- AV-Comparatives 평가 통과, 오탐 없이 침해 이후 공격 시나리오 대응 성능 확인
카스퍼스키가 산업용 보안 플랫폼 KICS(Kaspersky Industrial Cyber Security)가 AV-Comparatives 운영기술(OT) 보안 인증을 획득하고 오프라인 환경에서 실행되는 침해 이후 공격 차단 성능을 검증했다.
산업 제어 시스템 환경에서는 인터넷과 분리된 OT 네트워크에서도 공급망 기반 악성 코드와 비인가 실행 파일을 이용한 침해 시도가 증가하고 있으며, 침해 이후 단계에서는 정상 프로세스로 위장한 실행 파일을 식별하고 차단하는 기능이 주요 보안 기준으로 요구되고 있다.
오프라인 실행 공격 대응 성능 검증
AV-Comparatives OT 인증 테스트는 인터넷 연결이 없는 환경에서 발생하는 공격을 대상으로 보안 솔루션의 실행 제어 능력을 평가한다. KICS for Nodes는 침해 이후 단계에서 발생하는 실행 기반 공격 시나리오 전반에서 악성 코드 동작을 차단했으며 단 한 건의 오탐도 발생하지 않았다.
테스트는 정상 메타데이터가 적용된 바이너리, 유효하지 않거나 유출된 인증서를 사용한 실행 파일, DLL 사이드로딩, 백도어 삽입 코드, 오프라인 환경 업데이트 상황 등 다양한 조건에서 진행됐다. 실행 파일의 서명 상태와 인증서 무결성, 실행 경로 변조 여부를 기준으로 비인가 동작을 식별했다.
XDR 기반 OT 엔드포인트 보호 구조
KICS for Nodes는 산업 환경에 맞춘 네이티브 XDR 구조를 기반으로 엔드포인트 이벤트와 행위 데이터를 수집하며, 프로세스 동작 흐름을 분석해 비정상 행위를 식별하고 비인가 코드 동작을 차단한다. KICS는 네트워크 트래픽을 모니터링하는 KICS for Networks와 함께 운영되어 자동화 시스템 전반의 보안 상태를 확인하며, 엔드포인트와 네트워크 계층에서 발생하는 이상 행위를 함께 분석한다.
정상 업데이트 유지하면서 비인가 코드 동작 차단
테스트 과정에서는 정상 애플리케이션 업데이트가 차단되지 않는지도 함께 평가됐다. KICS for Nodes는 정상 업데이트 절차는 허용하면서 비인가 코드 동작만 제한하는 정책을 적용했다.
OT 환경에서는 시스템 가용성과 실행 통제 정책을 함께 유지하는 방식이 요구된다. 실행 파일 검증 과정에서 인증서 유효성과 프로세스 동작 흐름을 함께 확인해 정상 운영 상태를 지속한다.
카스퍼스키 안드레이 스트렐코프 산업 사이버 보안 제품 총괄 책임자는 실행 기반 공격 대응 범위를 확대하고 산업 제어 시스템 보호 체계를 지속적으로 개선하고 있다고 밝혔다.
AV-Comparatives 안드레아스 클레멘티 CEO는 정상 업데이트 과정은 유지하면서 모든 악성 테스트 시나리오를 차단한 점이 OT 환경 대응 성능을 보여준다고 설명했다.
#카스퍼스키 #KICS #OT보안 #ICS보안 #XDR #산업보안 #산업제어시스템 #사이버보안 #AVComparatives #엔드포인트보안
