본문 바로가기
IT기술

OT보안, 그리고 시스코의 전략

by romydady 2024. 7. 21.

2024.07.25 - [IT기술] - OT보안, 선택의 기준은 ?

OT(Operational Technology) 보안은 산업 제어 시스템(ICS), 제조 실행 시스템(MES), 감시 제어 및 데이터 수집 시스템(SCADA) 등 물리적 장비와 프로세스를 관리하고 모니터링하는 기술 환경의 보안을 의미합니다. OT 보안의 주요 목표는 이러한 시스템의 무결성, 가용성, 기밀성을 보호하여 산업 운영의 안전성과 신뢰성을 유지하는 것입니다.

OT보안 개요

운영 기술(OT) 보안은 사이버 보안의 중요한 측면으로, 산업이 IoT 장치와 산업 제어 시스템(ICS), 감시 제어 및 데이터 수집(SCADA) 시스템과 같은 첨단 기술을 점점 더 통합함에 따라 그 중요성이 커지고 있습니다. 다음은 OT 보안에 대한 몇 가지 주요 사항입니다:

  1. OT 보안의 범위: OT 보안은 물리적 장치, 프로세스 및 이벤트를 직접 모니터링하고 제어하는 하드웨어와 소프트웨어의 보호를 포함합니다. 이는 제조, 에너지, 운송 및 유틸리티와 같은 산업에서 사용되는 시스템을 포함합니다.
  2. 위험과 취약성: OT 시스템의 상호 연결된 특성은 사이버 위협에 취약하게 만듭니다. 성공적인 공격은 운영 중단, 재정적 손실, 심지어 개인의 신체적 피해로 이어질 수 있습니다. 예를 들어, 전력망에 대한 사이버 공격은 광범위한 정전을 초래할 수 있습니다.
  3. 규제 준수: 많은 산업은 OT 시스템에 대한 특정 보안 조치를 의무화하는 규제를 받습니다. NIST, ISO 27001 및 산업별 규정과 같은 기준을 준수하는 것은 중요한 인프라를 보호하는 데 필수적입니다.
  4. IT 보안과의 통합: 정보 기술(IT)과 OT의 경계가 점점 더 모호해짐에 따라, 조직은 IT와 OT 보안 조치를 모두 포함하는 포괄적인 사이버 보안 접근 방식을 채택해야 합니다. 이는 IT 팀과 OT 팀 간의 협력을 통해 종합적인 보호를 보장하는 것을 포함합니다.
  5. 사고 대응 및 복구: 사이버 사건이 OT 시스템에 미치는 영향을 최소화하기 위해 강력한 사고 대응 계획을 개발하는 것이 중요합니다. 조직은 이러한 계획을 정기적으로 테스트하고 업데이트하여 잠재적인 위협에 대비해야 합니다.
  6. 신기술: 인공지능(AI) 및 머신러닝(ML)과 같은 기술의 발전은 예측 분석 및 실시간 위협 탐지를 가능하게 하여 OT 보안을 강화할 수 있습니다. 그러나 이러한 기술은 관리해야 할 새로운 취약성도 도입합니다.
  7. 교육 및 인식: 직원들이 OT 보안의 중요성과 이를 유지하는 데 있어 자신의 역할을 이해할 수 있도록 지속적인 교육 및 인식 프로그램이 필수적입니다. 여기에는 피싱 시도를 인식하고 OT 시스템과 상호작용할 때 안전한 관행을 이해하는 것이 포함됩니다.

요약하자면, OT 보안은 현대 사이버 보안 전략의 중요한 구성 요소이며, 조직이 상호 연결된 시스템에 점점 더 의존하게 됨에 따라 그 중요성이 더욱 부각되고 있습니다. 이 분야에서의 보안 위반이 초래할 수 있는 잠재적 결과는 사전 예방적 조치와 포괄적인 보안 프레임워크의 중요성을 강조합니다.

OT보안과 IT보안의 차이점

IT와 OT의 정의

  • IT(정보 기술): 데이터와 정보를 관리하고 처리하는 시스템으로, 서버, 컴퓨터, 소프트웨어 애플리케이션, 데이터베이스 등을 포함합니다. IT의 주요 목적은 비즈니스 운영을 지원하는 데이터와 정보를 관리하는 것입니다. 
  • OT(운영 기술): 물리적 장치를 관리하고 제어하는 시스템으로, 산업 제어 시스템(ICS), 센서, 로봇 등을 포함합니다. OT의 주요 목적은 물리적 프로세스의 제어와 자동화를 관리하는 것입니다. 

IT와 OT의 주요 차이점

1. 시스템의 초점

  • IT: 데이터와 커뮤니케이션에 중점을 두며, 정보의 흐름과 저장, 분석을 관리합니다.
  • OT: 행동과 결과에 중점을 두며, 물리적 프로세스와 장치의 제어를 관리합니다. 

2. 시스템의 구조

  • IT 시스템: 일반적으로 개방형 구조를 가지고 있으며, 다양한 소프트웨어와 하드웨어가 통합되어 있습니다.
  • OT 시스템: 자율적이고 독립적이며, 종종 독점 소프트웨어를 사용하여 운영됩니다. 

3. 보안 접근 방식

  • IT 보안: 데이터의 기밀성, 무결성 및 가용성을 보장하는 데 중점을 두며, 사용자 인증과 데이터 암호화가 중요합니다. 
  • OT 보안: 물리적 장치와 시스템의 안전성을 보장하는 데 중점을 두며, 사이버 공격에 대한 대응이 느릴 수 있습니다. 

4. 위험 관리

  • IT: 데이터 유출이나 해킹과 같은 사이버 공격에 대한 위험 관리가 중요합니다.
  • OT: 시스템의 물리적 손상이나 중단이 발생할 경우 큰 피해를 초래할 수 있으므로, 위험 관리가 매우 중요합니다. 

OT와 IT 보안의 차이점

IT 보안은 정보 시스템, 데이터베이스 및 사용자 접근을 인터넷 프로토콜을 통해 네트워크에서 보호하는 데 중점을 둡니다. 전통적으로 기업은 방화벽을 배치하여 네트워크 내외부의 정보를 허용하며, 때로는 SIEM과 같은 능동적인 시스템과 결합합니다.

OT 보안은 주로 산업 시스템과 네트워크를 사이버 공격이나 내부의 악의적인 직원으로부터 보호하는 데 사용됩니다. 이 산업 IoT는 이제 물리적 시스템을 원격으로 모니터링하거나 제어하기 위해 인터넷에 연결된 ICS 및 SCADA 네트워크를 포함합니다. 과거에는 산업 시스템이 주로 인트라넷에서 운영되었고 외부 세계와의 연결이 없었습니다.

IT와 OT 보안은 비슷해 보일 수 있지만, 상당히 다릅니다. 가장 큰 차이점 중 하나는 OT 보안이 과거에 폐쇄 시스템의 일부였던 네트워크와 장치를 포함한다는 점입니다. IT 보안에서의 침해는 정보 손실로 이어질 수 있지만, 산업 시스템의 침해는 파이프가 터지거나 원심분리가 통제 불능 상태가 되는 등의 결과를 초래할 수 있습니다.

이러한 물리적 장치가 인터넷에 접근 가능해짐에 따라 IT와 OT 보안은 조화롭게 적용되어 산업 네트워크를 보호하고 내부 또는 외부에서 무단 변경이 이루어지지 않도록 해야 합니다.

  • 목표: IT 보안은 주로 데이터 보호와 네트워크 보안에 중점을 두는 반면, OT 보안은 시스템의 가용성과 안전한 운영에 더 큰 비중을 둡니다.
  • 위협 모델: OT 시스템은 실시간 운영이 중요하며, 중단이나 장애가 발생할 경우 심각한 물리적 피해나 안전 사고로 이어질 수 있습니다.
  • 업데이트 주기: IT 시스템은 정기적인 업데이트와 패치가 가능하지만, OT 시스템은 가동 중단이 어려워 업데이트가 더 어렵고 드물게 이루어집니다.
반응형

OT보안 주요 요소 및 중요성

OT 보안의 주요 3요소

  1. 무결성: 시스템과 데이터의 정확성과 일관성을 유지하고, 불법적인 변경을 방지합니다.
  2. 가용성: 필요한 시기에 시스템과 데이터를 사용할 수 있도록 보장합니다.
  3. 기밀성: 민감한 정보와 데이터가 권한이 없는 접근으로부터 보호되도록 합니다.

OT 보안의 주요 기

운영 기술(OT) 보안은 여러 계층으로 구성되어 있으며, 일반적으로 산업 네트워크의 트래픽 분석에서 시작됩니다. 이러한 시스템은 다른 모든 것과 격리되어 있어 검사하고 분석해야 할 네트워크 트래픽의 총량이 줄어듭니다. 다음은 OT 보안의 주요 기능들입니다:

1. 트래픽 분석 및 모니터링

  • 기본선 설정: 네트워크 트래픽이 적기 때문에, 정상적인 트래픽 패턴을 빠르게 설정할 수 있습니다. 이를 통해 비정상적인 활동이나 변화에 대한 경고를 설정할 수 있습니다.
  • 행동 분석: 많은 OT 보안 공급업체는 행동 분석과 기본선 분석을 결합하여 경고를 생성하고, 때로는 문제를 해결하기 위해 자동화를 배치합니다.

2. 실시간 경고 시스템

  • 특정 직원이 권한이 없는 방식으로 기계에 접근하거나 제어를 수정하려고 시도하는 경우, 즉시 경고를 발송할 수 있습니다. 이러한 경고는 감독자에게 전달되며, 해당 직원의 계정은 상황을 더 철저히 조사할 때까지 일시적으로 잠길 수 있습니다.

3. 조기 공격 탐지

  • 많은 자동화 및 모니터링 시스템은 공격이 초기 단계에 있을 때 경고를 제공하여, 공격이 본격적으로 진행되기 전에 차단할 수 있는 기회를 제공합니다.

4. 맞춤형 접근 제어

  • OT 보안 솔루션은 ICS(산업 제어 시스템) 및 SCADA(감시 제어 및 데이터 수집) 시스템에 맞춤형 접근 제어 솔루션을 제공합니다. 이를 통해 심층적인 접근 제어, 정책 기반 규칙 세트 및 감사 보고서를 생성할 수 있습니다.

5. 확장성

  • 많은 OT 보안 공급업체는 수십 개에서 수천 개의 센서 및 산업 기계를 보호할 수 있는 확장 가능한 솔루션을 제공합니다. 이는 다양한 규모의 산업 환경에 적합합니다.

6. 비가동 시간 최소화

  • OT 보안 솔루션은 가동 중단이나 비준수 위험 없이 구현될 수 있어야 합니다. 폐쇄된 산업 시스템에서 인터넷 연결 시스템으로의 전환을 관리하는 데 필요한 도구나 공급업체는 IT와 OT 보안을 원활하게 통합할 수 있는 능력을 가져야 합니다.

7. 정책 기반 관리

  • OT 보안 솔루션은 정책 기반 규칙을 설정하여 특정 행동이나 접근을 제어할 수 있습니다. 이를 통해 보안 정책을 준수하고, 규정 준수를 보장할 수 있습니다.

OT 보안의 중요성

OT 보안은 산업 운영의 지속성과 안전을 보장하기 위해 매우 중요합니다. 사이버 공격이 OT 시스템에 미치는 영향은 생산 중단, 재정적 손실, 환경적 피해, 심지어 인명 피해까지 발생할 수 있습니다. 따라서 OT 보안은 산업 시설의 신뢰성과 안전을 유지하는 데 필수적인 요소입니다. 이와 같은 이유로, OT 보안은 전통적인 IT 보안과 함께 현대 산업 환경에서 필수적인 부분으로 자리잡고 있습니다.

 

제조업 디지털 혁신을 위한 OT보안 전략

제조업의 디지털 혁신은 운영 효율성을 높이고 생산성을 극대화하며, 새로운 비즈니스 모델을 창출하는 것을 목표로 합니다. 이 과정에서 OT(Operational Technology) 보안은 매우 중요한 역할을 합니다. 디지털 혁신을 성공적으로 구현하기 위해서는 OT 시스템의 안전성과 신뢰성을 보장하는 보안 전략이 필수적입니다. 다음은 제조업의 디지털 혁신을 위한 OT 보안 전략에 대한 설명입니다.

1. 네트워크 분리 및 세분화

목적: 잠재적인 보안 침해가 확산되는 것을 방지하고 각 네트워크 영역의 보안 수준을 높입니다.

  • 방법: 생산 네트워크와 IT 네트워크를 분리하고, 각 네트워크 내에 세그먼트를 만들어 중요 자산과 일반 자산을 구분합니다. VLAN(Virtual Local Area Networks) 및 방화벽을 사용하여 네트워크를 세분화합니다.

2. 실시간 모니터링 및 위협 탐지

목적: 이상 징후나 잠재적 위협을 조기에 발견하고 신속하게 대응합니다.

  • 방법: SIEM(Security Information and Event Management) 시스템을 도입하여 실시간으로 로그를 분석하고, IDS/IPS(Intrusion Detection/Prevention Systems)와 같은 위협 탐지 도구를 활용합니다.

3. 강력한 접근 제어

목적: 권한이 없는 사용자가 중요한 시스템에 접근하지 못하도록 방지합니다.

  • 방법: 다중 인증(MFA), 역할 기반 접근 제어(RBAC), 세분화된 접근 정책을 구현합니다. 또한, 모든 접근 기록을 남기고 주기적으로 검토합니다.

4. 보안 패치 및 업데이트 관리

목적: 시스템 취약점을 최소화하고 최신 보안 위협에 대응합니다.

  • 방법: OT 시스템의 패치 관리 정책을 수립하고, 정기적인 보안 업데이트를 수행합니다. 가동 중단 시간을 최소화하기 위해 백업 계획과 패치 테스트를 철저히 시행합니다.

5. 물리적 보안 강화

목적: 물리적 접근을 통한 보안 위협을 방지합니다.

  • 방법: 중요한 OT 장비와 시스템에 대한 출입 통제, 감시 카메라 설치, 침입 감지 시스템을 도입합니다.

6. 교육 및 훈련 프로그램

목적: 직원들이 보안 인식을 높이고 보안 위협에 대응할 수 있도록 준비합니다.

  • 방법: 정기적인 보안 교육 및 훈련 프로그램을 운영하여 최신 보안 위협과 대응 방안을 교육합니다. 시뮬레이션 훈련을 통해 실제 상황에서의 대응 능력을 향상시킵니다.

7. 데이터 암호화 및 보호

목적: 데이터의 기밀성과 무결성을 유지합니다.

  • 방법: 중요한 데이터는 전송 중 및 저장 시 암호화하고, 암호화 키를 안전하게 관리합니다. 데이터 무결성 검사를 주기적으로 수행합니다.

8. 지속적인 평가 및 개선

목적: 보안 전략의 효과성을 지속적으로 평가하고 개선합니다.

  • 방법: 정기적인 보안 평가와 침투 테스트를 실시하여 보안 취약점을 발견하고 보완합니다. 새로운 보안 위협에 대비하기 위해 최신 보안 트렌드를 반영한 정책과 절차를 지속적으로 업데이트합니다.

9. 규제 준수

목적: 법적 요구사항을 준수하고, 규제 위반으로 인한 리스크를 최소화합니다.

  • 방법: 산업별 보안 표준과 규제를 철저히 준수하고, 관련 문서를 체계적으로 관리합니다. 규제 변화에 신속히 대응할 수 있는 체계를 마련합니다.

 

시스코의 OT 보안 전략

Cisco는 산업 스위치와 라우터에 운영 기술(OT) 보안 기능을 통합하여 네트워크 관리자가 OT 보안을 대규모로 쉽게 배포할 수 있도록 하고 있습니다. 이 접근 방식은 전통적인 OT 보안 방법의 복잡성과 비용 문제를 해결하는 데 중점을 두고 있습니다

시스코의 OT 보안 기능

1. OT 보안 통합

  • 기능 통합: Cisco는 OT 보안 기능을 산업 스위치와 라우터에 직접 내장하여, 네트워크가 연결된 모든 장치를 인식하고 OT 보안 상태를 평가할 수 있도록 합니다. 
  • 제로 트러스트 네트워크 접근(ZTNA): 이 기능은 원격 접근을 안전하게 관리하고, 보안 정책을 시행하는 데 도움을 줍니다. 

2. 전통적인 OT 보안 방법의 한계

  • 복잡성: 기존의 OT 보안 방법은 전용 장비를 배포해야 하며, 이는 가시성, 위협 탐지, 네트워크 분할 및 안전한 원격 접근을 위한 복잡한 시스템을 요구합니다.
  • 비용 문제: 이러한 방법은 종종 비용이 많이 들고 비효율적일 수 있습니다. 

3. 시스코의 솔루션

  • 간소화된 배포: Cisco는 OT 보안 기능을 네트워크 장비에 통합함으로써, 관리자가 복잡한 시스템을 운영할 필요 없이 보안을 강화할 수 있도록 합니다.
  • 통합된 보안 관리: IT와 OT 보안을 통합하여, 기업이 보다 효과적으로 보안을 관리할 수 있도록 지원합니다. 

시스코는 최근에 Secure Equipment Access를 출시하여 운영 기술(OT) 자산에 대한 원격 접근을 간소화하고, 산업 워크플로우에 제로 트러스트 네트워크 접근(ZTNA)을 도입하고 있습니다. 이 솔루션은 산업 스위치와 라우터에 직접 내장되어 추가 하드웨어 없이도 안전한 원격 접근을 가능하게 합니다.

Cisco Secure Equipment Access

1. 기능 및 이점

  • 원격 접근 간소화: Secure Equipment Access는 OT 자산에 대한 원격 접근을 간소화하여, 사용자가 쉽게 관리할 수 있도록 돕습니다. 
  • NAT 경계 내 OT 자산 접근: 이 솔루션은 네트워크 주소 변환(NAT) 경계 뒤에 있는 OT 자산에 대한 안전한 접근을 제공합니다. 

2. ZTNA의 통합

  • ZTNA 솔루션 개발: Cisco는 OT 환경의 제약을 충족시키기 위해 특별히 설계된 ZTNA 솔루션을 개발했습니다. 
  • 클라우드 서비스: Secure Equipment Access는 클라우드 기반 서비스로, 기업이 산업 워크플로우에 ZTNA의 이점을 쉽게 적용할 수 있도록 합니다. 

3. 사용자 제어 및 가시성

  • 제어 및 가시성 유지: 이 솔루션은 최종 사용자에게 원격 접근을 간소화하면서도 가시성과 제어를 유지할 수 있도록 합니다. 예를 들어, 공장 소유자는 특정 공급업체가 어떤 기계에 접근할 수 있는지를 결정할 수 있습니다. 
  • 세션 기록 및 관리: 사용자는 세션을 기록하고, 일정을 관리하며, 누가 어떤 작업을 수행했는지를 확인할 수 있는 단일 대시보드를 제공합니다. 

Forrester는 시스코를 OT 보안 시장의 리더로 선정하였으며, Palo Alto Networks와 함께 이 분야에서 두각을 나타내고 있습니다. 시스코의 Industrial Threat Defense는 IT와 OT 환경 전반에 걸쳐 보호, 탐지 및 복구를 위한 포괄적인 솔루션으로 평가받고 있습니다.

시스코 산업 위협 방어(Industrial Threat Defense)

1. 포괄적인 OT 보안 솔루션

  • IT와 OT 통합: Cisco Industrial Threat Defense는 IT와 OT 네트워크의 가시성을 통합하여 보안을 강화합니다. 
  • Splunk와의 통합: 이 솔루션은 Splunk 보안 플랫폼과 통합되어, 보안 팀이 사건을 상관관계 지을 수 있도록 돕습니다. 

2. 고급 위협 탐지 및 대응

  • XDR 기능: Cisco의 확장 탐지 및 대응(XDR) 기능과 결합하여, 보안 팀이 고급 위협을 더 빠르게 탐지하고 전체 보안 스택에서 복구를 조정할 수 있도록 지원합니다. 
  • 신속한 사건 대응: 이 솔루션은 사건 발생 시 신속하게 대응할 수 있는 기능을 제공합니다.

3. 혁신 전략

  • 내부 개발 및 전략적 인수: Cisco의 OT 혁신 전략은 내부 개발과 Splunk와 같은 전략적 인수를 통해 포괄적인 플랫폼을 구축하는 데 중점을 두고 있습니다. 
  • 클라우드 통합: Cisco는 IT와 OT 도메인을 통합하기 위한 tighter cloud integration을 로드맵에 포함하고 있습니다.

Cisco는 Splunk와의 통합을 통해 OT(운영 기술) 규정 준수 기능을 강화하고 있습니다. Forrester의 보고서에 따르면, Cisco의 OT 보안 솔루션은 포괄적인 규제 준수 추적, 점수 매기기, 보고 및 워크플로우 기능을 제공하지 않아 고객이 IEC 62443 및 NERC CIP 준수를 Splunk 또는 외부 플랫폼에서 추적해야 한다고 지적했습니다.

시스코와 Splunk의 통합

1. 규정 준수 요구 사항 처리

  • Splunk의 보고 기능: Splunk의 보고 기능은 고객이 NERC CIP 및 IEC 62443와 같은 규정 준수 요구 사항을 처리하는 데 도움을 줍니다. Pasquier는 "산업 세계에서는 많은 규정 준수를 해야 한다"고 설명했습니다. 
  • 보고서 생성: Splunk는 이러한 보고서를 생성할 수 있는 능력을 갖추고 있습니다. 

2. 데이터 통합 및 향상된 기능

  • Cisco Cyber Vision 통합: Cisco는 Cyber Vision과 같은 자사의 제품에서 더 많은 데이터를 통합하여 보다 풍부하고 상세한 보고서를 제공할 계획입니다. 
  • 향후 개선 계획: Pasquier는 "Splunk와의 통합이 더욱 개선될 것"이라고 언급하며, 6개월에서 12개월 후에 많은 뉴스가 있을 것이라고 예고했습니다. 

시스코 Cyber Vision의 역할

Cisco Cyber Vision은 OT 환경의 가시성을 높이고, 보안 위협을 탐지하는 데 중요한 역할을 합니다. 이 솔루션은 다음과 같은 기능을 제공합니다:

  • 산업 자산 정보 수집: Cyber Vision은 산업 자산, 취약점 및 활동에 대한 정보를 수집하여 Splunk와 통합할 수 있습니다. 
  • SIEM 통합: Cyber Vision은 Splunk와 같은 주요 SIEM 시스템과 원활하게 통합되어, 보안 정보 및 이벤트 관리 기능을 강화합니다. 

 

반응형
저작자표시 비영리 변경금지

'IT기술' 카테고리의 다른 글

RON(Routed Optical Networking)이란 무엇인가  (0) 2024.08.10
OT보안, 선택의 기준은 ?  (0) 2024.07.25
RoCE란 무엇인가  (0) 2024.06.25
AI 시대의 주역, 플랫폼 엔지니어  (0) 2024.06.19
HSRP와 VRRP의 차이에 대해 알아보자  (0) 2024.06.16

관련글

댓글

티스토리툴바