라파엘(Rafael)은 이스라엘 정부 소유 기업으로서, 기업의 역사는 국방 분야에서 60년 이상 사업을 했고, 특히 사이버 보안 분야에 20년 이상의 경험을 가지고 있다. 이 회사는 이스라엘 국가에서 발급한 다수의 기술특허를 보유하고 있으며, 국제 특허 출원 중에 있다. 방어 솔루션의 고유한 부분은 라팔엘에 의해 개발됐고 외부에서 접근할 수 없다. 한샤인인터내셔널(회장 김호용)과 하이밸류컨설팅(대표 박용수)이 국내 공급을 맡는다. 하이밸류 컨설팅의 김병철 본부장을 만나 사업 내용에 대해 들어봤다.

-산업제어 시스템의 공격 유형은 어떤 것들이 있는가?
“내부 직원이 회사의 서버에 합법적인 코드를 삽입하여 설정된 시간 주기에 펌프 컨트롤러(PLC)에서 악성 코드가 재작성되어 실행되도록 한다. 악성 코드는 컨트롤러의 SW가 업데이트 되었더라도 서버로부터 PLC에 악성 코드 자체를 재작성 하도록 설계되었다. 악성 코드는 펌프의 물리적인 손상을 초래하고 작동 중단으로 이어지는 RPM 폭증(burst)을 유발하는 명령을 PLC에 실행한다. 악성 코드는 펌프에서 RPM 변화를 정상적인 것처럼 위장하여, 제어 센터의 HMI 시스템에 센서 판독 값을 전송한다.

- 이러한 공격을 올 때 Rafael의 SLI의 역할은 무엇인가?
“라파엘(Rafael)의 스카다돔(SCADA Dome) 솔루션에서 SLI는 실시간으로 PLC 및 공장설비를 모니터링 할 수 있고 특정 공정에서 사이버 공격에 대한 탐지 및 경고 할 수 있다. SLI는 인터널 기술 중 원자시계를 적용하여 PLC등의 시간동기화와 오작동 시 차이를 물리적, 수학적 알고리즘으로 감지하는 등 설치즉시 효과를 기대하는 솔루션으로 실시간으로 PLC 및 공장설비를 모니터링 할 수 있는 유일한 제품이다. SLI는 실시간으로 PLC 및 공장설비를 모니터링하고 분석하여 제어실에서 은폐되고 왜곡 된 악성코드에 의해 유발된 RPM 폭증(burst)을 사전에 인지한다.”

- 다른 보안 제품들과의 차별성은?
“기존 제품들은 다음과 같은 이유로 이러한 종류의 공격을 인식하지 못한다. 방화벽(Fire-wall) 및 단방향 데이터 다이오드 와 같은 지엽적인 보안 제품(외부 방어를 위해 설계된)은 권한을 가지고 있는 내부자에 의한 공격을 식별할 수 없다. IDS, 안티바이러스(Antivirus), FW 등과 보안 장비들은 컨트롤러에 대한 액세스 및 쓰기가 가능 하기 때문에 시스템에서 의심스러운 상호 작용을 인식하지 못한다. 또한 이 제품들은 네트워크 데이터를 모니터링하고 SCADA 시스템에서 PLC 및 공장설비를 모니터링 하지 못한다. 설치 후 장기간 패턴 분석을 할 필요 없이 Rafael SLI는 즉시 작동한다.

- 기존 IT보안 솔루션과 연계가 가능한가?
“SLI(Secure Logic Infrastructure: PLC에 연결되는 장비)와 SSA(Security Situation Awareness: 컨트롤 센터)가 Rafael 사이보 보안 솔루션의 근간이고, 컴퓨터와 네트워크 레이어는 3rd party 와 통합 될 수 있고, Rafael 자체 솔루션의 통합 구조로도 가능하다. 또한 SSA수준에서, Rafael은 SCADA 영역에서 사이버 사건과 사고 모두의 관련한 정보를 통합하고 융합시키는 고유한 솔루션을 제공한다. 이런 방법으로, Rafael은 현장의 실제 상태를 반영한다. 또한 네트워크 수준에서, Rafael은 머신 러닝 엔진과 비정상행위 탐지를 통한 데이터 필터링, 네트워크 분리, 악성 코드 식별 및 공격 식별에서 최고의 기술을 제공한다. 엔지니어링 수준에서, Rafael은 종단 강화에 대한 노하우가 주입된 최상의 COTS(Commercial Off-the-Shelf: 상업용 제품) 제품을 이용하여 솔루션을 모든 종단 및 서버에 제공한다."

-제로데이(Zero-day) 공격 시 Rafael 솔루션의 대응은?
“공장 설비의 물리적인 활동을 모니터링 하고 공장 설비의 수학적 물리적 모델과 비교하여 솔루션이 Zero-day attack을 좀더 잘 탐지하도록 한다. zero-day의 공격의 효과적인 방어는 임의의 시그니처 없이 탐지하는 기술이 필요하다. 인식 할 수 있는 패턴을 찾는 시그니처 기반 솔루션, 그러한 패턴은 zero-day 공격의 경우 효과적의 방어 할 수 없다. 이것이 Rafael SCADA Dome의 가장 큰 특징이다."

-솔루션을 설치하는 동안에 공격받고 있는 경우 대응은?
“Rafael의 솔루션은 시설(공장 설비)의 정상적인 작동을 확인한 이후 설치 첫날부터 즉시 효과를 발휘할 수 있다.”

-Rafael솔루션 자체의 멀웨어 감염 여부는?
“Rafael 솔루션은 산업 제어망의 일부가 아니므로 공격 받은 네트워크로 인해 손상될 수 없다. Rafael 솔루션은 매우 보안적으로 강화된 OS를 사용한다. Rafael의 소프트웨어는 Rafael의 군사 등급의 시큐어 코딩 절차를 사용하여 개발됐다. 암호화 및 서명된 통신 채널을 사용하고, 솔루션의 구조가 숨겨져 있어 쉽게 인지할 수 없다. 기존 보안솔루션의 대부분의 경우, 공격자에 의해 획득되어 연구되고 해킹될 수 있는 상용 보안 제품이다. 기존 보안솔루션의 경우의 제품은 산업 제어망의 구성요소로 설치되고 공격자에 의해 액세스될 수 있다."

-Rafael 솔루션을 개발하는 연구조직은 구성되어 있나?
“Rafael은 아래와 같은 차별화된 기술자원이 결합하여 완성된 솔루션이다. 사이버 보안 전문가, 수학자, 소프트웨어 엔지니어, 물리학자 물론 DSP(Digital Signal Processing) 전문가, 재료강화 전문가, 화학자 등의 연구진을 갖추고 있다. 또한 프로세스 관리전문가, 알고리즘 전문가, 프로토콜 분석가, 통신분석가, 시뮬레이션 전문가 등 방대한 연구조직을 갖추고 있다."

-Rafael 솔루션의 레이어 별 공격 탐지 방법은?
“Rafael의 솔루션은 멀티 계층의 탐지 기반의 방어 솔루션이다. 공장설비(센서, 액추에이터 및 컨트롤러)의 산업 공정에 대한 물리적인 모델링을 이용하여 물리적인 모니터링을 하며, 이 검출은 SLI에 의해 수행한다. 또한 산업 네트워크 계층의 위협을 검출하기 위해 산업 네트워크를 검사 하는 다양한 제품과 방법을 포함하고 있다. 또한 적절한 제품과 방법의 혼합은 고객의 상황에 따라 설정된다. 컴퓨터 및 OS 계층 검출을 수행하기 위해 엔드 포인트 컴퓨터를 검사하는 서버와 에이전트를 포함하는 다양한 제품과 협업을 포함하고 있다. 적절한 제품과 의 협업은 고객에 따라 설정된다. 기업 네트워크 계층 검출은 업무망과 산업 제어망 사이에 실제적인 공극(air gap)이 없는 경우, 솔루션은 기업 네트워크를 보호하기 위해 설치됩니다. 적절한 제품과 방법의 혼합은 고객에 따라 설정된다. 또한 SSA(Security,Situation Awareness)에서 , 사건 및 사고를 사전대응을 할 수 있도록 데이터 수집 및 데이터 상관관계를 분석할 수 있다.”

-Rafael의 방어 솔루션의 핵심기술은?
“Rafael의 사이버 보안 솔루션은 단순제품이 아닌 방어솔루션이다. 솔루션은 다른 많은 요소를 포함하여 제공한다. 사이트리뷰, 위협분석, 공격 경로정의, 클라이언트 환경에 최적화된 제품을 정의하고, SLI, SSA 등 현재 시장에서 사용할 수 없는 독특한 제품을 추가했다. 또한 지도 및 교육, 보안운영방법과 절차 구성, 정의된 사고 검출 및 대응할 수 있다. 산업용 IDS, 산업용 Firewall, 정보 다이오드 등의 경우는 고유의 화면, 보고서, 설정 등을 유지하여 , 비용이 효율적이긴 하나 해커가 취약점을 연구하기 쉽다. 왜냐면 모든 일반적인 보안 제품의 취약성 목록은 인터넷에서 취득할 수 있기 때문이다. 업데이트를 자주 하지 않는 오프라인 제품과 공개된 취약점을 가진 제품과의 조합은 매우 위험하다.”

-보안 장비의 물리적 연결 방법 및 PLC 기종과의 연결방법, 즉 PLC 예: Siemens, ABB, Rockwell, Hitachi, Mitsubishi 등의 고유의 프로토콜과 연계되는지?
“Rafael 의 SLI 제품은SCADA 시스템에서 컨트롤러의 레이어에서 사이버 공격을 모니터링하고 경고를 하는 고유한 특허 기술이다. SLI는 PLC에 의해 보고되는 시스템(시간, 온도, 압력, 흐름 등)에서 물리적인 매개변수를 분석하여 사이버 공격을 식별한다. SLI 유닛은 PLC의 유형과 관계 없이 지원한다. SLI는 아래에 설명되어 있는 목록과 같은 광범위한 SCADA 프로토콜(시리얼 및 IP)을 지원한다. 또한, SLI는 특정 고객을 위해 개발된 전용 프로토콜을 포함, 고객의 요구에 의해 광범위한 프로토콜을 지원한다.”

-지원 가능한 프로토콜 목록은?
“Modbus; IEC 104; DNP3; Profinet IO; Profinet CBA; Goose; MMS; ICCP; OPC-DA; CIP; MDLC; Tase2 (IEC 60870-6-503); Teleperm XP; BACNet ober Ethernet; OPC-UA; OPC-HDA; OPC-AE 등이다.”

- 기존 PLC의 작업사항과 연결을 위해 점검할 것은?
“SLI는 두 가지 다른 방법으로 SCADA 네트워크에 연결될 수 있다. 먼저 브리지(bridge)로 연결할 수 있다. PLC 가까운 곳에 위치하고 한쪽 끝이 PLC에 연결되고 다른 한쪽은 SCADA 네트워크에 연결된다. SLI는 시그널 전송을 모니터링만 할뿐 변경하지 않는다. 이러한 연결 방법은 공격 면이 가장 작으므로 가장 권장되는 방법 중 하나다. 다음으로 미러 포트로 연결하는 방법이 있다. 스위치에 연결로 이 경우 SLI는 모든 스위치 트래픽을 모니터링한다. 동시에 여러 개의 PLC를 모니터링 할 수 있다. SLI의 배치 구성은 특정 고객의 네트워크 아키텍처, 취약점 및 리스크 평가 및 Rafael의 사이버 전문가들의 분석, 그리고 고객의 요구에 따라서 세팅된다. 하나의 설비에 수백 개의 컨트롤러가 있을 수 있기에, Rafael 전문가들의 목표는 시스템에서 핵심 포인트를 식별하고 해당 포인트 만을 모니터링 하는 것이다. 이것은 배치된 미러 포트로 동시에 여러 개의 PLC를 모니터링하고, SLI 유닛의 비용 효과를 극대화 시켜 배치할 수 있게 해준다."

- 공격이나 위험요소 검출 시 조치 방안은? 즉, 문제 발생 시 운영자가 수동으로 조치를 취하는 것이 아니라 자동 조치가 가능한가?
“Rafael의 SCADA Dome 방어 솔루션에서 SSA는 통합적 관제뷰를 제공한다. SSA는 사이버 공격과 물리적인 계층과 물리적인 파라미터 상태와 결합된 이벤트의 현재 상태를 그림 형태로 보여주는 즉 IT, OT의 모니터링을 가능하게 해준다. 또한 SLI 시스템은 경고뿐만 아니라 시스템에서 실시간으로 특정 공격 구성 요소에 대한 식별까지도 가능하게 해준다. 이것은 고객이 공격의 위협을 확인할 수 있고 각각의 공격 에 대한 조치 절차를 알려준다."

- 보고서나 경고 방법은 어떤 것이 있나?
“직관적인 시각화를 통하여 모니터에 표시하고, 메시징 Push(모바일 또는 기타 방법), E-mail 메시징 전달 방법이 있다. SSA경고가 나타난 구역을 클릭 하여 드릴다운하면, 현장담당에게 어떤 조치를 할 것인지 안내해준다. 설정에 따라서 긴급 절차를 자동 시작하도록 하는 것은 가능하나 Rafael은 첫번째 단계에서 현장 작업자가 수동으로 복구 조치 절차를 수행하도록 권고하고 있다."

- 솔루션 설치후 기존 S/W 충돌 등 위험요소 발생시 회피 및 보증방안은?
“Rafael은 공공 보증 정책을 가지고 있다. Rafael은 기본 보증 정책이 핵심 인프라를 운영하는 고객들의 요구사항 항상 적합하지는 않으며 양측 간의 SOW(작업 기술서)로 사전에 상세히 정의하여 고객과 합의한다. SCADA Dome에 대한 기본 보증 정책은 Rafael에 의해 충족될 필요가 있는 SOW의 일부로서 ATP(Acceptance Test Plan: 수용 테스트 계획)를 제출한다. 고객이 특정한 보증 요구 사항이 있는 경우, Rafael은 이러한 요구사항에 대하여 가격을 책정하고 필요한 서비스를 제공하는 방법에 대하여 제안한다. Rafael은 군사 등급의 기준을 포함하여 가장 높은 국제 품질 보증 규격을 준수한다."

-Malware 탐지를 위한 패턴, 정보 업데이트 등은 어떻게 진행되나?
“Rafael의 SCADA Dome 솔루션은 각각의 서로 다른 수준의 유지 보수를 필요로 하는 보호의 여러 계층으로 구성되어 있다. 높은 수준의 SCADA 시스템 계층(SSA, 네트워크 및 엔지니어링)에 대해, Rafael은 필요에 따른 업데이트를 제공한다. 업데이트는 해당 설비의 정상적인 작동에 대한 중단 없이 보안 매체를 통해 전달된다. PLC를 보호하는 SLI는 공격 시그니처에 따라 작동하는 것이 아니라, 시스템의 물리적인 모델과 실시간 물리적인 파라미터에 따라 작동한다. 따라서, SLI 유닛은 해당 시스템이 물리적인 변경을 하지 않고 PLC가 업데이트 되지 않는 한 업데이트 할 필요가 없다. 운영 시스템에서 변동사항이 생기고 SLI 유닛을 업데이트할 필요가 생기는 경우, 보안 연결을 통해 SLI에 로컬로 연결하거나 SSA를 통해 수행될 수 있다.”