OT(Operational Technology) 보안의 글로벌 트렌드를 선도하고 있는 노조미네트웍스가 한국에 지사를 설립하고 본격적으로 사업을 전개한 지 2년 차에 접어들었다. 시큐리티 사업 특성에 걸맞는 가장 진보적인 기업문화를 보유한 회사로 평가 받는 노조미네트웍스 한국 사업의 선봉장인 박지용 지사장을 만나 기업의 IT/OT 관계자들 뿐만 아니라 공공 서비스 부분, 특히 스마트 시티로의 이행을 앞둔 현대인들에게 네트워크 보안 개념이 어떻게 변화해야 하는지 들어보았다.
노조미네트웍스는 산업 제어시스템 보안(OT Security) 분야에서 2013년 스타트업으로 출발했고 지난 10년간 눈부신 성장을 이룩하며 OT보안 업계 글로벌 1위 기업으로 등극했습니다. 노조미네트웍스의 가장 중요한 성공 요소는 무엇이었다고 보십니까?
노조미네트웍스는 이탈리아에서 창립된 지 10년 만에 전세계 20개국에 지사를 두고, 에너지, 제조, 유틸리티, 운송, 유통, 스마트 팩토리, 스마트 시티 등 광범위한 산업 분야의 7,600개 이상의 현장에서 8,200만 대 이상의 장치를 관제하는 등 글로벌 시장에서 기술력을 인정받고 있습니다. 이렇게 빠르게 성장한 데는 몇 가지 요소가 있습니다.
첫째는 혁신과 기술입니다. 스위스 멘드리시오에 있는 노조미 랩스에서는 끊임없는 연구 및 혁신의 노력으로 지속적으로 제품을 업그레이드하며 신제품을 내놓고 있습니다. 현업의 보안 담당자 두 사람이 창업한 노조미네트웍스는 철저한 현장 중심의 제품 개발철학을 보유하고 있습니다.
두 번째로는 다양한 파트너들과의 협업에 의한 상생 발전 전략이라고 할 수 있습니다. 시큐리티 산업의 특성상 우리는 고객사의 명칭을 직접 거명하여 호칭하지 않고 Top 5 안에 드는 공항, Top 10 안에 드는 빌딩 등으로 표현합니다. 이렇듯 완벽한 OT보안을 위해서는 어느 한 벤더만의 노력으로 가능하지 않고, 관계가 중요합니다.
노조미네트웍스는 이 사실을 잘 알고 있기 때문에 창립 초기부터 기존의 IT 및 IT보안 벤더, 컨설팅 벤더, 네트워크 관리 벤더 그리고 산업 영역의 ICS(Industrial Control System) 벤더 까지 아우르는 글로벌 Alliance & Channel 파트너 에코 시스템을 잘 유지 관리해 오고 있습니다. 그 외에도 여러 이유가 들 수 있지만 이 자리에서는 위 두 가지를 우선 말씀 드리고 싶습니다.
노조미네트웍스에서는 2022 하반기 국내 보안시장 전략을 발표한 바 있습니다, 이때 OT보안 강화의 핵심 방안으로 단순 OT보안 솔루션 도입 차원의 접근은 바람직하지 않고, 현업 부서와의 긴밀한 협업이 필요하다고 강조하셨는데, 이를 좀더 구체적으로 밝혀 주세요.
쉽게 설명 드리면 이런 개념입니다. 고객에게 성능 좋은 자동차를 드려도, 고객이 운전면허가 없거나 운전을 할 줄 모르면 무용지물이라는 이야기입니다.
사실 OT보안이라는 용어 자체도 한국에서는 아직까지 생소한 개념입니다. 그만큼 경험과 인력이 부족한 상태라고 볼 수 있습니다. 그러다 보니 한국 고객들이 가장 많이 힘들어 하는 부분이 OT보안 솔루션 도입 자체 보다는 OT보안 솔루션을 잘 운영할 수 있는 체계 마련이라고 생각합니다. 이를 위해서는 현재 고객사가 처해 있는 산업보안 영역에 대한 분석이 우선입니다. 현황을 잘 분석해서 조직, 기술, 설비 및 관리 방안에 대한 진단이 우선시 되어야 합니다. 따라서 가장 좋은 방법은 OT보안 컨설팅을 먼저 수행해 볼 것을 권해 드립니다.
해외 베스트 케이스와 비교해 보면 우선 조직 면에서 차이가 납니다. IT보안과는 많이 다른 영역이므로, 기존의 IT보안 조직 및 생산 현업 사이에 OT보안 전담 조직이 있어야 하는데, 한국 기업 중 완벽한 OT보안 전문 조직을 가지고 있는 곳은 거의 없다고 생각합니다. 그러다 보니 OT보안 솔루션 설치 후 제공되는 다양한 Alert 정보에 대해 그 의미를 정확하게 분석하고 대응할 수 있는 역량을 갖춘 전문가가 절대적으로 부족합니다. 또 솔루션의 운용 프로세스 및 유지보수 체계가 제대로 갖추어지지 않은 상황입니다. 그래서 OT보안 솔루션의 도입 뿐만 아니라 제대로 된 운영 역량도 중요하다고 말씀 드리고 싶습니다.
노조미네트웍스의 공동 창업자 안드레아 카카노(Andrea Carcano)씨는 작년 11월 한국을 방문하여 ‘노조미 원 패스'를 발표하면서 노조미네트웍스는 "보고, 탐지하고, 통합하는 데 초점을 맞추고 있다”고 강조했습니다. 노조미네트웍스 제품군의 특장점으로 가시화 솔루션을 열거할 수 있겠습니다. OT/IoT 보안에서 리얼 타임 가시성 확보는 어떤 프로세스를 통해 이루어집니까?
노조미네트웍스의 솔루션의 효과를 두 단어로 말씀 드리자면 가시화 및 위협 탐지(Asset Visibility & Threat Detection)입니다. OT 네트워크의 가시화 및 위협 탐지를 위해서는 ICS 벤더 장비들의 통신 프로토콜을 실시간으로 모니터링하고, 그 안에 있는 많은 정보와 위험성을 파악할 수 있어야 합니다. 이 모든 활동은 ‘가디언(Guardian)’이라는 센서에 의해 이루어집니다. 가디언 센서는 물리적인 어플리케이션 장비로써 고객사의 생산망 내, 통신 스위치에 설치되어 고객의 생산설비에 전혀 영향을 끼치지 않는 미러링 방식으로 통신 프로토콜 및 패킷을 분석하게 됩니다.
설비 레벨의 네트워크 통신 분석을 위해서는 기존의 IT보안 솔루션으로는 부족하며, 노조미의 ‘가디언’ 같은 센서만이 ICS 장비들의 프로토콜을 분석하고 가시화할 수 있습니다. 고객의 설비가 대형이고 분포가 넓을 수록 다수의 ‘가디언’ 센서들이 필요하게 되며, 이를 통합 분석하는 모니터링 툴인 CMC(Central Monitoring Console)가 필요하게 됩니다. 또한 ‘밴티지(Vantage)’라는 솔루션을 활용하면 제일 하단부의 OT망 통신 분석을 최상단의 Cloud 영역까지 끌어올릴 수 있게 됩니다.
4차 산업혁명 시대가 도래면서 사이버 보안의 패러다임이 IT 시스템의 보안에서 OT/IoT 시스템의 보안으로 변하고 있습니다. 노조미네트웍스에서는 전통 산업 즉 제조·화학·석유·전력 외에도 두바이 공항에 보안 솔루션을 공급하는 등, 운송·스마트빌딩·스마트시티 등의 분야로 사업 영역을 넓혀가는 것에 주력하고 있습니다. 시민들의 일상생활과 맞닿아 있는 이들 분야는 어떠한 신규 사이버 위협에 직면해 있습니까?
사실 국내에서는 OT보안 공격 사례가 언론에 잘 보도되지 않고 있을 뿐이지 이미 많은 기업이 생산망(OT망)에 대한 사이버 공격을 받고 있습니다. 사실 IT 업계를 겨냥한 공격과 대비해 보면 OT/IoT에 대한 공격은 훨씬 더 큰 파장을 일으킬 수 있기 때문에 주요 선진국들은 정부가 나서서 OT 보안망 구축을 드라이브하고 있는 실정입니다.
최근에 널리 회자되고 있는 것처럼 디지털 혁신이라는 큰 흐름에서, 인더스트리 4.0, 사물인터넷, 스마트시티, 스마트빌딩 등의 분야가 산업과 사회의 혁신을 리드하고 있습니다. 이는 곧 모든 사물 및 설비들이 인터넷으로 연결되고 있음을 뜻합니다. 사이버 공격자들의 입장에서는 엄청나게 크고 새로운 시장이 열리고 있다고 생각하시면 됩니다. 미국과 중국에 이은 세계 3번째 큰 시장이라고도 합니다.
해외 주요 사례를 통해서 발생가능한 위협을 생각해 보면, 전력망 해킹에 의한 정전 사태, 수처리 시설에 대한 오염 공격에 의한 수도 시설 마비, 공항이나 철도, 선박 등 운송 산업에 대한 공격으로 인한 대형 사고 및 인프라 마비 사태, 제조 공장이나 식품 공장에 대한 공격으로 인한 공장운영 마비, 화학/오일 & 가스 생산설비 공격에 의한 인명 사고, 병원 및 제약 생산 라인업 공격에 의한 인간 생명의 직접적인 위협, 군사 시설 및 기지에 대한 공격에 의한 전쟁 위협 등등 우리가 생각할 수 있는 것보다 훨씬 많은 사고 발생이 가능합니다.
노조미네트웍스가 사이버 교육 및 인증 기관인 SANS 인스티튜트에 의뢰해 진행한 'SANS OT/ICS 사이버 보안 보고서'에 의하면 공격자들은 제어시스템 구성 요소를 타겟으로 삼고 있으며 여전히 ICS 사이버 보안 위협 가능성이 높은 것으로 나타났습니다. 이와 견주어 우리나라 기업들의 산업 제어 시스템에 대한 보안 수준을 어떻게 평가하고 계십니까?
OT/IoT 보안 솔루션의 도입을 하는 이유를 보면 크게 두 가지입니다. 첫째는 실제 피해를 입었거나 유사 기업의 피해를 보고 도입을 검토하는 경우이고, 두 번째는 정부나 감사 기관 또는 발주처의 OT/IoT 보안 솔루션 구축 요구가 있는 경우입니다. 그렇지만 한국의 경우에는 이제 일부 대기업들 위주로 검토를 시작하는 정도의 단계입니다.
그러나 안타깝게도 OT/IoT 보안에 대한 개념이나 필요성에 대해 정확하게 이해를 하고 있는 고객이 극히 드문 상황인 것으로 파악됩니다. 기업뿐 아니라 정부 담당자나 기관에서도 마찬가지입니다. 기업이나 기관에서는 기존의 IT보안과의 차별점에 대해서도 이해를 못하다 보니 그에 대한 조직적인 대비나 예산 마련도 제대로 못하고 있는 상황입니다. 심지어는 IT는 본사 네트워크, OT는 현장 네트워크라고 거칠게 표현하시는 분들도 만난 적이 있습니다.
그리고 기존의 IT시스템의 경우는 수년간의 투자로 이미 백신, 망분리, 네트워크 보안 등등 많은 투자가 이루어졌기 때문에, OT/IoT 보안에 대한 투자는 중복 투자라고 생각을 할 수도 있습니다. 또한 생산설비 보안의 경우는 전통적으로 변화를 꺼려하는 보수적인 문화가 팽배해 있어서 새로운 솔루션 도입에 대한 검토 자체를 반대하는 경우도 종종 있습니다. 카카오의 데이터센터 방화 사건같이 앞으로 소 잃고 외양간 고치는 사태가 또 반복될 수도 있습니다.
노조미네트웍스의 솔루션은 인공지능 기술을 기반으로 구성되어 있다고 글로벌 분석 기관들이 높이 평가하고 있습니다. 노조미네트웍스에서는 OT보안 팀이 소규모로 운영되고 있는 기업에서도 손쉽게 도입하여 효율적으로 운영할 수 있는 서비스/제품도 제공하고 있습니까?
노조미네트웍스 솔루션의 경우 한국 고객을 위해 80%까지 제품을 한글화 하였습니다. 또한 OT/IoT 보안 전문가를 양성하기 위한 다양한 프로그램을 운영하고 있으며, 국내 다수의 협력사들과 파트너십을 체결하여, 기술 지원 및 유지보수 운영을 도와 드릴 수 있는 체계를 갖추고 있습니다. 처음 OT/IoT 보안을 접하는 고객들을 위한 진단 서비스 프로그램를 운영하는 것을 통해어, 고객사들로 하여금 산업설비망 보안에 대한 현황을 손쉽게 진단해 볼 수 있는 기회도 드리고 있습니다.
대기업 고객들도 처음부터 OT/IoT 보안 솔루션을 대규모로 도입하는 경우는 많지 않습니다. 소규모 생산라인에 우선 적용을 해보고, 점차 확산해 가는 방식으로 프로젝트를 진행하고 있습니다. 노조미네트웍스는 중소기업들을 위한 제품 라인업도 갖추고 있어서, 작은 규모의 사업에도 적용을 시작할 수 있도록 도와 드리고 있습니다.
세계적으로 각국 정부의 주도로 사이버 보안법이 강화되고 있습니다. 또 미국 및 유럽의 선진 기업은 발주시 파트너의 OT보안 유무를 검토하기 시작했다고 알고 있습니다. 우리나라의 경우는 어떤 실정이고, 어느 정도 수준에 이르고 있나요?
한국도 IT보안에 대해서는 이미 많은 투자가 이루어져 왔습니다. 정부나 기업 모두 IT 보안에 대해서 중요성을 인지하고 있으며, 국내외 많은 보안 벤더들이 IT보안 영역에서 활동을 하고 있습니다. 최근에는 디지털 트랜스포메이션, 인더스트리 4.0같은 트렌드에 맞추어 정부 주도로 디지털 혁신을 드라이브하고 있습니다. 대기업들도 클라우드 도입을 서두르면서 기업 내의 다양한 부분에 대한 혁신에 투자하고 있습니다. 하지만 OT보안에 대해서는 아직 인식이 충분하지 않고, 준비도 많이 부족한 상황입니다.
미국의 경우 산업설비에 대한 사이버 공격이 얼마나 위험한 것인지 잘 알고 있어서, 바이든 행정부 들어 정부주도로 각 기업에 행정명령을 내리는 등 보안 시스템에 대한 투자를 강력하게 권고하고 있습니다. 이는 사이버 공격의 피해가 비단 일개 기업에만 국한된 것이 아니라 국가적인 차원에서 막대한 피해로 이어 질 수 있다는 것을 잘 알고 있기 때문입니다.
따라서 한국도 IT보안을 넘어 이제는 정부 주도로 OT보안에 대한 필요성을 각 기업에 전파할 필요가 있으며, 대기업뿐만 아니라 공기업도 OT보안에 대한 본격적인 투자를 고려할 때가 되었습니다. 이를 위해 저희는 관련 정부기관과도 긴밀하게 협력할 의사가 있습니다.
앞으로 IT와 OT 보안은 어떤 체계로 구성될까요. 서로 융합되어야 한다고 보십니까?
민간기업 입장에서 보면, IT와 OT 영역 간 여러 간극이 있습니다. 예를 들면, 산업설비 제어 보안에 대한 권한이 어디에 있는지? 설비 영역에서 랜섬웨어에 의한 보안 사고가 발생했을 경우 과연 누구의 책임인지?를 물었을 때 IT담당 부서의 책임인지 OT담당 부서의 책임 소재가 모호합니다. 조직구성 또한 IT담당과 OT담당 조직이 불분명하게 이루어져 있는 경우가 대부분이며 통합관리 업무에 있어서도 공백이 있습니다. 따라서 효율적인 OT보안 체계를 구축하기 위해서는 OT보안 전담 조직을 구성해야 합니다. 그래야만 IT와 OT를 통합하여 관제 및 보안 관리가 가능하고, 기업 입장에서 체계적인 보안전략의 수립 및 안전한 운영이 가능하다고 생각합니다. 그만큼 책임과 권한도 더 명확해질테고요. 다시말해 완벽한 기업 보안을 위해서는 IT와 OT를 통합하여 관제하는 조직 운영이 시급합니다.