랜섬웨어는 IT 시스템에서 시작되지만, 거기서 끝나지는 않습니다. 최근 몇 년간 주요 기반시설을 운영하는 기관들은 점점 더 많은 사이버 공격에 직면하고 있습니다. 에너지 및 수도 시설부터 제조업, 교통 시스템에 이르기까지, OT(운영기술) 환경은 더 이상 예외가 아닙니다. 단순한 방해나 산업 스파이 활동뿐만 아니라, 데이터 탈취 및 금전적 목적의 랜섬웨어 공격 대상이 되고 있습니다.
최근 북미의 한 주요 전력회사에서 발생한 랜섬웨어 사건은 이러한 위협의 심각성을 잘 보여줍니다. 다행히 발전 및 전력 공급에는 영향이 없었지만, 공격자는 IT 시스템을 침투해 민감한 고객 데이터를 탈취하고 랜섬웨어를 설치했습니다. 이번에는 OT 시스템까지 직접 침해되진 않았지만, 사이버 범죄자들이 얼마나 가까이 접근할 수 있었는지를 보여주는 사례이며, 결과는 훨씬 더 심각할 수도 있었습니다.
하지만 이런 인식이 확대되고 있음에도, 많은 조직들이 여전히 IT 네트워크 강화와 경계 보안에만 집중하고 있는 실정입니다. 간과되고 있지만 가장 빈번하게 악용되는 지점은 바로 OT 환경의 ‘가장자리’, 즉 엔드포인트입니다.
눈에 잘 띄지 않지만 치명적인 엔드포인트의 위험
IT 시스템과 달리, PLC, HMI, RTU와 같은 OT 장비는 본래 보안을 고려하지 않고 설계된 경우가 많습니다. 아직도 많은 OT 엔드포인트가 기본값 혹은 고정 비밀번호를 그대로 사용하고 있으며, 원격 및 현장 접근 시 아무런 인증 강화 조치 없이 운영되는 경우도 흔합니다. 이는 OT 환경을 노리는 공격자들에게 너무나 쉬운 타깃이 됩니다.
고정된 인증 정보가 유출되면(예: 피싱, 크리덴셜 스터핑, 내부자 오용 등), 공격자는 핵심 시스템에 지속적으로 접근할 수 있는 발판을 마련하게 됩니다. 최악의 경우, 아래와 같은 공격이 현실화될 수 있습니다:
- 산업 공정 중단
- 제어 로직 및 설정값 변경
- IT/OT 융합 네트워크 내에서의 수평 이동
- OT 내부에서의 랜섬웨어 실행
이는 단순한 가정이 아닙니다. 실제 보고된 여러 사건들과 국가 지원 해킹 사례에서도, 공격자들이 보안이 취약한 OT 엔드포인트를 초기 침투 지점으로 활용했다는 사실이 확인되고 있습니다.
규제는 더 이상 선택이 아니다
그 중요성은 최신 규제 프레임워크에도 반영되고 있습니다. 유럽 전역에 적용되는 NIS2 지침과 국제 표준인 IEC 62443은 모두, 특히 중요 시스템에 대해 강력한 접근 제어와 신원 확인 메커니즘을 요구합니다.
이 중 특히 주목해야 할 조항은 IEC 62443 FR1 (Foundational Requirement 1: Identification and Authentication Control)입니다. 이 조항은 OT 시스템에 접근하는 사용자 및 디바이스에 대해 보안된 신원 확인 체계를 구축하고 이를 강제해야 한다고 명시하고 있습니다.
이에 따라 OT 조직은 다음과 같은 조치를 취해야 합니다:
- 모든 사용자의 고유 식별
- 역할 기반 접근 제한 적용
- 강력한 또는 다중 인증 도입
- 인증 정보의 정기적인 관리 및 감사 기록 유지
이제 컴플라이언스는 단순한 모범 사례(best practice)를 넘어서 법적 의무로 자리 잡고 있습니다.
강력한 인증으로 가는 첫걸음
엔드포인트 보안을 강화하기 위해서는 오래된 비밀번호 기반 접근 방식부터 개선해야 합니다. 이는 작업자, 엔지니어, 외부 공급업체 등 다양한 이해관계자가 OT 시스템에 접근하는 방식을 전면 재검토해야 한다는 의미이며, 특히 분산된 환경이나 외부 접속, 에어갭 환경일수록 더 중요합니다.
일부 선도적인 조직들은 공유 비밀번호나 고정 인증 정보 없이도 인증이 가능한 다이내믹 인증 방식을 채택하고 있습니다. 이 방식은 인증 정보 유출로 인한 공격 확산을 막고, 만약 하나의 엔드포인트가 침해되더라도 수평 이동을 방지할 수 있습니다.
대표적인 예시로, 센스톤의 PLC OTAC과 OTAC Trusted Access Gateway (TAG)는 네트워크 연결 없이도 작동하는 일회용 접근 코드를 생성해 복잡한 작업 환경에서도 보안을 강화할 수 있습니다.
엔드포인트가 약한 고리가 되는 것을 막아야 하는 이유
많은 사이버 보안 전략이 방화벽, 네트워크 분리, 경계 보호에 집중되어 있습니다. 그러나 랜섬웨어가 날로 지능화되고 규제가 강화되는 지금, 엔드포인트 보안은 핵심 방어선으로 인식되어야 합니다. 더 이상 뒷전일 수 없습니다.
고정된 인증 방식을 사전에 대체하고 IEC 62443 FR1과 같은 기준에 발맞춘다면, OT 조직은 공격에 강한 환경을 구축할 수 있을 뿐 아니라, 오늘날과 같은 위협 상황 속에서 주요 인프라 운영 기관으로서 요구되는 회복탄력성까지 확보할 수 있습니다.
