시만텍, 산업제어시스템 보안에 인공지능을 더하다

시만텍, 업계 최초 산업제어시스템 보호를 위한 AI 기반 ‘시만텍 ICSP 뉴럴’ 솔루션 발표

시만텍(www.symantec.com/ko/kr)은 산업제어시스템(ICS)의 운영기술(OT: operational technology)을 겨냥한 사이버 공격의 심각한 물리적 피해를 방지함으로써 기업이 핵심 인프라를 보호할 수 있도록 지원하는 업계 최초의 신경망 통합 USB 스캐닝 스테이션 ‘시만텍 ICSP 뉴럴(Industrial Control System Protection Neural)’을 발표했다.

회사측은 “운영기술(OT)은 에너지, 석유/가스, 제조 및 운송과 같은 산업에서 절대적으로 필요하지만, 기존 시스템은 오래된 경우가 많고, 전통적인 엔드포인트 보안으로 안전하게 보호하는 것은 거의 불가능하다.”고 진단했다. 또한 “기업들은 대개 검사하지 않은 USB 기기를 이용해 이러한 시스템을 업데이트하고 있어 악성코드 감염과 표적공격의 가능성을 높이고 있다.”고 설명했다.

사이버 전쟁의 위협은 물리적 피해와 개인의 안전을 포함해 매우 실제적이고 치명적인 결과를 가져올 수 있다. 그럼에도 불구하고 핵심 기반 시설에 전력을 공급하는 산업제어시스템(ICS)은 종종 오래된 윈도우 시스템에서 실행되고 있어 알려진 위협이나 알려지지 않은 위협에 취약한 상태이다. 예를 들어, 시만텍이 발견한 악명 높은 스턱스넷(Stuxnet) 웜은 USB 기반 악성코드를 이용해 이란 원전에 있는 원심분리기를 조작했고, 이는 궁극적으로 이란 핵 프로그램의 핵심 요소를 파괴한 것이었다. 이러한 유형의 위협에 대응하기 위해 미 정부는 2018년 5월 사이버 사령부(Cyber Command)를 통합 전투 사령부로 격상시켰다.

시만텍 ICSP 뉴럴은 인공지능(AI)을 이용해 USB 기기에서 악성코드를 탐지하고, 대응함으로써 IoT 및 OT 환경을 겨냥한 알려진 공격은 물론, 특히 취약할 수 있는 알려지지 않은 공격을 차단한다. ICSP 뉴럴 스테이션은 USB를 통한 악성코드 감염을 검사 및 탐지하고 USB 기기를 깨끗한 상태로 유지시킨다. 기존에 ICSP를 구축한 경우를 보면, 검사 결과 USB 기기의 최대 50%가 악성코드에 감염된 것으로 나타났다.

이석호 시만텍코리아 대표는 “USB 기기는 행사장에서 경품으로 제공되고 동료 직원 간 공유하며 업무 및 개인 용도로 반복적으로 재사용된다. 따라서 우발적이거나 악의적인 감염 위험을 초래한다. 핵심 시스템에 감염된 기기를 연결한다면 치명적인 결과를 초래할 수 있다”며, “ICSP 뉴럴을 이용해 기존 산업 인프라는 핵심 인프라를 보호하는 중추신경 시스템을 새롭게 갖추게 된 것이다. 프론트엔드의 견고한 알루미늄 디자인은 단순하면서 직관적인 사용자 경험을 구현해 잠재적인 위협을 명확히 보여준다”고 설명했다.

운영기술 환경은 기업의 IT 부서에서 멀리 떨어진 원격지나 현장 업무에 있는 경우가 많기 때문에 검사 프로세스를 간소화하는 것이 전체적인 보안 상태 관리에 중요하다. 이를 고려해 ICSP 뉴럴의 검사 프로세스는 간단하며, 특별한 보안 교육이나 IT 교육이 필요없다. ICSP 뉴럴은 일단 연결이 되면 LED 조명 링(LED light ring)을 통해 악성코드가 탐지 및 제거되었음을 시각적으로 알리는 신호를 실시간으로 내보낸다.

[최상위 지능형 위협에 대한 방어 지원]

시만텍이 설계한 신경 엔진은 세계 최고 수준을 자랑하는 시만텍의 위협 인텔리전스 네트워크를 활용해 탐지 효율성을 최대 15% 높여준다. 또한 적대적인 머신러닝 시도를 탐지하고 자체 학습을 시작해 알려지지 않은 위협을 방어한다.

AI 기반 기술은 실시간 학습이 가능해 제한된 인터넷 연결에서 효율이 최대 두 배까지 증가한다. 이러한 인공지능 및 유기적인 자가 적응 능력은 신종 공격 및 미래의 공격으로부터 기업을 보호할 수 있다. 신경 엔진은 오탐지율이 거의 제로(최저 0.01%*)인 고강도 탐지를 가능하게 한다. 이러한 기능을 수행하기 위해 필요한 대역폭은 여타 유사 솔루션과 비교했을 때 단 10분의 1 수준에 불과하다. 이는 VSAT(Very Small Aperture Terminal: 초소형위성송수신국) 연결을 이용하는 시스템에서 반드시 필요한 기능이다.

ICSP 뉴럴은 모든 범위의 OT 및 IoT 기기와 시스템을 지원한다. 시행(enforcement) 프로세스 옵션은 5MB 미만의 설치 공간으로 검사되지 않은 USB 사용을 방지하고 윈도우 XP부터 윈도우 10에 이르는 OS에서 이용할 수 있다(2019년 리눅스 지원 예정).

시만텍의 통합 사이버 보안(Integrated Cyber Defense) 전략의 일부인 ICSP 뉴럴은 시만텍의 CSP(Critical System Protection) 소프트웨어 최신 버전을 보완한 것이다. 관리형 또는 독립형 기기에 대한 안티익스플로잇(anti-exploit: 취약점 공격 방어) 기술이 통합된 애플리케이션 화이트리스팅(whitelisting) 기술을 제공하는 유연한 소형 행동보안 엔진을 탑재했다. CSP 8.0은 인터넷 연결 없이도 정책 기반의 엔드포인트 보안 방식을 제공하고 심지어 기존 OS 환경에서도 알려지거나 알려지지 않은 제로데이 취약점 공격으로부터 기기를 안전하게 보호한다.

시만텍의 ICSP 뉴럴은 2019년초에 출시될 예정이다. 보다 자세한 정보는 symantec.com/iot에서 확인할 수 있다.

박은주 기자 news@icnweb.co.kr