Yokogawa Electric Corporation 소개
Yokogawa Electric은 100년이 넘는 역사를 가진 제조 회사로, 주로 공장 제어 시스템에서 연간 4,000억 엔 이상의 매출(2019 회계 연도/연결 재무제표)을 올리고 있습니다. 전 세계 62개국에 공장과 사무실을 두고 있으며, 해외 매출이 전체 매출의 80%를 차지하는 명실상부한 글로벌 기업입니다.
디지털 전략의 발전으로 보안 모니터링 개선의 필요성 대두
Yokogawa Electric은 이제 디지털 트랜스포메이션(DX)을 비즈니스 전략의 핵심 축으로 삼았습니다. 이 회사의 DX 기본 전략은 제어 시스템 및 기타 운영 기술(OT)을 정보 기술(IT)과 결합하여 지능형 공장에 대한 지원 서비스를 제공하는 것입니다. 고객 공장의 장비에서 IoT 센서를 이용해 수집된 방대한 양의 데이터를 분석하는 데 클라우드 기반 AI가 사용될 것입니다. 공장 시뮬레이션이 생성되고, 디바이스 고장 예측, 이를 기반으로 한 사전 예방적 부품/디바이스 교체, 에너지 관리 등의 서비스가 고객에게 제공될 것입니다(그림 1).
이 전략을 요약하자면, Yokogawa Electric에서는 장비를 서비스로 제공하고 ‘하드웨어 판매 + 유지 보수 서비스’를 기반으로 하는 기존 비즈니스 모델을 반복 모델로 전환하는 것을 목표로, 클라우드, 컨테이너, 데이터 분석, AI/ML, IIoT와 같은 기술을 최대한 활용할 예정입니다.
그림 1: Yokogawa Electric이 설계한 AI를 활용한 차세대 지원 서비스
Yokogawa Electric은 회사 내에서도 DX를 홍보하고 있습니다. 예를 들어, 다양한 소스에서 파생된 데이터 레이크를 만들고 해당 데이터를 사용하여 데이터 중심의 운영 및 시스템 관리를 훨씬 더 효율적으로 수행하고 있습니다.
Yokogawa Electric의 디지털 전략 본부 부국장인 Tetsuo Shiozaki는 “이 DX 전략을 구현할 때 보안을 강화하는 것이 매우 중요합니다.”라고 언급했습니다.
예를 들어 OT는 전통적으로 인터넷 및 기타 외부 네트워크와 단절된 폐쇄적인 환경에서 사용되어 왔기 때문에 사이버 공격에 노출될 위험이 거의 없었으며, 이러한 공격에 대한 방어가 부족한 경우가 있었습니다. OT가 IT와 결합되어 클라우드를 활용한 스마트팩토리로의 전환을 촉진함에 따라 OT와 IT 환경 모두에 대한 방어를 강화할 필요성이 크게 대두될 것입니다. IT 환경 위협이 OT 환경을 침범하는 것을 방지하고 OT 환경을 침범할 수 있는 다른 위협을 신속하게 탐지할 수 있는 메커니즘과 시스템을 만들어야 합니다.
“이러한 문제를 해결하기 위해서는 OT 및 IT 보안에 대한 전문 지식을 쌓아야 했습니다. 그렇지 않으면 내부와 외부 DX 전략을 모두 안정적으로 구현할 수 없을 것으로 생각했습니다. Yokogawa Electric은 전통적으로 사내 시스템의 보안 모니터링을 외부 IT 기업에 아웃소싱해왔지만, 그 방식을 재검토해 외부 IT 기업과 협력하면서라도 자체 SOC를 구축하고 자체 보안 모니터링을 수행하기로 했습니다.”라고 Shiozaki 씨가 말했습니다.
개방형 개발 모델과 제품 종속성 축소를 위해 Elastic Cloud 선택
Shiozaki 씨가 소속된 디지털 전략 본부는 정보 시스템 부문(IT 부문)에서 분리되어 현재는 회사 내에서 DX를 구현하고 회사 외부에서 고객을 위한 DX 전략을 지원하는 메커니즘을 만드는 업무를 전담하고 있습니다.
또한 전 세계 사무실에 지역 IT 부서가 설립되어 있지만, 최근 일본의 디지털 전략 본부가 공유되는 글로벌 IT 서비스 및 공유되고 최적화된 글로벌 애플리케이션/인프라 환경으로 전환하는 데 중심적인 역할을 담당하고 있습니다. 이러한 이니셔티브는 회사의 SOC 출시 준비를 비롯하여 보안 제품과 동일한 방식으로 추진되었습니다. “2018년 가을부터 글로벌 SOC 인프라 구축을 위한 공유 솔루션 선정을 시작했습니다.”라고 Shiozaki 씨가 말했습니다.
대규모 DX 전략을 지원할 글로벌 SOC 인프라를 구축하기 위해서는 다양한 로그 파일을 효과적으로 수집 및 분석할 수 있는 솔루션이 필요했습니다. 우리가 판단하기에 Elastic Cloud는 이러한 요구 사항을 완벽하게 충족했습니다.
Yokogawa Electric은 이 솔루션 선정 프로세스를 마치면서 SIEM 솔루션, 엔드포인트 보안, 위협 헌팅 및 클라우드 모니터링 등 광범위한 애플리케이션을 갖춘 클라우드 솔루션인 Elastic Cloud를 채택하기로 결정했습니다.
이 클라우드 서비스가 글로벌 SOC 인프라 구축에 필요한 요건을 충족하기 때문에 Elastic Cloud를 채택한 것은 두말할 나위도 없습니다.
이러한 요구 사항 중 하나는 특정 보안 제품에 의존하지 않고 광범위한 디바이스 및 시스템에서 로그를 수집하고 분석할 수 있도록 하는 것이었습니다. 일례로, 앞서 언급한 것처럼 Yokogawa Electric은 보안 모니터링 서비스를 외부 IT 기업에 아웃소싱해왔으며, 이 기업들은 침입 탐지 시스템(IDS)을 사용했습니다.
Shiozaki 씨에 따르면, IDS 모니터링만으로는 오늘날의 복잡한 첨단 사이버 공격을 모니터링하기 어렵고, 오탐도 흔히 발생한다고 합니다. 따라서 회사의 SOC 인프라를 구축하기 위해서는 다양한 보안 디바이스 및 시스템에서 로그를 수집하고 분석할 수 있는 솔루션이 필요했습니다.
다만 모니터링 도구 선정 절차가 진행되던 2018년에는 전 세계 사무실에서 사용하는 공유되고 표준화된 보안 제품이 없었고, 각 지역마다 다른 보안 제품을 사용하고 있었습니다. 이렇게 다양한 제품에서 로그를 수집하고 분석하기 위해서는 특정 제품에 의존하지 않는 무료 개방형 모니터링 솔루션이 필요했습니다.
Yokogawa Electric은 앞서 설명한 요건을 고려해 Elastic Cloud를 주요 후보로 선정하고 2019년 1월부터 3개월간 개념 증명(PoC)을 실시했습니다. 이 회사의 테스트에는 IDS 및 인증 서버(AD 서버), DHCP/DNS 서버, 도쿄 본사 및 싱가포르 사무실의 기타 소스에서 로그를 수집한 다음 이러한 로그를 Elastic Cloud로 전송하고 ‘로그 수집에서 분석까지 시간이 얼마나 걸렸는지’를 살펴보는 작업이 포함되었습니다. 이 같은 테스트 결과를 토대로 Elastic Cloud를 활용한 보안 모니터링 시스템이 글로벌 SOC 인프라로서 효과적으로 작동한다고 판단했으며, 2019년 4월 Yokogawa Electric은 정식으로 Elastic Cloud를 보안 솔루션으로 채택했습니다. PoC에 사용된 시스템은 추가 리소스와 함께 업그레이드된 후 프로덕션 환경에 그대로 배포되었습니다. 그 후 회사는 SOC 구축을 목표로 보안 모니터링 인프라 개발에 착수했습니다.
전 세계 15개 지역에서 30,000대의 PC, 주요 서버, 네트워크에 대한 중앙 집중식 모니터링
Yokogawa Electric은 Elastic Cloud를 활용한 SOC 인프라 개발의 첫 번째 단계로 Elastic에 정통한 엔지니어를 채용했습니다. 구체적으로는 인도 방갈로르에 있는 엔지니어링 센터를 통해 Elastic 엔지니어를 모집했고, SOC 인프라 구축을 주도할 일부 직원을 채용했습니다.
이 과정에서 엔지니어들의 기술을 연마하기 위해 Yokogawa Electric은 Elastic Common Scheme(ECS) 정의 및 Logstash 서버 로그 필터링 구성과 관련된 Elastic의 교육과 컨설팅 서비스를 활용했습니다.
“우리의 경우 다양한 보안 제품에서 로그를 수집하고 있었기 때문에 이러한 공통 스키마를 사전에 정의하지 않았다면 검색 속도를 향상시킬 수 없었을 것입니다. 그렇기 때문에 엔지니어들이 ECS를 배우도록 하는 것이 매우 중요했고, 이 전략은 매우 효과적이었던 것 같습니다."라고 Shiozaki 씨가 말했습니다.
Yokogawa Electric은 SOC 인프라 및 데이터 분석 시스템 구축을 진행하며 2019 회계 연도에 일본, 유럽, 북미, 싱가포르, 중동, 인도의 주요 공장과 사무실에서 보안 모니터링을 시작했습니다. 이와 함께 모니터링 및 탐지 애플리케이션 개선에도 힘을 쏟았습니다. 이러한 이니셔티브는 Elastic Cloud를 위협 인텔리전스 및 IOC(침해 지표: 사이버 공격으로 인한 보안 위반의 지표 및 증거)와 연계하여 위협 모니터링 및 탐지 기능의 정밀도를 높였습니다.
또한 2020년에는 중국, 러시아, 남미, 대만, 필리핀, 인도네시아 등지로 모니터링 작업을 확대했습니다.
그 결과, PC(안티바이러스 소프트웨어 및 EDR), 주요 서버(AD 서버, DHCP/DNS 서버 등), IDS, Microsoft Azure/AWS Web Application Firewalls(WAF)의 모니터링 범위가 전 세계 15개 사이트로 확대되었습니다. 이러한 디바이스와 시스템에서 수집된 로그 및 이벤트 데이터도 Elastic Cloud 관리형 서비스 환경에 저장되었습니다. 이 보안 모니터링 프레임워크는 실시간으로 데이터를 분석하여 매일 사이버 공격을 예측하고 보안 위반을 탐지합니다(그림 2).
그림 2: Elastic Security를 사용하는 Yokogawa Electric SOC 인프라의 개념적 이미지
모니터링되는 디바이스 및 시스템 중 PC만 전 세계적으로 약 30,000대이며, 매일 5백만~6백만 개의 이벤트 데이터가 수집되고, 총 볼륨은 250GB~300GB에 달합니다. 이는 다양한 디바이스의 보안 로그가 저장된 진정한 보안 데이터 레이크를 구성합니다.
Elastic SIEM과 머신 러닝을 결합하여 첨단 탐지 프로그램 개발
앞서 설명한 바와 같이 Yokogawa Electric은 Elastic Cloud를 활용해 글로벌 SOC 인프라를 구축하고 시간이 지남에 따라 모니터링 범위를 꾸준히 확대했습니다. 이러한 이니셔티브를 돌이켜보며 Shiozaki 씨는 Elastic Cloud 구현의 이점을 다음과 같이 요약합니다.
“Elastic Cloud 구현에 따른 가장 큰 이점은 다양한 로그를 시각화하고 실시간으로 분석할 수 있게 되었다는 점입니다. 또한 Elastic Cloud 서비스를 도입하여 글로벌 SOC 인프라를 보다 신속하게 구축할 수 있었습니다. 이는 우리 회사에 매우 의미 있는 또 다른 이점이었습니다.”
앞으로 Yokogawa Electric은 Elastic Cloud를 활용한 보안 모니터링 운영을 강화할 계획입니다. 이미 Elastic Cloud의 SIEM 서비스를 도입하여 머신 러닝이 포함된 첨단 탐지 프로그램을 개발했으며, MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge: 취약점과 공격을 전술, 기술,·방법별로 분류한 지식 기반)의 활용을 추진하고 있습니다.
또한 Yokogawa Electric은 SOC 인프라를 IT 관리 도구(ITSM 도구)인 ServiceNow와 연계하여, SOC에서 생성된 사고 경보에 주석 및 해결 방법을 추가하고 관련 담당자에게 자동으로 알림을 보내는 메커니즘을 설정 및 사용하기 시작했습니다.
그뿐만 아니라 SOC 인프라 구축 과정에서 축적된 Elastic 보안 모니터링 전문 지식을 고객에게 보안 모니터링 서비스를 제공하는 Yokogawa Electric 운영 부서와 공유하여 서비스의 품질도 높이고 있습니다.
Elastic Cloud는 지금도 Yokogawa Electric의 DX 전략을 지속적으로 지원하고 있습니다.
