산업 환경에 대한 새로운 글로벌 OT 보안 지침의 의미

역사적으로 운영 기술(OT) 환경은 격리되고 안정적으로 구축되었습니다. 변화는 느렸고 시스템은 수년 동안 같은 방식으로 운영되도록 설계되었습니다.

이제 달라지고 있습니다.  

이제 OT 시스템은 연결되고 원격으로 액세스되며 소프트웨어 및 데이터 플랫폼과 긴밀하게 연결됩니다. 이러한 변화는 실질적인 운영상의 이점을 창출했습니다. 또한 한때 OT 환경을 안전하게 유지했던 많은 가정이 제거되었습니다.

영국 국가 사이버 보안 센터가 국제 파트너와 함께 개발한 새로운 운영 기술(OT)을 위한 보안 연결 원칙 지침의 배경이 바로 이러한 맥락입니다.  

이 지침은 OT 연결이 이제 주요 위험 요소이며, 이를 보호하려면 애드온 제어가 아닌 강력한 설계가 필요하다는 점을 분명히 하고 있습니다.

OT 환경은 연결이 의도적이고, 제한적이며, 가시적이고, 공격을 견딜 수 있도록 구축되어야 합니다. 즉, 타협을 계획하고, 격리하도록 설계하고, 장애가 확산될 수 있는 범위를 제한해야 합니다.

다음은 지침의 핵심 원칙과 이러한 원칙이 OT에 중요한 이유, 그리고 Illumio가 이러한 요구 사항에 어떻게 부합하는지에 대한 분석입니다.

이 가이드가 지금 존재하는 이유

OT 시스템은 그 어느 때보다 더 많이 연결되어 있습니다. 여전히 많은 디바이스가 최신 위협에 대응하도록 설계되지 않은 레거시 디바이스에서 실행되고 있습니다.

원격 액세스, 타사 지원, 클라우드 분석 및 IT 링크는 공격 표면을 확장했습니다. 많은 경우 이러한 성장은 팀이 완전히 추적하거나 제어할 수 있는 속도보다 더 빠르게 이루어졌습니다.

OT 환경에는 IT 환경에는 없는 한계도 있습니다. 패치 적용이 느리거나 불가능합니다. 재부팅은 위험합니다. 하드웨어 업그레이드에는 몇 년이 걸릴 수 있습니다. 시스템에 장애가 발생하면 그 영향은 다운타임을 넘어 안전에까지 영향을 미칠 수 있습니다.

그렇기 때문에 이 가이드는 체크리스트 대신 최종 목표에 초점을 맞추고 있습니다. 완벽한 보안은 한 번에 달성할 수 없다는 사실을 인정합니다.

조직이 통제할 수 있는 것은 디자인입니다. 의도를 가지고 OT 연결을 계획함으로써 팀은 타협이 더 큰 실패로 이어지는 것을 막을 수 있습니다.

이러한 접근 방식은 오늘날 공격자들의 작업 방식과 일치합니다. 측면 이동, 지속성 및 시간에 의존합니다.  

8가지 핵심 원칙과 실제 적용 사례

이 가이드는 보안 OT 연결을 8가지 핵심 원칙으로 분류합니다. 각 솔루션은 안전이나 가용성을 위험에 빠뜨리지 않고 위험을 줄이는 데 중점을 둡니다.

이러한 원칙은 함께 실용적인 프레임워크를 형성합니다. 손상을 처리하고 운영을 계속 실행할 수 있는 OT 환경을 설계하는 방법을 보여줍니다.

1. 위험과 기회 균형 맞추기

OT로의 연결은 의도를 가지고 시작해야 합니다. 모든 연결은 정의된 운영상의 이유로 존재해야 하며, 명확한 비즈니스 이점을 제공하고, 위험을 수락하는 소유자가 지정되어 있어야 합니다.

실제로 많은 OT 환경은 이러한 방식으로 발전하지 않았습니다. 연결성은 시간이 지남에 따라 증가하는 경우가 많습니다. 공급업체 액세스 권한이 단기적인 수정 사항으로 추가되었습니다. 엔지니어링 워크스테이션은 여러 개의 네트워크 연결을 확보했습니다. 데이터는 검토가 필요해서 공유한 것이 아니라 쉬워서 공유한 것입니다.

이로 인해 일반적인 문제가 발생합니다. 대부분의 조직은 OT 시스템이 실제로 어떻게 통신하는지 현재 파악하고 있지 않습니다.

Illumio는 OT 커뮤니케이션의 실시간 지도를 구축하여 이러한 격차를 줄이는 데 도움을 줍니다. 네트워크 다이어그램이나 가정이 아닌 관찰된 트래픽을 기반으로 합니다.

팀은 어떤 PLC(프로그래머블 로직 컨트롤러)가 어떤 HMI(인간-기계 인터페이스)와 통신하는지, 어떤 서버가 연결을 시작하는지, 작업에 필요한 흐름이 무엇인지 확인할 수 있습니다. 또한 차단된 적이 없기 때문에 존재하는 트래픽도 확인할 수 있습니다.

이는 리스크 의사 결정 방식에 변화를 가져옵니다. 팀은 디자인 이론에 대한 논쟁 대신 증거를 바탕으로 작업합니다. 필요한 연결, 제한해야 하는 연결, 제거할 수 있는 연결을 결정할 수 있습니다.

2. 연결 노출 제한

노출은 단순히 인터넷 접속에만 국한되지 않습니다. 또한 주변 네트워크에서 시스템에 얼마나 접근 가능한지, 공격자가 시스템에 침입한 후 얼마나 많은 경로로 연결되는지에 따라 달라집니다.

이 지침은 OT로의 인바운드 액세스를 권장하지 않습니다. 노출 시간을 줄이기 위해 아웃바운드 전용 연결, 중개 액세스, 적시 연결을 선호합니다.

이러한 원칙은 의미가 있습니다. 그러나 많은 OT 환경은 여전히 영구 액세스에 의존하고 있습니다. 레거시 시스템과 공급업체 도구는 종종 이를 요구합니다.

경계에서 노출을 제거할 수 없는 경우 환경 내부에서 노출을 제한해야 합니다.

Illumio는 노출된 시스템의 영향을 줄여줍니다. 원격 액세스 게이트웨이, 점프 호스트 또는 공급업체 워크스테이션이 손상된 경우, Illumio는 해당 액세스가 OT 전체로 확산되는 것을 방지합니다.

정책은 어떤 시스템과 어떤 포트에서 어떤 방향으로 통신할 수 있는지 정의합니다.

실제로 이는 손상된 벤더 세션이 하나의 유지 관리 시스템에 도달할 수 있음을 의미합니다. 컨트롤러를 스캔하거나 안전 시스템에 도달하거나 관련 없는 프로덕션 자산에 액세스할 수 없습니다.

노출은 여전히 존재합니다. 이로 인해 발생할 수 있는 피해는 훨씬 적습니다.

3. 네트워크 연결 중앙 집중화 및 표준화

이 지침은 주요 OT 과제인 연결성 확산을 강조합니다.

시간이 지남에 따라 조직은 많은 사용자 지정 액세스 경로를 만듭니다. VPN, 방화벽 규칙, 특수 네트워크 설계가 쌓여 있습니다. 팀에서는 프로덕션 중단을 우려하여 변경을 피합니다.

이러한 복잡성은 위험을 증가시킵니다. 또한 인시던트 발생 시 대응 속도가 느려집니다.

이 지침은 동일한 방식으로 모니터링하고 시행할 수 있는 중앙집중적이고 반복 가능한 연결 모델을 요구합니다.

Illumio는 보안 정책과 네트워크 레이아웃을 분리하여 이를 지원합니다. 정책은 시스템이 네트워크에서 어디에 위치하는지가 아니라 시스템이 무엇이고 무엇을 하는지에 따라 결정됩니다.

이를 통해 조직은 인프라를 재설계하지 않고도 액세스를 표준화할 수 있습니다. 시간이 지나면 일회성 예외를 테스트하고 유지 관리하기 쉬운 명확하고 재사용 가능한 정책으로 대체할 수 있습니다.

4. 표준화되고 안전한 프로토콜 사용

이 지침은 프로토콜에 대한 현실적인 내용을 담고 있습니다. 많은 OT 시스템이 여전히 레거시 또는 안전하지 않은 프로토콜에 의존하고 있습니다. 한 번에 모두 교체하는 것은 거의 불가능합니다.

대신 이 지침은 프로토콜 위험을 이해하고 업그레이드가 불가능한 경우 제어 기능을 사용하는 데 중점을 둡니다.

많은 보안 전략이 프로토콜 업그레이드가 우선이라고 가정하기 때문에 여기서 실패합니다.

일루미오는 다른 길을 걷고 있습니다. 안전하지 않은 프로토콜이 남아있을 것이라고 가정합니다. 이러한 프로토콜을 실행할 수 있는 위치와 방식에 중점을 둡니다.

일루미오는 프로토콜을 사용할 수 있는 시스템과 해당 트래픽이 이동할 수 있는 위치를 제한함으로써 암호화 또는 인증이 취약한 경우에도 남용을 줄입니다.

예를 들어 컨트롤러와 디바이스 간에 모드버스 트래픽이 필요할 수 있습니다. Illumio는 해당 경로만 존재하도록 보장합니다. 동일한 트래픽을 다른 곳에서 시작하거나 네트워크를 통해 이동하는 데 사용할 수 없습니다.

위험성이 억제되는 동안에는 프로토콜이 유지됩니다.

5. OT 경계 강화

많은 내부 디바이스가 자체적으로 패치하거나 보안을 유지할 수 없기 때문에 OT 경계가 중요합니다.

강력한 경계 제어는 필수입니다. 그러나 이 지침은 또한 중요한 점을 지적하고 있습니다. 경계는 실패합니다.

잘못된 구성이 발생하고 취약점이 나타납니다. 자격 증명이 도난당했습니다. 경계를 위반하면 내부 통제에 따라 다음 단계가 결정됩니다.

Illumio는 기본적으로 내부 OT 트래픽을 신뢰할 수 없는 것으로 취급합니다. 트래픽이 경계를 넘은 후에도 목적지에 도달하려면 세분화 규칙을 따라야 합니다.

트래픽이 네트워크 내부에 있다고 해서 자동으로 신뢰되는 것은 아닙니다.

이러한 계층적 접근 방식은 경계 위반이 완전한 침해로 이어지지 않는다는 것을 의미합니다. 내부 통제는 공격자가 이동할 수 있는 거리를 제한합니다.

6. 보안 침해의 영향 제한

이 원칙은 지침에서 가장 강력한 내용을 담고 있습니다. 액세스 권한 획득 후 주요 위험 요소로 오염과 측면 이동을 직접적으로 언급합니다.

플랫 네트워크, 공유 자격증명, 광범위한 액세스로 인해 공격자는 방어자가 대응할 수 있는 속도보다 더 빠르게 움직일 수 있습니다.

일루미오는 이러한 움직임을 막기 위해 설계되었습니다.

마이크로세그멘테이션은 명시적으로 허용된 통신으로 제한합니다. 시스템은 기본적으로 서로 대화할 수 없습니다.

손상된 엔지니어링 워크스테이션은 컨트롤러에 연결할 수 없습니다. 손상된 서버는 안전 시스템으로 이동할 수 없습니다. 측면 이동이 차단됩니다.

이렇게 하면 에스컬레이션을 방지할 수 있습니다. 안전과 가동 시간에 따라 대응 옵션이 제한되는 OT 환경에서는 에스컬레이션을 막는 것이 매우 중요합니다.

7. 모든 연결이 기록되고 모니터링되는지 확인합니다.

모니터링은 팀이 정상이 어떤 모습인지 알고 있을 때만 작동합니다.

OT 트래픽은 예측 가능한 경우가 많습니다. 하지만 이는 팀이 동서 간 커뮤니케이션을 볼 수 있을 때만 도움이 됩니다.

Illumio는 실제 트래픽 패턴에 대한 지속적인 가시성을 제공합니다. 이렇게 하면 기준선을 설정하고 변경 사항을 쉽게 파악할 수 있습니다.

또한 컨텍스트도 추가됩니다. 비정상적인 일이 발생하면 팀에서는 변경된 사항, 관련된 시스템, 정책 위반 여부를 확인할 수 있습니다.

이를 통해 조사 기간을 단축하고 사고 발생 시 신속한 결정을 내릴 수 있습니다.

8. 격리 계획 수립

이 지침에서는 격리를 사후 대응이 아닌 설계의 일부로 취급합니다.

OT 환경은 시스템이나 서비스를 해를 끼치지 않고 격리할 수 있어야 합니다. 이러한 작업은 계획하고 테스트해야 합니다.

이는 세분화가 이미 존재하는 경우에만 작동합니다.

Illumio는 표적 격리를 지원합니다. 팀은 전체 사이트를 종료하지 않고도 특정 경로를 차단하거나, 손상된 시스템을 격리하거나, 타사 액세스를 제거할 수 있습니다.

격리가 정확하고 가역적으로 이루어집니다.

이러한 정밀성은 조직이 인시던트를 운영상의 긴급 상황으로 전환하지 않고 대응하는 데 도움이 됩니다.

침해 차단은 통합된 OT 보안 요구 사항입니다.

종합하면, 이 지침은 더 이상 예방만으로는 OT 보안을 구축할 수 없다는 사실을 지적합니다.  

연결성은 노출을 보장하고 레거시 시스템은 취약성을 보장합니다. 지속 가능한 유일한 전략은 설계를 통한 격리입니다.

보안 침해 방지는 장애를 가정하는 것이 아니라 장애가 발생하더라도 안전하게 작동하는 엔지니어링 환경을 구축하는 것입니다.

Illumio는 세분화, 가시성 및 시행을 고급 기능이 아닌 기본 제어로 취급하기 때문에 이 지침에 부합합니다.  

OT 환경에서는 이러한 기반을 통해 조직이 안전하게 연결을 채택하고, 진화하는 지침을 준수하며, 영향을 확대하지 않고 인시던트에 대응할 수 있습니다.

안전한 OT 연결을 위해서는 침해 차단이 필요합니다.

OT를 위한 보안 연결 원칙은 연결로 인해 운영 환경에서 위험이 나타나는 방식이 바뀌었음을 분명히 합니다.

이제 원격 액세스, 타사 지원 및 데이터 공유는 일상적인 OT 운영의 일부가 되었습니다. 관련 시스템 중 상당수는 이러한 수준의 노출을 위해 구축된 적이 없습니다.

압박을 견디는 조직은 타협을 계획합니다. 기본적으로 신뢰를 제한합니다. 시스템이 서로 대화하는 방식을 제어합니다. 또한 한 번의 장애가 사이트 전체 또는 안전 관련 사고로 이어지지 않도록 네트워크를 설계합니다.

침해 봉쇄는 OT 보안 제어를 대체할 수 없습니다. 문제가 발생해도 이러한 제어 기능이 계속 작동하도록 보장합니다.

일루미오 인사이트가 복잡하고 연결된 환경 전반에서 위험을 이해하고 억제하는 데 어떻게 도움이 되는지 알아보세요. 인사이트 무료 체험 오늘.