자동화가 산업의 디딤돌이 된 시대에 인프라의 보안이 그 어느 때보다 중요해지고 있다. 산업이 디지털화되고 있는 중심에는 공장, 운송 시스템 등을 제어하는 프로그램 로직 컨트롤러(PLC)가 있다. PLC(Programmable Logic Controller)는 제조, 에너지, 운송, 유틸리티 등 다양한 산업 분야에서 제조 프로세스를 자동화하고 기계를 제어하는 데 사용되는 논리제어장치이다. PLC는 산업 장비나 프로세스의 제어와 모니터링을 할 때 사용하며 크게 입출력 모듈, 중앙 처리 장치, 프로그래밍 인터페이스로 구성된다. 마치 오케스트라의 지휘자 역할을 하는데 기계가 언제 시작할지, 멈출지, 더 빨리 동작할지, 느리게 동작할지 알려주는 역할을 한다. 모든 기계가 우리가 원하는 대로 작동하도록 돕는 리모컨과 같다. 그러나 PLC가 중요해진 만큼 점점 더 산업 준영 구조에 상호 연결되고 통합되면서 사이버 위협의 표적이 되고 있다.
대표적으로 2017년 사우디아라비아에서 발생한 석유회사 PLC 공격이 있었다. 갑자기 석유 공장의 가동은 예상치 않게 중지되었다. 공격에 결함이 생겨 공장 가동을 멈추는 데까지 진행이 되었지만 해커들이 계획한 대로 공격을 가한다면 인명 사고까지 이어질 수 있는 소지가 있었던 사고였다. 해커들이 공격 표적으로 잡은 것은 석유회사의 안전장치였다. 유독가스 누출 등의 안전사고를 방지하기 위한 제어 시스템으로 사고가 나면 무척 위험한 시스템이기도 하다. 해커들은 해당 시스템을 접근하여 원격으로 모니터링하고 제어할 수 있도록 코드를 심어 놓은 것이다. 만약 공장의 장비를 오작동하거나 유독 가스가 누출되었다면 큰 사고로 이어질만한 사건이었다. 이 사건은 안전장치를 제어하는 PLC를 조작하면서 사이버 공격이 산업 안전 시스템에 직접적인 영향을 끼칠 수 있는 가능성을 보여주었다.
사진: Unsplash의Robin Sommer
이 외에도 특히 산업 시설에서 PLC 공격이 무자비하게 행해지는 경우가 많다. 석유 및 가스, 수자원 시설은 에너지 자원을 제공하므로 국가적으로 중요한 시설인만큼 PLC 공격이 잦은 편이다. 이들 기관에 문제가 발생하면 상당한 경제적, 사회적 영향을 미칠 수 있기 때문에 해커들의 중요한 표적이 된다. 게다가 안전사고까지 나면 매우 치명적인 산업 시설이다. 특히 산업 운영 측면에서 자원의 생산 프로세스, 매장량, 시장 전력과 같은 정보는 매우 중요하다. 경쟁 기업, 국가는 단연 산업의 정보에 큰 관심을 갖고 전략적인 데이터에 접근하기 위해 산업의 PLC를 표적으로 삼는 경우가 많다.
2023년 12월에는 이란 전역의 주유소 70% 운영 중간 문제 역시 PLC 문제로 가동이 중단되었다. 다름 아닌 주유소 소프트웨어 문제였다. 이스라엘과 연계된 해킹 단체는 보란듯이 소셜미디어에 '이란 전역의 석유 시스템을 공격했다.'라고 알렸다. 이 단체는 이전에도 이란의 철강회사에 사이버 공격을 가하면서 이슈화된 적이 있다.
이란의 해킹그룹도 2023년 12월 미국의 수자원 시설을 타깃으로 대대적인 사이버 공격을 펼쳤다. 공격자들은 마찬가지로 상수도 시설의 운영을 조작하기 위해 PLC 공격을 가했다. 상하수도 시스템은 지역 시민과 동물들이 직접적으로 마시고 씻는 수돗물이다. 깨끗한 식수를 공급하는 상하수도 시스템에 오류가 발생하여 수산화나트륨과 같은 일부 성분 수준을 조작하게 된다면 일반 시민들의 생명에 까지 영향을 미칠 수 있다. 공격자는 상하수도 처리 시설을 비롯한 산업 환경에서 사용되는 구성 요소인 PLC에 집중하였다. 공격자들은 해당 기관의 비밀번호가 허술한 점을 틈타 수자원 기관에 접근하였다. 직접적인 수질 문제를 일으키진 않았지만 기관을 공격해 데이터를 훔쳤고 상수도 시설에 장애를 일으켰다. 그러면서 이스라엘과 관련이 있거나 이스라엘 제품과 관련된 모든 기업을 공격하겠다고 공언하기까지 했다.
이 외에도 다양한 산업군에서 시스템의 취약점을 틈타 PLC 공격이 벌어지고 있다. 사이버 해킹 사례는 사이버 위협으로부터 산업의 PLC 시스템을 보호하는 것이 점점 중요해지고 있음을 시사하고 있다. 점점 더 많은 산업 프로세스가 상호 연결되고 디지털화되면서 중요한 인프라를 보호하고 치명적인 문제를 방지하기 위해서는 시스템의 탄력성과 무결성을 보장하는 것이 필수적이다. 이를 위해 표준과 규정을 개발하고 업계 이해 관계자, 정부 및 사이버 보안 전문가, 전문 업체 간의 협력이 필수적이다. 예를 들어 보안 기업 중 하나인 센스톤은 PLC 보안을 위해 최소한의 리소스로 정확한 사용자 및 기기 인증을 하면서 비밀번호 취약성을 제거하며 인증 과정을 단순화해 보안 취약점을 제거한다. 센스톤의 OTAC 기술을 활용한 PLC 사용자 인증 제품은 독일 피닉스컨택트 디지털 소프트웨어 마켓플레이스(PLCnext Store)에도 출시되어 있다.
조직은 기술 솔루션과 사이버 보안 모범 사례를 포괄하여 전략을 구상하는 것이 중요해졌다. 사이버 위협에 대한 인식을 높이기 위해 정기적 취약성 평가는 물론이고 네트워크 세분화, 액세스 제어, 암호화, 침입 탐지 시스템 및 직원 교육까지 다양한 형태의 인식 고취가 필요하다. 더욱더 연결되는 산업 시스템에서 PLC 보안 문제를 사전에 해결하고 조직은 운영을 보호하고 중요한 인프라를 보호하면서 사이버 공격으로 인한 위험을 완화할 수 있다.
