지난 2023년 OT(운영 기술)의 보안 취약점을 노린 사이버 공격이 급증하면서 OT 보안 기술에 대한 수요가 높아지고 있습니다. 여기서 운영 기술이란 제조 공장, 선박, 자동차 분야부터 수도, 전력 같은 에너지 시설 등 각 산업에 맞춰 설계된 생산 자동화를 위한 기술 및 시스템을 뜻합니다. 즉, 특정 산업군에서만 활용되는 게 아닌 우리 일상에 필요한 대부분의 분야에서 활용되고 있다는 것입니다.
과거에는 이 OT가 물리적으로 독립되어 있는 폐쇄망 형태라 사이버 공격 자체가 어려운 상황이었으나 4차 산업 혁명이 진행되면서 편의성 및 효율, 생산성 증대를 위해 사물인터넷(IoT) 기술이 접목되어 네트워크에 연결되었고, 이로 인해 사이버 공격에 자연스럽게 노출되게 되었습니다.
단순 정도 유출 만으로도 기업 이미지에 큰 타격을 입을 수 있는데, 이를 넘어 대규모 정전부터 화학 공장, 원자력 시설 등의 테러를 통한 유해 물질 유출, 철도, 항공 통신 시스템의 전자기 간섭 등 사회에 심각한 피해를 줄 수 있는 문제가 발생할 수도 있습니다.
실제로 2023년 말, 이스라엘과 연계된 해킹 단체인 프레데터리 스패로(Predatory Sparrow)를 통해 이란 전역에 있는 석유 펌프 시스템을 공격 받아 3만 3천여 곳의 주유소 중 70% 가량이 운영이 중단되는 사건이 터졌으며, 이슬람 혁명 수비대(IRGC)와 연결되어 있는 CyberA3ngers에게 미국 펜실베니아, 플로리다 등 10여곳에 달하는 수자원 시설이 이스라엘의 자동화 솔루션 기업인 유니트로닉스의 PLC 취약점을 노린 공격을 받기도 했습니다.
뿐만 아니라 함대, 전투기, 미사일 제조 설비 등 군 시설이 뚫린 적도 있었고, 본격적으로 사물인터넷 기술이 접목되기 이전에도 우크라이나 정전사태나 폴란드 트램 탈선, 미국 수산화나트륨 농도 조작 시도 등 다양한 사건 사고가 있었던 만큼, 앞으로 더 큰 이슈들이 잠재적으로 발생할 수 있으며, 이에 따라 사전에 예방하기 위한 경각심과 보안 기술 도입은 필수가 되었습니다.
사진: Unsplash의Proxyclick Visitor Management System
OT 영역에서 취약점이 발생하는 포인트는 통합 운영 및 제어를 위한 해심 장비인 프로그래밍 제어장치(Programmable Logic Contoroller, PLC)로, 대부분의 기관과 기업들에서 ID와 패스워드를 사용하는 고정값 기반의 사용자 인증 과정을 통해 장비에 접근하고 있다는 점입니다. 게다가 여전히 PC에 메모장 등으로 기록해놓거나 포스트잇에 ID, 패스워드를 적어 놓는 곳도 많아 비인가 사용자가 접근할 수 있는 수단이 곳곳에 널려 있는 상황입니다.
메모장, 포스트잇 등에 ID/PW를 적어놓는 건 간단하게 개선할 수 있는 부분이지만, 해킹 등을 통한 접근을 원천적으로 차단하기에는 힘든 게 현실입니다.
결국 해결책은 비인가 사용자의 접근을 원천적으로 차단할 수 있는 다중 인증 시스템(MFA, Multi Factor Authentication)의 도입이 필요한데요. 하드웨어, 네트워크 장비 등 기존에 구축된 인프라로는 적용이 어려운 경우가 많고 교체를 하기에는 비용 부담이 있어 실제 현장에 도입된 사례를 극히 드문 수준입니다.
하지만 계속해서 사건 사고자 발생하고 있으며 잠재된 문제는 이보다 더 크기 때문에 결국 해결책이 필요합니다. 센스톤에서는 이런 현실적인 부분까지 고려한 해결책으로 PLC OTAC 솔루션을 선보였습니다. 별도의 토큰 인프라를 구축하지 않아도 사용 가능하며, 기존 하드웨어 및 네트워크 환경을 거의 그대로 유지한 상태로 사용자 인증 과정만 고도화할 수 있는 OT 인증 보안 솔루션입니다.
사진: Unsplash의Volodymyr Kondriianenko
네트워크 연결이 전제되는 기존의 양방향 다이내믹 토큰이 아닌 단방향 다이내믹 토큰 인증 과정을 거치는 방식이기 때문에 단방향 통신만 허용되는 폐쇄망에서도 자유롭게 쓸 수 있습니다.
또한, 하드웨어 교체나 네트워크 환경의 업그레이드도 불필요하며, 기존 UX를 그대로 쓰면서 다이내믹 값으로 인증을 가능하게 해서 별도의 교육이나 적응 기간이 요구되지 않는다는 장점도 있습니다.
이렇게 OT 보안 취약점 문제가 전 세계적으로 이슈가 되면서, 이를 해결하기 위한 수단을 고려해야 하는 단계를 넘어 사회 안전과 기업, 기관의 신뢰를 위해 반드시 도입해야 하는 상황이 되었습니다. 센스톤 PLC OTAC는 다양한 분야에 도입 가능하며, 기존 인프라를 그대로 활용할 수 있게 해주는 매력적인 솔루션인만큼 안전과 신뢰를 위해 도입을 고려해보는 것도 나쁘지 않을 거라 생각합니다.
