산업제어시스템을 대상으로 하는 위협과 시도는 지속적으로 증가하고 있다. 즉각적으로 발생하는 물리적인 피해를 비롯하여 내부에 장기간 침투하여 내부 정보를 유출하는 산업 스파이 활동에 이르기까지 그 공격의 형태와 피해 규모 또한 다양하다.
대표적인 사례는 2010년 이란의 원자력발전소를 대상으로 한 스턱스넷(Stuxnet) 공격을 들 수 있다. 스턱스넷 악성코드에 감염된 usb가 내부에 연결되어 지멘스사의 PLC를 제어하는 PC에 악성코드를 전파시켰다. 또한 외부와의 C&C통신(commend& control)을 통해 공격자가 원자로 내의 원심 분리기를 과다하게 작동하도록 마음대로 제어하여 시스템을 마비시켰다. 이 공격을 통해 약 1,000개 정도의 원심 분리기가 파괴된 것으로 알려졌다.
이처럼 사이버 공격은 지능화 및 고도화되어가고 있다. 그 피해 규모 또한 크기 때문에 현재 공공기관 및 국가 기반 시설들 역시 사이버 보안을 재고하여 새로운 위협들에 대응할 수 있는 대안을 마련해야 하는 시점이다. 이 가운데 다크트레이스의 산업제어시스템용 솔루션인 IIS(Industrial Immune System)은 제어시스템의 운영 기술에 대한 실시간 면역 시스템을 비지도학습을 통해 구현한다. 머신러닝의 알고리즘을 기반으로 내부의 모든 디바이스와 네트워크, 디바이스 행위에 대한 전반적인 학습을 통해 정상행위와 비정상행위를 식별한다. 즉 학습된 네트워크의 정상행위 패턴을 만들어 이전에 발생한 적이 없었던 행위 발생 시 비정상적인 이상 행위로 탐지한다.
이와 같은 탐지 방식으로 다크트레이스는 이란의 스턱스넷 공격의 기초 단계에서 발생 된 행위를 한 번도 접속한 적 없는 목적지에 대한 접근이라는 비정상적인 이상행위로 탐지할 수 있다. 또한 감염된 PC가 속한 그룹 내의 다른 PC들과의 행위를 비교하여 감염된 PC에서만 단일하게 발생되는 통신 행위 및 접속한 목적지에 대한 정보를 식별하여 비정상적인 행위로 탐지한다. 이를 통해 내부시스템이 마비되기 전 탐지가 가능하다. 이와 같은 공격은 기존의 룰, 시그니처, 샌드박스 기반의 보안 솔루션으로는 탐지가 불가한 영역이다.
다크트레이스는 위협 발생 시 큰 비용 손실 및 사회적 혼란을 야기할 수 있는 산업제어망에 적합한 솔루션이다. 현재 다크트레이스는 유럽 전력 인프라 회사인 Drax, 영국의 스마트 그리드 회사인 Open Energy, Big West Oil, 영국의 원자력 단지 Sellafield Ltd, 버뱅크시의 Water and Power를 비롯하여 많은 해외 고객사들을 확보하고 있다. 산업제어망의 이상 행동을 실시간으로 발견하고 대응할 수 있는 다크트레이스 IIS 솔루션에 대한 만족도와 신뢰가 높은 편이다.
산업제어시스템 보안 솔루션 회사인 다크트레이스는 영국 캠브리지와 샌프란시스코에 본사를 두고 있다. 지난 2015년 10월에 다크트레이스 한국지사가 설립되어 공공, 금융사, 엔터프라이즈등 수많은 고객사를 확보하고 있다. 현재는 여러 국가 기반 시설을 대상으로 POV를 진행하고 있다. 휴버텍은 다크트레이스 한국지사가 설립된 이후부터 함께 해온 골드파트너사로 수많은 POV(Proof of Value)를 진행해 왔다. 금융사 다수, 발전소, 소셜커머스사 등 다수의 고객사를 보유하고 있다.
2019년에는 휴버텍 또한 본격적으로 산업제어망을 대상으로 POV를 진행하고 사업 확장을 추진할 예정이다.