2020-11-27 20:35 (금)
[CPS 보안워크숍] 박진성 상무 “ICS 컴퓨터 대상 공격 발생 국가 랭크서 한국 9위”
상태바
[CPS 보안워크숍] 박진성 상무 “ICS 컴퓨터 대상 공격 발생 국가 랭크서 한국 9위”
  • 길민권 기자
  • 승인 2020.10.20 18:20
이 기사를 공유합니다

카스퍼스키, OT 백신과 OT 이상징후 탐지시스템 분야서 글로벌 대표 기업중 하나
10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 박진성 쿠도커뮤니케이션 상무(사진)가 카스퍼스키 OT 보안 전략에 대해 강연을 진행하고 있다.(데일리시큐=제주)
10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 박진성 쿠도커뮤니케이션 상무(사진)가 카스퍼스키 OT 보안 전략에 대해 강연을 진행하고 있다.(데일리시큐=제주)

지난 10월 15일 제주에서 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 박진성 쿠도커뮤니케이션 상무는 ‘Detection, Prevention and Secure Connected Solutions for OT/ICS Industries’란 주제로 강연을 진행했다.

쿠도커뮤니케이션이 단독 총판으로 국내에 공급중인 카스퍼스키 OT 백신과 OT 이상징후 탐지시스템은 21개의 국가에서 주요 기반시설을 대상으로 벌어지는 보안 위협에 대해 예측, 예방, 탐지 및 대응을 하는 100개가 넘는 프로젝트를 진행하고 있다.

가트너 “카스퍼스키, OT 보안분야 대표 벤더중 하나로 인정”

가트너는 2018년 10월 29일에 발간한 ‘Competitive Landscape: Operational Technology Security’라는 리포트에서 카스퍼스키를 OT 엔드포인트 보안, OT 네트워크 모니터링 및 가시성, 이상징후 탐지/사고 분석/리포트 그리고 다양한 보안 서비스를 제공하는 대표적 벤더중 하나로 인정하고 있으며, 산업제어시스템 분야의 보안 연구를 위해 ICS CERT를 직접 운영하면서 산업 사이버 보안에 대한 최신 위협 인텔리전스와 침해 사고 대응 및 컨설팅에 이르는 다양한 정보 서비스를 제공하는 특수 비상업적 프로젝트를 운영하고 있다.

2019년 하반기에 카스퍼스키는 카스퍼스키 OT 백신에 의해 보호되는 약 20만개 이상의 ICS(산업제어시스템) 컴퓨터로부터 수신된 데이터를 기반으로 "Threat Landscape for Industrial Automation Systems"라는 보고서(클릭)를 제출했다.

대표적인 ICS 구성요소인 SCADA 서버, 히스토리안 서버, OPC, 운영자 및 엔지니어링용 워크스테이션, 랩탑, HMI, 관리 서버에 대해 보고기간 동안 익명화된 정보 안에서 공격 당한 컴퓨터 수와 총 컴퓨터 수의 비율을 사용해 통계를 작성했다.

가장 많이 공격된 산업부문은 '공장 자동화 영역'으로, 악의적인 객체가 차단된 ISC 컴퓨터 중 가장 높은 비율(38%)을 차지했다.

“OT 네트워크, 인터넷에 연결되어 악성코드에 감염될 가능성 커”

박진성 상무는 “ICS 컴퓨터에서 차단된 위협 분석에서 가장 주목할 점은 망분리되어 있지 않은 OT 네트워크가 인터넷에 연결되어 악성코드에 감염될 소지가 다분하다는 것이다. 이는 생산망 역시 웹에 직접 연결 또는 회사 네트워크를 이용해 외부 인터넷과 연결되어 있음을 뜻한다”며 “설비의 공정 로직을 업데이트하기 위해 무심코 사용하는 이동식 저장 장치(USB 메모리)가 악성코드에 감염되었을 수도 있다. 이는 직원 및 외부 방문자가 가지고 있는 낮은 레벨의 사이버 보안 인식의 단면을 보여준다. 설비 운영자의 이메일 클라이언트도 피싱 캠페인에 사용될 수 있다. 실제로 2019년에 랜섬웨어 공격을 받은 전체 사용자 중 35%의 사용자가 워너크라이(WannaCry) 공격을 받았다”고 설명했다.

또 “2020년 6월을 기준으로 보면 조사대상 ICS 컴퓨터 중에 실제 공격을 받은 범위는 16.1%이며, ICS 컴퓨터 대상 공격이 벌어진 국가 랭크에서 한국이 9위를 차지하고 있다”고 덧붙였다.


카스퍼스키 ICS 보안 제품군
카스퍼스키 ICS 보안 제품군

카스퍼스키, 산업제어시스템 보안 위해 KICS 제품군 출시

카스퍼스키는 산업제어시스템 보안을 위해 KICS(Kaspersky Industrial CyberSecurity)라는 제품군을 출시하고 있다.

'KICS for Nodes'는 OT 및 ICS 전용 백신으로 Legacy OS인 Win XP SP2를 지원하고 있으며, 적은 램 소모 및 낮은 점유율을 가지고 있어 대부분의 윈도우 임베디드(Windows Embedded)까지 커버하고 있다. 리눅스 또한 대부분의 32 비트 및 64 비트 OS를 지원하고 있다.

카스퍼스키는 현재 OT 사이버 보안 솔루션으로 시장에 공급되고 있는 사이버엑스, 클래로티, 노조미와 동종의 'KICS for Networks' OT 이상징후 탐지시스템도 공급중이다. KICS for Networks는 ICS 네트워크에 SPAN으로 미러링을 해 소프트웨어 또는 어플라이언스 형태로 수동적인 OT 자산 식별 및 인벤토리 작성, 딥 패킷 검사를 통한 실시간 통신 분석, 인증되지 않은 네트워크 호스트 및 흐름 감지를 위한 네트워크 무결성 제어, 유해한 네트워크 동작의 징후를 경보하는 침입 탐지, 산업 프로토콜의 커맨드 검사 등을 수행하며, 아크사이트, 스플렁크, 큐레이더 등 써드파티의 SIEM 제품과 API로 통합할 수 있다.

또한 카스퍼스키는 이상 징후 탐지를 위한 머신 러닝 기능(MLAD)을 제공해 실시간 원격 및 과거 데이터 마이닝(회귀 뉴럴 네트워크)을 통해 사이버 또는 물리적 위반행위을 검색한다.

OT의 네트워크 환경은 표준 TCP/IP 프로토콜이 아닌 OT 네트워크를 구성하는 벤더 기반의 프로토콜을 사용하기 때문에 어떠한 프로토콜을 지원하는 지가 중요하며 해당 프로토콜을 지원해야 DPI를 통해 이상징후를 관찰할 수 있다.

OT 네트워크의 이상징후 모니터링 툴을 제조업체들은 산업 통신 프로토콜에 대한 분석을 각각 다르게 구현한다. OT 이상징후 탐지시스템 제조업체가 지원되는 프로토콜의 세부 정보 없이 긴 목록만 보여주는 경우 프로토콜 지원 구현의 기술성을 자세히 살펴봐야 한다.

카스퍼스키는 사내 랩, 제조업체 및 엔지니어링 센터 랩 및 실제 환경에서도 주요 제조업체들이 마이크로프로세서를 사용해 KICS for Networks의 트래픽을 테스트할 수 있도록 해준다. KICS for Networks는 다양한 장치에서 데이터 전송 구현의 세부 사항을 고려하며 네트워크 공격 패턴을 정확하게 식별하기 위한 보안 정책을 생성할 때 특정 장치 유형을 선택할 수 있도록 허용한다. 트래픽 이상을 탐지하는 가장 빠른 방법은 소스/대상 주소 및 포트별로 패킷을 정렬하는 것이다. 또 네트워크 침입, 장치 구성 프로토콜을 통해 전송된 서비스 명령, 태그 값, 프로세싱에 로직을 적용할 수 있어 네트워크에서 악의적인 활동을 탐지하는 효율성이 크게 향상된다.

카스퍼스키는 기존에 제공하는 위협 인텔리전스의 데이터 피드에 ICS용 취약점 DB를 2020년 말에 고객에게 제공할 예정이다.


카스퍼스키, 대학·연구기관과의 협력 프로그램 제공

박진성 상무는 이날 발표에서 대학·연구기관과의 협력 프로그램도 소개했다.

이미 싱가포르의 Singapore University of Technology and Design, 이태리의 University of Genoa, 러시아의 Moscow Power Engineering Institute, Kazan State Power Engineering University, Gubkin Russian State University of Oil and Gas 등과 협력 프로그램이 진행중에 있으며, 한국의 대학, 교육기관, 학회 등에서도 산업제어 공정 모델링의 테스트베드를 보유하고 있거나 산업제어 관련 교육·훈련프로그램 또는 연구과제를 수행하고 있는 경우 이 프로그램에 응모할 수 있다.

참가자격이 부여된 대학·교육기관은 KICS for Nodes License, KICS for Networks License, Kaspersky MLAD(Machine Learning for Anomaly Detection)를 무상으로 제공받으며, 12개월의 기간 동안 KICS를 활용한 분기별 연구과제 결과물/활동내역 보고서를 총 4회 제출해야 한다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★