재래식 전쟁에서 물리적인 발전소 하나를 파괴하려면 수백 발의 정밀 타격 미사일과 막대한 병참 지원, 그리고 고도로 조율된 군사 작전이 필요합니다. 하지만 디지털 시대인 지금, 그토록 거대했던 물리적 수고는 완전히 우회되고 있습니다. 최근 미국과 이스라엘, 이란 사이에서 고조되고 있는 군사적 충돌에서 볼 수 있듯, 글로벌 전쟁의 최전선은 이제 물리적 국경을 넘어 국가 핵심 인프라의 '인증 화면'으로 완전히 이동했습니다.
오늘날 공격자는 탈취된 패스워드 단 하나만으로 수십 개의 전력 시설을 동시에 마비시킬 수 있습니다. 최근 직접적인 교전국이 아님에도 불구하고 사이버 공격으로 연료 분배 시스템이 심각하게 마비된 요르단의 사례처럼, 이는 더 이상 단순한 시스템 장애가 아닙니다. 막대한 인명 피해와 경제적 손실을 동반하는 파멸적인 재난입니다.
세계적인 신용평가사 S&P Global Ratings가 최근 경고했듯, 이러한 피해의 확산은 지역 분쟁을 전 세계적인 하이브리드 전쟁으로 탈바꿈시켰습니다. S&P는 현재의 디지털 리스크가 임계점을 넘어섰으며, 단순한 운영의 연속성을 넘어 기업의 신용도와 글로벌 경제 안정성 자체를 위협하고 있다고 지적합니다.
이 끔찍한 비대칭성이야말로 현대 사이버 전장의 본질입니다. 물리적인 군사 타격을 가하는 데는 천문학적인 비용이 들지만, 다크웹에서 탈취된 엔지니어의 계정을 구매하는 비용은 보잘것없습니다. 국가 지원 해킹 그룹들은 디지털 세계를 통해 운영기술(OT) 네트워크를 타격하는 것이 최소한의 투자로 극대화된 파괴력을 얻는 길임을 너무나 잘 알고 있습니다.
국가 배후 해커들은 그저 정문으로 당당하게 로그인하는 중
전 세계적으로 지정학적 긴장감이 최고조에 달하면서, 국가 지원 해킹 그룹의 전술은 무식한 파괴 공작보다 훨씬 더 교활한 형태로 진화했습니다. 이 고도로 정교한 적들은 더 이상 복잡한 방화벽을 부수거나 값비싼 제로데이 취약점을 찾아내는 데 시간을 낭비하지 않습니다. 대신, 그들은 가장 저항이 적은 길을 택합니다. 정상적인 내부 직원의 크리덴셜(계정 정보)을 확보하여 그저 정문으로 걸어 들어오고 있는 것입니다.
이란 연계 해커들이 관리자 도구를 장악해 전 세계 79개국에 걸쳐 20만 대 이상의 기기를 원격으로 초기화(Wipe)해버린 글로벌 의료기기 거인 '스트라이커(Stryker)'의 끔찍한 침해 사례가 이를 증명합니다. 공격자가 합법적인 관리자의 아이디와 패스워드를 사용해 OT 네트워크나 관리 플랫폼에 진입하는 순간, 전통적인 보안 경계는 완전히 눈이 멀어버립니다. 그들은 시스템을 해킹하는 것이 아닙니다. 단지 로그인할 뿐입니다.
시스템은 이들의 계정을 정상으로 인식하기 때문에, 공격자는 단 하나의 알람도 울리지 않고 제어 루프를 파악하거나, 밸브를 조작하거나, 파괴적인 악성코드를 배포할 수 있습니다. '신뢰받는 신분'이라는 완벽한 위장막은 그들이 시스템을 완전히 멈춰 세우기로 결심하는 그 순간까지 그들을 투명 인간으로 만들어 줍니다.
산업 환경에 방치된 ‘고정값’이라는 치명적 결함
국가 핵심 인프라가 이러한 전술에 그토록 무기력하게 당하는 가장 큰 이유는 '고정값 기반의 로그인정보(static credentials)'에 대한 지속적인 의존 때문입니다. 많은 산업 환경에서 패스워드는 PLC나 HMI를 처음 도입할 때 설정된 후 거의 변경되지 않습니다. 폐쇄망이라는 특성과 운영 중단에 대한 두려움 때문에 보안 업데이트는 기약 없이 미뤄지고, 결국 수십 년 된 낡은 패스워드만이 해커와 국가적 블랙아웃 사이를 막아서는 유일한 장벽으로 남게 됩니다.
더욱이 표준적인 다중인증(MFA)과 같은 전통적인 IT 보안 솔루션은 OT 환경에서 완전히 무용지물이 되기 일쑤입니다. 산업 시설은 통신이 단절된 에어갭(Air-gapped) 환경이나 네트워크 연결이 불안정한 외곽 지역에서 운영되는 경우가 많아, 클라우드 기반의 인증 프롬프트를 수신하는 것 자체가 불가능합니다. 이는 지구상에서 가장 중요한 시스템들이 가장 취약한 형태의 '고정된 보안'으로 보호받는 위험한 모순을 낳으며, 단 한 번의 패스워드 유출을 공격자의 영구적인 '만능 열쇠'로 만들어버립니다.
동적 식별로 문턱에서 적의 무기를 무력화시켜야
이러한 비대칭적 위협을 무력화하기 위해, 산업계는 '정적 신뢰(Static trust)'라는 개념 자체를 완전히 폐기해야 합니다. 탈취된 패스워드가 공격자의 가장 강력한 무기라면, 가장 논리적인 방어는 그 패스워드가 탈취되는 즉시 완벽한 고철 덩어리로 만들어버리는 것뿐입니다. 이를 위해서는 중요 시스템에 접근할 때 필요한 인증 코드가 매번 변하고, 단 한 번의 특정 사용에만 유효하도록 하는 '동적 식별(Dynamic Identity)'로의 근본적인 패러다임 전환이 필요합니다.
통신이 완전히 단절된 오프라인 환경에서도 일회성 다이내믹 코드를 생성하는 인증 레이어를 구축함으로써, 기업은 국가 지원 해커들을 즉각 무장 해제시킬 수 있습니다. 디지털 열쇠의 모양이 매초마다 바뀐다면, 공격자가 손에 쥔 만능 열쇠는 의미 없는 숫자의 나열에 불과해집니다. 디지털 전쟁의 시대에 국가 인프라를 보호하는 것은 더 두꺼운 성벽을 쌓는 일이 아닙니다. 적이 애초에 첫걸음조차 내디딜 수 없도록, 끝없이 유동적이고 예측 불가능한 출입 통제 시스템을 갖추는 것입니다.