지난 2020년, 유럽의 한 대형 생산시설에서 랜섬웨어로 인한 큰 피해를 입은 사건이 발생했었습니다. 해당 생산시설은 공격자에게 돈을 주고 감염된 설비를 풀려고 했으나, 공격자들이 몸값을 올리며 상황이 바뀌게 됐습니다. 보안 기업에 의뢰하여 기계들의 설정 파일과 로그 파일, 이벤트 로그를 검사한 결과 네트워크의 일부가 방화벽이 아닌 NIC(네트워크 인터페이스 카드)로 연결된 것을 확인했고 이를 통해 공격이 시작된 것을 알게 되었습니다. 사고가 발생하고나서야 네트워크의 실제적인 지형도를 파악한 것입니다. 최초의 공격이 어디서 시작됐고, 어떤 장비들이 감염됐으며, 감염된 장비는 어떤 장비에 연결됐는지 확인하고 대응하기 위해서 였습니다. 해당 사건은 OT/ICS분야에서 ‘가시성 확보’의 중요성을 보여주는 샘플이라 할 수 있으며 네트워크 보안의 중요한 점을 시사하고 있습니다.
[이미지=freepik]
보안, 안일한 생각이 랜섬웨어 감염 사고로 이어져
OT 혹은 ICS분야에서 크게 착각하고 있는 것 중 하나는 바로 공장 내부는 무조건 ‘폐쇄망’이라고 믿는 것입니다. 이 때문에 제조업 등 관련 공장에서만큼은 보안에 대해 크게 신경 쓸 이유가 없다는 생각을 갖고 있고, 이로 인해 보안 담당자를 두거나 솔루션을 구입할 생각을 전혀 하지 않습니다. 하지만 ‘공장=폐쇄망’이라는 생각은 크게 2가지 문제를 갖고 있습니다. 첫째, 공장은 폐쇄망이 아니며, 둘째는 설령 진짜 폐쇄망일지라도 스마트폰이나 USB 등 외부에서 들어온 장비가 바이러스에 감염됐을 경우에는 감염이 될 수밖에 없다는 사실입니다.
[이미지=unsplash]
과거 공장 장비들은 대부분 시리얼 통신 프로토콜을 이용해 서로 연결됐습니다. 물론 아직도 현장에서는 이러한 시리얼 통신(Modbus)을 이용하는 장비가 실제 구동되고 있습니다. 하지만 최근 나오는 장비들은 TCP/IP를 이용하며, TCP/IP는 우리가 흔히 ‘랜선(LAN Cable)’이라 부르는 연결 방식을 이용합니다. 쉽게 설명하면 랜선을 통해 장비들을 연결한다는 얘기입니다. 게다가 시리얼 방식 장비와 TCP/IP 방식 장비를 혼용하게 되면서, 둘을 서로 연결해주는 ‘프로토콜 변환기’를 사용하고 있습니다. 외부 인터넷과 연결될 수 있는 상황이 된 것입니다.
두 번째, 공장에는 직원들도 잘 모르는 외부인이 생각보다 많이 오가고, 특히 공장의 규모가 크면 클수록 더욱 그렇습니다. 이런 상황에서 누가 노트북이나 USB를 공장 장비에 연결할 경우 그냥 그렇게 넘어갈 가능성이 높습니다. 누가 악의적인 목적으로 바이러스를 심어도, 혹은 자기도 모르게 바이러스에 감염된 노트북을 연결해 장비를 감염시켜도 아무도 모른다는 말입니다.
방화벽 · UTM, 네트워크 최상단에서 외부 침입으로부터 보호
외부 침입으로부터 보호는 기업에서 필수적으로 고려해야 할 문제입니다. 외부 네트워크를 통해 사이버 공격 등이 들어올 경우 대응할 수 있는 방법 중 하나는 방화벽, UTM 등 보안 솔루션을 통해 외부의 공격을 막는 방법입니다.
이 방법은 사이버보안의 전통적인 분야로, 네트워크 최상단에서 외부 위협으로부터 장비들을 보호하는 보안 솔루션입니다. 내/외부에서 인가 받지 않은 접근을 막아주고, 외부침입을 탐지하고 막아주는 기능을 갖고 있습니다. 즉, 가장 기본적인 보안제품이면서 전체를 아우르는 제품입니다.
UTM(Unified Thrat Management), 여러 보안 요소를 하나로 통합 위협 관리!
통합 위협 관리라고 불리는 UTM은 침입 차단 시스템, 가상 사설망 등 다양한 보안 솔루션 으로 그 목적에 따라 IDS, IPS, VPN, 데이터 베이스 보안, 웹 보안 등 기업에서 필요한 기들을 제공하고 있습니다. 내부와 외부에서 발생하는 비정상적인 접근과 데이터 유출을 차단해서 기업 기밀 정보가 외부로 새어나가는 문제를 막아주며, 불분명한 접근을 미리 감지합니다. 다양한 솔루션을 하나로 묶어 비용을 절감하고 관리의 복잡성을 최소화하며, 복합적인 위협 요소를 효율적으로 방어할 수 있습니다.
Secure with the Pride AXGATE Series
AXGATE Series는 VPN(IPsec/SSL), IPS, Anti-DDoS 및 Anti-Virus 등의 다양한 보안 기능을 제공하는 차세대 방화벽으로 Multi Core 분산처리 기술로 안정적인 고성능을 구현하며, 대용량 네트워크 트래픽 처리 시에도 성능저하를 최소화합니다. 다양한 제품 라인업으로 각 기업의 필요에 맞는 사양의 차세대 방화벽을 도입하실 수 있습니다.
AXGATE Series 특장점
Muti-Core 병렬처리로 고성능 구현
– 개별 모듈의 병렬 처리로 여러 기능(방화벽, IPS, DDoS, VPN, 애플리케이션 제어 등) 동시 구동 시 성능 저하를 최소화
– 멀티코어에 최적화된 설계로 멀티코어 분산 알고리즘이 IDLE 없이 CPU Core를 활용하여 최대 성능 구현
– 첫 번째 패킷은 분석 과정을 통해 어떤 보안 모듈에서 처리할 지 판단하는 Slow Path로 처리하고, 두 번째 패킷부터는 선행된 패킷 처리를 참조하여 Fast Path(offload)에서 처리함으로써 Wired Speed에 가까운 성능 구현
사용자 기반 접근 제어
– IP주소 뿐만이 아닌 사용자 계정(ID+Password) 정보를 통해 접근을 제어하고 사용자 그룹별, 개인별로 보안정책 차등 적용
– 사용자 단말에 Agent를 따로 설치할 필요 없이 Web을 통합 보안 인증을 지원하며, 사용자 별 이용 트래픽, 공격 유형 등의 통계를 지원
– 신뢰성 있는 3rd Party 인증을 통한 접근관리를 위해 LDAP, AD, MS-SQL, Local DB 등의 연동을 지원
– 고정 IP 환경과 더불어 유동 IP를 사용하는 환경에서도 사용자 기반의 접근 제어 가능
– User 기반의 보안정책 수립(Firewall, Contents filtering, IPS, QoS)
– 사용자 인증 정보를 Log와 통계에 반영하여 관리의 편의성 제공
– 신뢰성 있는 3rd Party 인증을 통한 접근관리를 위해 LDAP, AD, MS-SQL, ORACLE, Local DB 등의 연동을 지원
– 사용자 단말에 제약 없이 User Authentication 통한 접근 권한 획득
– 개별 단말 Mac 정보관리의 부담 해소
– Layer 2기반 NAC 솔루션의 단점 보안
Security Zone 기반 보안 정책
Security Zone이란 단순한 IP Address Group이 아닌 실제 인터페이스를 Binding하는 인터페이스의 묶음으로, 인터페이스를 사전에 정의된 Zone별 정책 설정으로 보안 룰의 추가/삭제/수정이 용이하며 불필요한 보안모듈 적용으로 인한 성능저하 방지
– Security Zone 별 개별 정책/로그/통계
– Contents Filter, IPS, Anti-DDoS, Firewall 등의 보안 모듈을 Security Zone 별로 적용
– 불필요한 보안 모듈 적용으로 인한 성능 저하 방지
– Zone 간 세부 정책 설정으로 보안성 강화
논리적 가상화
– 방화벽과 VPN을 논리적으로 가상화하여 한 대의 AXGATE 장비로 이용단위 Virtual Domain 별 독립적인 방화벽, VPN 서비스를 제공
– 따라서 기존 내부 네트워크 환경의 변화없이 적용 가능하며 확장성 확보, 가용성 증가, 관리 편의성, 비용절감에 용이
– 방화벽, VPN 기능만이 아닌 IPS, NAT, Routing, QoS, Contents Fiter 등 AXGATE의 모든 기능 가상화 가능
– 한대의 물리적 장치에서 최대 250개의 Domain 제공
– Super User 계정은 모든 Domain의 설정 수정/삭제 가능
– 각각의 Domain 관리자는 자신의 Domain을 제외한 다른 Domain으로는 접근/설정 변경/삭제 불가능
– CLI 및 GUI를 통한 가상화 관리 가능
IPS
– 시그니처 기반 Rule 제공 및 사용자 정의 Rule을 지원함으로써 다양해지는 공격 유형에 대해 능동적으로 대처
– 지능화, 다양화 되고 있는 외부 침입 공격을 다양하게 탐지, 차단하여 PCRE를 통해 변형된 공격 패턴 감지
– 5,000여 개의 시그니처 기반 Rule을 제공하며 Evasion Attack 탐지
– Snort 기반 Worm/Virus와 Backdoor, Web을 통한 Spyware, Malware 차단 시그니처 보유
– VoIP 보안 기능 지원(SIP Traffic Attack)
애플리케이션 제어
– 단순한 Port 차단이 아닌, Application Level에서 탐지/제어/차단
– 업무 중요도가 낮은 애플리케이션에 대해 Traffic과 Packet, Session 제한
– 업무상 불필요한 사이트의 접속을 차단하여 악성코드, 웜 등을 유포하는 유해사이트 차단
– FTP, Telnet 업로드 및 다운로드 제어
– P2P, 웹하드 등에 접근 제어, 암호통신차단, 로그인제어, 메일제어, 파일전송 차단 및 QoS 대역폭 제한
Web URL 필터링
– 업무상 불필요한 사이트의 접속을 차단하여 악성코드, 웜을 유포하는 유해 사이트 차단
– 방송통신위원회 Safenet DB : 유해 사이트 DB연동 사이트 필터링 제공
– PICS(Platform for Internet Content Selection) : HTML 메타 태그에 포함된 내용 등급에 따른 필터링 제공
– Customized Category : 사이트 특징에 따른 사용자 정의 URL Group 필터링 제공
WEF(Web Editor Filtering)
– 특성화된 기능 WEF(Web Editor Filtering)으로 웹 브라우저, 웹 사이트 및 SNS에 댓글/이메일/파일 업로드 등의 행위를 차단
– 각종 커뮤니티 게시판에 글을 올리거나 댓글을 남기는 행위를 제한하는 기능으로 업무 이외의 활동을 제약함으로써 업무 집중력 강화
– 공공기관의 경우, 공무원들의 커뮤니티 및 SNS 댓글 쓰기를 통제하고 제한함으로써 정치적 중립의무를 위반하는 행위를 방지
IPsec VPN
– AXGATE의 독자적인 기술인 Dcube 기술(특허보유)은 IPsec VPN과 연동하여 안정성 높은 대역폭의 암호화된 채널을 제공하는 WAN Channel Bonding Algorithm으로 IPsec 암호화를 통해 보안성 강화
SSL VPN
– IP/Password 방식으로 MAC Address 고정 가능
– VPN GW 사용자 별 접속 정책 설정
– VPN Client 계정 기반 세션 로그
– 연결 상태 체크, 알람 기능 및 실패 시 자동 재접속(사용자 정의)
– 설치 파일 배포, Web기반 배포
– Windows / iOS / Android 등 다양한 환경을 모두 지원하며 iOS 전용 클라이언트 프로그램 앱스토어등록
AXGATE 차세대 방화벽 도입 효과
1. 지능화되고 타겟팅된 사이버 공격은 기존의 일반 방화벽으로 대응이 어려움
2. 구성 및 운영과 관리가 복잡함
3. 과다한 유지비용이 소요됨
4. All In One Box 구성 시 심각한 성능 저하
1. 단순 Port가 아닌 모든 애플리케이션과 사용자를 제어할 수 있는 새로운 개념의 통합 보안 시스템
2. 구성 및 운영, 관리의 용이성 향상
3. 비용 절감(비용 효율성) -> 방화벽, IPS, VPN 등의 다양한 보안기능을 하나의 장비로 구동
4. Multi Core엔진을 개발하여 안정적인 고성능을 구현
고성능, 저비용을 모두 실현하는 네트워크 보안의 대중화 AXGATE
네트워크와 환경이 발전하고 공격자들의 공격이 다양화 · 첨단화되면서 이에 대한 방어체계 역시 다양해질 수 밖에 없었습니다. 다양한 사이버 위협에 대응하기 위해 현장에 알맞은 보안 솔루션 구축이 효과적 대응책이라고 말할 수 있습니다. AXGATE 차세대 방화벽은 고성능, 저비용을 모두 실현하는 제품입니다. 한대의 AXGATE 방화벽을 이용하여 여러 개의 단위별 독립적인 방화벽 서비스를 제공하며 안정적인 고성능 발휘를 가능케 하는 성능 저하 없는 고성능 방화벽으로 강력한 네트워크 보안을 완성합니다.