Home > 전체기사

[구축사례] K-water 창원권지사의 OT 보안 강화 프로젝트

  |  입력 : 2021-09-27 11:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기반시설 K-water와 정보보호 전문기업 한드림넷의 성공적인 성과공유제 활용사례
기반시설 정보통신망 보안 강화를 위한 OT 보안 솔루션 ‘화이트리스트 보안스위치’ 개발


[보안뉴스 원병철 기자] 얼마 전, 국내 물 관리를 담당하는 공기업인 K-water(한국수자원공사)와 국내 대표 보안기업인 한드림넷이 성과공유제로 기반시설 정보통신망 보안 강화를 위한 OT 보안 솔루션 ‘화이트리스트 보안스위치’를 개발했다. 특히, 해당 솔루션은 지난 12월에 열린 ‘서울국제발명전시회’에서 대상을 수상해 그 뛰어남을 증명한 바 있는데, K-water와 한드림넷은 K-water 창원권지사에 이를 적용함으로써 현장 테스트까지 모두 마쳤다.

▲K-water 창원권지사[사진=한드림넷]


K-water 창원권지사는 낙동강을 취수원으로 하는 수자원 개발·관리 기관으로, 창원지역의 생활용수, 공업용수 등의 공급을 원활하게 하며, 깨끗하고 안전한 수돗물 공급을 위해 수질을 개선함으로써 창원시민의 생활 향상과 공공복리 증진에 기여하기 위해 설립됐다. 주요 업무는 수도 관로 시설관리, 용수공급 확대, 수돗물 생산 및 공급, 전력 수급, 수질 관리, 정보통신·기계 설비 관리 및 운영 등이다.

창원권지사에 시범 구축한 OT 보안 솔루션
K-water가 관리하는 수십 개의 지사 및 관리단 중 창원권지사에 이번에 개발된 OT 보안 솔루션을 시범 구축한 이유는 창원권지사의 김윤하 차장(현 완도수도지사)이 개발의 핵심인력 중 한명이었기 때문이다. 특히, 김윤하 차장은 이번 OT 보안 솔루션 개발에서 현장 장비 테스트와 기술 검증, 특허 출원 등 주요한 부분을 맡았다.

김윤하 차장은 “OA망은 통신망 관제 시스템들이 잘 구축되어 있지만, 제어망은 이러한 부분이 전무하다 할 정도로 부족하다”면서, “이를 개선하기 위해 관련 솔루션을 찾아봤지만, 개별적으로 정수장에 도입하기에는 너무 많은 비용이 들어 더 효율적으로 적용할 수 있는 방법을 찾다가 이번 시스템 개발에 참여하게 됐다”고 설명했다.

OA망과 FA망은 트래픽의 차이가 명확하다. OA망은 데이터의 출발과 목적지가 불분명하며, 어떠한 서비스를 이용할지 모르는데다, 불특정 다수의 서비스를 이용하기 때문에, 보안을 위해 다양한 상황에 대응할 수 있는 고가의 장비들이 필요하다. 반면, FA망은 정해진 단말과 정해진 서비스를 이용하기 때문에, 해당 특징에 적합한 보안기능을 포함한 통신 장비들이 있으면 좋겠다는 생각에서 시작한 것이 바로 이번 OT 보안 솔루션 개발의 시발점이었다고 김윤하 차장은 설명했다.

솔루션을 구축하면서 가장 어려웠던 점은 오피스 네트워크 쪽에서 이중화를 구현하는 부분과 산업망에 쓰고 있는 설비들의 이중화 구현 방식이 다르다는 것이었다. 예를 들면, PLC라고 하는 제어기와 같은 경우, IP를 공유하는 게 아니고 MAC 어드레스를 바꾸는 방식이다. 이처럼 오피스 네트워크와 산업용 제어 시스템들은 운영 방식이 다르기 때문에 완전히 구별돼 있었다.

아울러 테스트 중 제어가 되지 않는 상황이 발생하면, 정수장과 가까이 있는 설비동까지는 바로 갈 수 있으나, 취수장, 펌프장, 가압장 등과 같은 원격지 시설의 경우 보통 차량으로 20분~30분 이상 움직여야 했던 점도 문제였다. 그 과정에서 K-water가 급수하는 한 도시, 심지어 여러 도시에 단수가 발생할 수도 있기 때문에 테스트 과정에서 실수가 용납되지 않았다.

그럼에도 불구하고 K-water와 한드림넷의 도전은 창원권지사에서 성공적으로 정착했다. 화이트리스트 보안스위치를 도입하기 전에는 장비의 LED가 들어오는지 정도만 확인하는 등 장비와 FA망에 대한 운영 상황을 파악하는 부분이 매우 어려웠다. 하지만 화이트리스트 보안스위치의 도입 이후 관제역량이 매우 좋아졌다는 것이 김윤하 차장의 설명이다. 가시성이 확보되면서 망 내부에서 이상 행동이 발생되면 그 즉시 확인할 수 있는 체계가 갖춰졌고, 관리하는 망을 이해하고 상태 변화를 감지할 수 있는 인지 수단이 제공됐기 때문이다.

이와 관련해 김윤하 차장은 “최소한 망을 관리하는 담당자라면 내가 운영하고 있는 망이 실제로 어떤 상태이며, 어떤 서비스가 어떤 형태로 운영되고 있는지 정도는 파악해야 된다고 생각한다”면서, “최근 대규모 피해를 입을 수 있는 기반시설의 네트워크나 통신망의 관리에 대한 중요성이 증가되고 있는 상황에서 꼭 화이트리스트 보안스위치가 아니더라도 자체적으로 관리할 수 있는 체계적인 방안을 찾아야 할 것”이라고 강조했다.

▲화이트리스트 보안스위치 개발의 주역인 김윤하 차장(좌)과 유철 차장(우)[사진=한드림넷]


산업용 국제 표준인 Modbus-TCP 지원해 현장 니즈 대응
처음 화이트리스트 보안스위치 아이디어를 착안했던 유철 차장도 이러한 점을 지적했다. 일반적으로 기반시설의 설비는 넓은 대지에 각 시설동에 위치해 있고, 이 시설동들이 네트워크로 연결되어 있는데, 문제는 이 구간에서 스니핑이나 스푸핑 등 보안위협이 발생했을 때 대응할 수 있는 대책이 별로 없다는 점이다. 유철 차장은 “처음에는 L2 스위치에 암호화 기능을 넣어 네트워크 스위치 간 통신을 보호하고자 했지만, L2장비에 암호화를 넣는 것은 고도의 기술력과 SW 개발능력을 필요로 하는 부분이었다”면서, 다행히 한드림넷이 적극적으로 참여해 축적된 기술력과 제조 능력으로 구간암호화 기술 개발을 완료할 수 있었다고 설명했다.

특히, 화이트리스트 보안스위치는 산업용 국제표준 프로토콜인 Modbus-TCP를 지원한다는 점에서 현장의 니즈를 정확히 대응한다고 강조했다. 유철 차장에 따르면, IT 분야에서는 여러 프로토콜이 있는데 그 중에 TCP-IP가 대표적인 프로토콜이다. 산업용 OT 환경에서도 이와 마찬가지로 주로 사용하는 프로토콜 중에 독일 PLC제조사 Modicon에서 만든 모드버스(Modbus)라는 프로토콜이 대표적으로 사용되면서 거의 산업용 표준으로 자리 잡았다. K-water 역시 현장의 수위, 유량, 압력값을 취합해 상위 시스템으로 송수신하는 PLC와 이러한 데이터를 취득하여 정보를 가공, 처리하는 스카다(SCADA) 시스템 등에 Modbus 프로토콜을 사용하고 있다. 즉, 산업용 시스템은 Modbus 프로토콜을 기반으로 네트워킹 된다는 설명이다.

문제는 IT쪽에서 일반 노드들끼리 통신할 때 주로 TCP-IP를 사용하다 보니, IT 보안 장비 중에 Modbus를 지원되는 장비가 없었다는 점이다. 그래서 이번에 개발된 화이트리스트 보안스위치가 국제표준 프로토콜인 Modbus를 지원한다는 것은 K-water 뿐만 아니라, 타 기반시설을 비롯해 해외의 모든 산업용 기기를 사용하는 OT 환경에서 자유롭게 사용이 가능하도록 했다는 것을 의미한다.

또한, 화이트리스트 보안스위치를 공장자동화 소프트웨어인 HMI에서 바라보면, 기존과 같이 별도의 보안장비 관리 프로그램을 사용하는 것이 아니라 일반 계측 장비와 동일하게 같이 HMI에 등록해, 한 화면에서 보안스위치의 감시제어까지 할 수 있게 되면서 접근성이 매우 높아졌다. 예를 들면, 정수장만 하더라도 크고 작은 계측기가 약 1,000여 대가 넘게 있는데, 만약 보안사고가 발생하면 어디에서 문제가 생겼는지 감지하기가 굉장히 어렵고, 설령 감지한다 치더라도 대응이 쉽지 않다. 더욱이 현장 운영자의 입장에서 네트워크 문제 발생 시, 보안에 의한 사고인지 계측기 고장으로 인한 사고인지 구분하기 힘들다.

하지만, 화이트리스트 보안스위치를 적용하면 일반 직원들도 HMI 화면을 통해 보안 사고인지, 네트워크 장애인지 빠르게 파악할 수 있고, 보안사고가 발생한 노드를 끊어버리거나 고장 장비를 대체하는 등 즉각적인 대응이 가능하게 되었다는 것이 유철 차장의 설명이다.

▲화이트리스트 보안 스위치 구성도[자료=한드림넷]


폐쇄망으로 모든 보안위협 막을 수 없어...별도의 보안대책 마련해야
K-water와 한드림넷의 화이트리스트 보안스위치 개발에 참여했던 오은 부장(당시 K-water 정보보안센터장)은 “사실상 데이터가 생성되는 상수도 공정 전반에 모두 사용된다고 해도 과언이 아니다”라고 말했다. 왜냐하면 모든 공정은 유기적으로 연계되어 있고, 전 공정에서 생성된 데이터는 후속공정의 운영자료로 활용되기 때문이다. 아울러 데이터 생성을 위해 모든 공정에 원격 감시제어 시스템이 구축되고, 그 원격 감시제어 시스템은 화이트리스트 보안스위치의 관리대상이 된다. 특히, 폐쇄망의 형태로 보안장비 없이 운영됐던 기반시설망에 화이트리스트 보안스위치를 도입함으로 강력한 보안체계를 갖출 수 있게 됐다.

예를 들면, K-water는 정보통신기반보호법에 의해 주요정보통신기반시설로 댐홍수경보시스템, 발전통합운영시스템, 수도통합운영시스템 총 3개시설이 지정 관리되고 있다. 이 3개 기반시설망은 근본적으로 폐쇄망으로 설계되어 운영되고 있지만, 최근 세계적으로 사이버공격의 기술이 고도화되면서 폐쇄망으로 되어 있는 기반시설망조차도 공격당하는 이슈가 발생하면서 대책 마련이 시급해졌다. 하지만 혹시 있을지 모르는 백도어 등 보안을 강화하기 위해서는 비용이나 인력 등의 현실적인 어려움이 있으며, 새로운 기술 발전으로 외부 침입 기술의 고도화와 지능화, 그리고 지속적인 공격 등에도 대책 마련이 필요하다.

오은 부장은 “더 이상 폐쇄망이 보안의 안전지대라는 안일한 생각은 버려야 할 시기가 왔다”면서, “ICT 기술의 눈부신 발전과 기계, 전기, 통신, 환경 등 모든 기기의 디지털화는 시스템 운영의 편리성이 높아지는 만큼 사이버 보안사고의 위험도 함께 증가한다는 사실을 명심해야 하고 그에 따른 보완대책을 미리 준비해야 내실 있는 보안관리가 될 것”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)