등의 기술을 제공한다.
◆최근 한국에서도 OT/ICS 보안 니즈가 커지고 있는 상황이다. 미국 OT 보안 시장 현황은 어떤가?
미국 시장에서는 먼저 여러가지 OT 관련 컴플라이언스 요구 사항이 나오고 있다. 최근 NIST(미국국립표준연구소- National Institute of Security and Technology)에서 OT 보안 가이드라인으로 ‘NIST Special Publication(SP) 800-82r3, Guide to Operational Technology Security’를 발표했고, 에너지와 파워전력 산업 부문에서는 ‘NERC CIP(Critical Infrastructure Protection)’ 표준을 준수해야만 한다. 더불어 ISA/IEC 62443 표준은 ‘산업 자동화 및 제어 시스템(IACS – Industrial Automation and Control Systems) 설치와 유지보수를 위한 요구사항 및 프로세스를 정의하고 있다. 미국 OT 관련 산업군은 이와 같은 보안 컴플라이언스를 준수하기 위해 노력하고 있다. 이를 기반으로 조나시스템은 다양한 컴플라이언스의 각 항목에 기술을 매핑하고, 규정 요구 사항을 준수하기 위한 기술 매트릭스를 적용하고 있다.
◆조나시스템 OT 보안솔루션의 특장점 소개를 부탁한다.
먼저 엔터프라이즈 IT 부문에서의 안전한 원격 운영 및 원격 액세스에 대해서 짚어 보면, 20여년 전부터 VPN 또는 VDI 기술과 함께 다양한 사용자 인증 메커니즘, 멀티팩터 인증, 애플리케이션 점프 서버 등을 추가해 오면서 기술을 적용하고 있다.
조나시스템은 IT환경과 OT환경은 명백히 다르다는 점에서 접근하고 있으며, 오랜 기간동안 IT 환경에 최적화 되어 온 원격 액세스 기술을 OT 환경에 그대로 적용하는 것은 매우 복잡하고, 보안상으로도 적합하지 않다는 것을 인지했다. 그래서 조나시스템이 접근한 방법은 “모든 것을 단순화시키고, 특수 목적의 플랫폼”을 제공하는 것이다.
사용자는 특정한 에이전트 설치 없이 일반 웹브라우저를 사용하며, 사용자 인증을 거치게 되면 OT 환경의 조나시스템 가상 또는 물리적 어플라이언스에 접속한다. 그 이후, 어플라이언스는 OT 자산에 원격 접속하는 핵심 프로토콜인 “RDP, VNC, SSH”에 대한 프록시 기능을 수행한다. 하지만 실제 프로토콜은 조나시스템 어플라이언스와 OT 자산 사이에서만 구동되고, 실제 사용자가 원격에서 처리하는 모든 데이터는 PNG 픽셀파일로 변환된 이미지가 암호화되어서 실시간 스트리밍 되는 방식이다.
즉, 일반 웹브라우저에서 접속 권한이 있는 OT 시스템으로만 RDP, VNC, SSH접속을 실제처럼 사용하도록 허용하되, 실제 데이터가 아닌 PNG 이미지 파일 형태로 변환되어 통신하게 된다. 즉, 이 부분을 ‘프로토콜 격리(Protocol Isolation)’라고 하며, 모든 과정은 녹화되고 더불어 실시간 사용자 브라우저 세션에 대해서만 스크린 모니터링 기능을 제공한다.
사용자 엔드포인트 시스템이 멀웨어에 장악되었다는 가정하에서도, OT 환경으로 레이어3 기반으로 접근할 수 있는 방법을 원천적으로 차단하고, 데이터 자체도 PNG 이미지 파일형태에서 추가적으로 암호화되어 표현되므로 OT 데이터 유출에 대한 이슈도 제거하는 솔루션과 기술이다.
◆한국에서는 IT 보안과 OT 보안 영역이 다른 것으로 인식하고 있기 때문에, 아직까지는 IT 보안 기술을 OT 보안 영역에 적용하는 것을 꺼리는 경향이 있다. 미국은 어떤 상황이며, 조나시스템은 어떤 방식으로 시장에 접근하고 있는가?
미국에서는 OT 보안 영역에 대한 인식이 점차 나아지고 있는 추세이며, 성숙한 단계로 진입하고 있다. 특히 3~4년 전에는 볼 수조차 없었던 OT 보안 부분에서 임원 직책을 수행하는 관리자 레벨의 담당자들이 생겨나고 있다. 특히 최근에 조나시스템이 제공하는 안전한 원격 운영 및 보안성이 강한 원격 사용자 액세스 기술에 대한 효율성이 그들의 요구사항과 부합하여 함께 논의되고 있다.
미국에서는 경험 있는 엔지니어 또는 제어 시스템 엔지니어의 평균 연령이 50대 중반을 넘어서고 있다. 그리고 경험이 없는 주니어 엔지니어에게 기술 이전 및 크리티컬한 OT 시스템 운영에 대한 훈련을 해야 하는 과제도 생겨나고 있다. 조나시스템 사용 기관은 안전한 원격 액세스 이후, OT 시스템 접속 및 실제 운영, 유지보수, 설정변경, 트러블슈팅 등이 발생할 때마다 모든 과정을 녹화하고 담당 직원 훈련 목적으로도 사용하고 있는 것을 확인할 수 있었다. 즉 조나시스템의 기술을 OT 환경에 도입후, 사이버 보안 뿐만 아니라 OT 조직의 운영 효율성에도 도움을 주고 있다.
◆산업제어시스템은 IT환경과 달리 별도의 OT 프로토콜을 사용하고 있는데, 다른 OT 전용 보안솔루션과 협업할 수 있는 부분도 있는지?
조나시스템은 노조미(Nozomi)와 같은 벤더사와 협력하고 있다. 예를 들어 노조미 제품이 OT 트래픽 기반으로 OT 자산을 식별하면, 조나시스템에서는 식별된 자산을 가져와서 외부 사용자들이 원격 액세스 할 수 있는 시스템 오브젝트로 등록해주는 연동을 지원하고 있다. 더불어 노조미 제품이 특정 OT 자산의 취약점을 발견하거나 위협에 침투당했다고 판단하는 시그널을 보내오는 경우, 조나시스템에서는 그 시스템에 대해서 외부 사용자들로 하여금 원격 액세스를 허용하지 않는 정책을 적용하도록 연동하고 있다.
◆기존 IT 환경 위협들이 OT 환경에도 비슷하게 오고 있다고 생각한다. OT 보안을 하는 입장에서는 어떤 부분들을 좀 더 신경 써야 하는지 한국 OT 담당자들에게 조언을 해 준다면?
최근 미국 OT 보안 부문에서는 소프트웨어 자재 명세서(SBOM – Software Bill of Materials)를 둘러싼 큰 움직임이 있다. 실제로 OT/ICS 환경에서 실행되고 있는 모든 펌웨어 소프트웨어에 대한 소스코드, 바이너리, 오픈소스 종류, 메타데이터, 인증서 정보, 패키지, 저작권, 라이선스 등의 모든 정보를 식별하고 더 나아가서 어떤 취약점 정보가 연결되어 있는지 모든 정보에 대한 가시성을 취합하고 적절하게 처리하는 과정을 포함한다. 즉 OT 환경에 대한 안전한 원격 액세스 방법론과 함께, 이미 신뢰하고 있다고 생각하는 내부 OT 환경안에서도 이제 모든 가시성을 새로 정립하고 취약한 부분이 어느 부문에 포진해 있는지를 적극적으로 파악하고 보안사고 연관성을 미리 예측하는 것이 중요하다.
◆OT 시스템에서는 여전히 오래된 레거시 OS를 많이 사용하고 있고 취약점도 많이 존재하며, 가용성 측면에서도 성능 이슈 등이 있다. 조나시스템이 이런 OT 시스템에 원격 액세스 기술을 적용할 경우 어떤 부분을 강점으로 내세울 수 있나?
조나시스템 솔루션의 핵심은 아키텍처의 단순성이다. 원격 액세스를 해야만 하는 외부 사용자와 OT 내부 시스템 사이에서 액세스와 관련된 보안정책을 적용하는 조나 어플라이언스가 위치한다.
조나시스템의 기술은 원격지 사용자 시스템에서 그 어떤 설정 변경을 요청하지도 않고, OT 환경 내부에 위치한 최종 목적지 시스템이 윈도우XP, 윈도우7과 같은 비록 오래된 레거시 시스템 일지라도 그 시스템 자체에서 그 어떤 설정 변경을 하도록 요청하지도 않는다. 퍼듀(Purdue) 모델 레벨3 또는 레벨 3.5에서 운영되고 있는 시스템들이 레거시 OS를 사용할 수 있는데 이들 시스템에 변경없이 기존 방식 그대로 “RDP, VNC, SSH” 원격 액세스를 지원하며, 오히려 외부로부터 보안이 취약한 목적지 시스템으로 가용성 침해나 시스템 자체의 설정 변경 없이, 안전한 보안 원격 액세스 방안을 아주 단순하게 제공하는 것이 특장점 중에 하나다.
또 다른 실제 제조기업 고객 사례도 있다. OT 환경의 윈도우XP 다수가 랜섬웨어에 감염되었다. 이때 모든 감염 시스템을 조사하고 포렌식 작업을 위해서 원격 액세스가 필요했는데, 이를 위해서는 기존 VPN을 이용해서 RDP 등을 사용할 경우 실제 모든 RDP 프로토콜 데이터가 결국에는 외부 인터넷망의 사용자 PC에 노출된다는 단점이 존재했다.
이때 조나시스템 기술을 사용한 고객은 조나시스템과 외부 인터넷망 사용자 PC 사이에는 실제 RDP 프로토콜 데이터가 아니라 PNG 이미지 픽셀만 전달되었음에도 불구하고 실제 RDP를 사용하는 것과 동일하게 원격으로 접속 및 포렌식 조사를 수행할 수 있었다. 또 원하는 모든 명령어 실행도 가능했다. 이 사례는 안전한 OT 환경 액세스의 성공 사례로 기록되고 있다.
◆조나시스템의 주요 고객사 산업군은 어떻게 구성되어 있나?
조나시스템의 기술을 직접 적용한 대형 엔터프라이즈 OEM 기업은 제네럴 일렉트릭(GE – General Electric)과 가스 발전소 기업 등이다. 즉 주요 고객군은 에너지 부문에서 시작되었다. 재생가능 에너지, 풍력발전, 태양광 발전 그리고 석유/가스 산업군이 여기에 포함된다. 그 이후, 일반 엔터프라이즈 제조기업의 OT 보안 액세스 부문으로 확장 및 운송, 공항급유시스템 산업분야까지 고객을 확장시켜 나가고 있다. 미국에서는 연방정부와 국방부의 크리티컬 시스템을 위한 원격 보안 액세스 솔루션으로 조나시스템을 사용하고 있다.
즉, OT 환경 뿐만 아니라 IT 영역의 크리티컬 시스템을 위한 원격 보안 액세스 솔루션으로 채택되었다는 것은 단순히 어떤 산업군에서 고객 레퍼런스를 보유하고 있는 것인지가 중요한 것이 아니라, 산업 분야에 상관없이 수많은 중요한 시스템에 보안이 강화된 방법으로 액세스하는데 적용되고 있다는 것이다.
최근에는 마이크로 프로세서 기술을 보유한 산업군과 하이테크로 분류된 산업군에서도 조나시스템의 기술이 적용되고 있다는 것은 꼭 OT 환경에만 한정해서 적용하는 기술이 아니라는 것을 반증한다.
특히 최근에 크리티컬 인프라스트럭쳐 공급망에 연결되는 운영장비를 파트너사에서 유지 보수를 위해서 접속하기 위한 기술로써, IT 영역에서 많이 사용하던 IPSec / SSL VPN 기술 대신 조나시스템 기술을 사용하는 사례가 많이 증가하고 있다.
◆OT 환경에서 보안시스템 도입 또는 유지보시 수행 시 업무중단 없이 가용성을 유지해야 하는 관점에서, 조나시스템 기술을 사용한다면 이런 부분들을 어떻게 지원해 줄 수 있나?
IT 영역도 마찬가지지만, OT 영역의 유지보수는 정확한 일정과 시간 관리가 필수다. 원격지에서 유지보수를 위해 액세스하는 공급업체에 시간 기반 액세스 제어를 제공하고, 적합한 인증 프로세스와 레코딩 기술을 적용하는 등의 벤더 관리 기능을 지원한다. 특정 시스템에 특정 프로토콜만 액세스를 허용하는 정책과 기존 연결된 세션을 강제 종료하는 기능도 제공한다. 더불어 ‘가상 대기 로비(Virtual Waiting Lobby)’라는 기능과 함께 외부에서 액세스를 시도하는 경우, 관리자의 실시간 승인하에만 최종 액세스가 허용되도록 해, 정확한 승인절차 기반으로 시스템에 접근하도록 지원한다. 패치, 업데이트 또는 설정 변경을 위한 스크립트 파일이 업로드 될 때에도, 승인 기반으로 작동하거나 중간에 보안 검사를 거친 후 업로드가 되도록 기능을 지원한다. 모두 대상 시스템의 가용성 유지와 관련되어서 시장 산업군에서 요구하는 기능들이 구현된 사례이다.
조나시스템 어플라이언스 자체도 H.A(High Availabiliity) 가용성 구성과 레이어4 스위치와 함께 로드밸런싱 아키텍쳐도 지원한다. 만약에 조나시스템 어플라이언스가 모두 다운될 경우에도, 목표 대상 시스템에는 그 어떤 가용성도 해치지 않는다.
◆조나시스템의 '프로토콜 격리(Protocol Isolation)'는 왜 필요하고, 왜 중요한가?
오늘날 일반적인 VPN 기술은 최종 VPN 액세스 이후 다시 응용 프로그램을 분할하는 점프 서버드의 기능을 부가적으로 사용하고 있다. 물론 VPN 장비 내부에서 OT 시스템들과 RDP, VNC, SSH 등의 프로토콜이 사용되는 것은 맞지만, 그 프로토콜들이 VPN 터널링을 통해서 최종 외부 사용자의 시스템(데스크탑, 랩탑, 모바인)까지 도달하게 되고, 궁극적으로 최종 데이터는 암호가 복호화 되어서 데이터 자체가 노출될 수 밖에 없다. 이때 만약 최종 외부 사용자의 시스템이 악성코드에 감염되어 있거나, 외부 공격자에 의해서 침해된 상태라면 그 데이터가 위협의 대상이 될 수도 있다. 더불어 터널링된 레이어3 통신망을 통해서 OT 내부 시스템으로 접근할 수 있는 자격증명이 갖춰진 경우에는, 악성코드 또는 외부 공격자도 터널링을 통해서 내부 네트워크로 접근이 가능해 진다.
조나시스템은 어플라이언스를 기준으로 내부망에서는 RDP, VNC, SSH 통신을 하지만, 사용자는 웹브라우져 내부에서 실제 프로토콜 데이터를 보는 것이 아니라, PNG 픽셀 이미지가 디스플레이되는 것을 보게 된단. 즉, 악성코드 또는 외부 공격자가 침투한 경우에도 프로토콜 데이터 자체가 아니라, 웹브라우저 상에 표시된 PNG 픽셀을 볼 뿐이며 데이터 자체에 대한 노출은 없다. 즉, 어플라이언스 기준으로 내부와 외부의 프로토콜 변환이 확실히 이루어지며, 이를 프로토콜 격리 기술이라고 한다.
웹브라우저 화면에 뿌려진 SSH 명령어와 리턴되는 그 결과값도 모두 PNG 픽셀 이미지이다.
◆OT 환경에서 일부 보안솔루션이 엔진 업데이트 또는 기능 업데이트할 때, 업데이트 되는 파일이 악성파일에 감염되어서 문제를 일으키는 경우가 있다. 조나시스템의 업데이트 메카니즘은 어떻게 되나?
조나의 업데이트 방식은 직접 인터넷 등으로부터 내려받지 않고, 직접 고객사에 업데이트 파일과 해쉬정보 등을 제공한다. 고객은 그 업데이트 파일에 대한 무결성 검증과 악성코드 감염여부 등을 조사하고, 유지보수가 정해진 시간에 업데이트를 수해하는 과정을 거친다.
◆조나시스템이 한국시장에 어떤 기대를 하고 있으며, 파고네트웍스와 파트너로서 어떻게 협력관계를 가져 갈 것인가?
조나시스템은 직판 시스템이 아니라, 파트너 협력 비즈니스 모델을 제시한다. 특히 미국 이외의 지역에서는 특히나 그 지역을 이해하고 있는 파고네트웍스와 같은 고유의 파트너사를 통해서 시장을 확대하고자 한다. 한국 시장의 경우 엔터프라이즈 제조 기업 시장이 조나시스템을 적용하기 위한 고객 산업군으로 보고 있으며, 자동차 제조업, 전자 제품 제조업 등의 거대한 시장이 올해 조나시스템에게 떠오르는 큰 시장이다. 사실 미국에서 처음 시작했던 에너지 산업부문 보다 한국에서는 기술측면에서 엔터프라이즈 제조 기업과의 협업이 더 크게 성장할 것으로 예상한다. 파고네트웍스 또한 비슷한 의견을 제시하고 상황을 공유하고 있다.
파고네트웍스는 한국시장 진출 방식에 대한 차별화된 측면을 이해하고 있고, 어떤 산업군에 어떤 방식으로 접근할 것인가에 대한 통찰력을 보유하고 있기 때문에, 시장 확보 측면과 고객사의 보안성 강화 측면에서 모두 윈-윈 전략을 펼칠 것으로 믿는다.
◆일반적으로 OT 보안 부문에서는 비용이 큰 이슈로 작용하는데, 조나시스템은 어떤 전략을 가지고 있나?
사실 미국 시장에서도 비슷한 상황이다. OT 보안 부문에 대한 투자는 실제 보안사고가 발생하기 전까지 여전히 저평가 되어 있거나, 투자 대상에서 과소 평가되는 경향이 많다. 실제 가장 기본적으로 투자되고 있는 네트워크 보안장비들도, 투자되는 높은 비용 대비해 OT환경에 적합하게 운영되는 사례는 많지 않으며, 정말 안타까운 현실이다. 더불어 OT 전송 시스템에 대한 유지보수 관련 이슈가 발생했을 때, 벤더사에 락인(Lock-in) 되어서 원격 기술 지원에 따른 많은 비용을 지불하는 것도 사실이다.
조나시스템은 기존 공급업체, 파트너 등의 유지보수 방법론에 기술을 적용하여 해당 공급업체가 훨씬 빨리 액세스하도록 인프라를 지원하며, 보안성을 높이고 동시에 기술적용 비용을 낮추는 방안을 제시한다. 즉 조나시스템의 비용 자체를 논의하는 것이 아니라 OT 시스템에 접근하기 위한 안전한 보안 액세스 방법론을 제시함으로써, 여러 공급망과 고객사 자체적으로 OT 시스템을 안전하게 관리하고 기존 대비 유지보수 비용을 줄이는 프레임워크와 프로세스 구축이라는 측면에서 비용을 줄이는 관점을 논하고 싶다.
◆한국에서도 아직 정립이 안되었는데, CISO가 IT/OT를 모두 커버하는 게 맞다고 보는 것인지, 조나시스템은 OT 보안을 위해서 누구와 또는 어느 팀과 논의를 하는가?
사실 기술적으로만 보면 SCADA 운영 엔지니어들이 그동안의 IT 복잡성을 다루어 왔기 때문에, 조나시스템을 접하면 상당히 좋은 반응을 보인다. 하지만 조나시스템은 궁극적으로 OT를 담당하는 상위 레벨의 매니저와 전반적인 OT 보안에 대한 프로세스를 논의하기를 바란다.
실제로 미국에서도 OT 부문만을 위한 CISO 역할은 존재하지 않는다. CISO는 IT와 OT 영역을 모두 담당하고 있다. 다행히도 미국은 OT 보안 전담팀이 생겨나고 있으며, IT 보안팀과 함께 협력하고 있다. 만약 OT 보안 전담팀이 없는 경우, 기존 IT 기반에서 사용하던 VPN 기술을 OT 영역에 그대로 사용하는 경우가 보편적인데, 이 부분을 조나시스템의 기술과 함께 서로 논의하고 테스트 및 증명해 나가는 방식이 쉽지는 않았다. 하지만 대부분의 기업은 CISO가 존재했으며, CISO와 IT 보안팀의 OT 보안에 대한 이해도를 높인 다음, 다시 순차적으로 실제 이 기술을 사용하는 최종 사용자의 의견을 종합하면서 공동 프로젝트를 진행하고 있다.
★정보보안 대표 미디어 데일리시큐!