주요 인프라 시스템을 보호하기 위한 조치만 놓고 보면, 운영기술(OT)은 정보기술(IT)에 비해 한참 뒤쳐져 있는 게 사실입니다. 여전히 수많은 OT 환경에서 비밀번호를 쓰는 것도 문제지만, 이 비밀번호들마저도 변경조차 안되는 하드코딩된 비밀번호이거나, 운영자들끼리 전혀 꺼리낌없이 비밀번호를 공유하고, 정기적으로 비밀번호를 변경하는 작업조차 이뤄지지 않는 경우도 흔합니다.
이러한 행동들이 오래 전부터 이어져온 관행이라는 말로 치부되고 있다는 사실이 더욱 놀랍습니다. 이러한 관행이야말로 시스템을 외부 공격에 취약하게 만들 뿐만 아니라 조직 전체의 보안 수준을 저하시키기 때문입니다. 따라서 수많은 전문가들은 고정값으로 사용하는 비밀번호는 반드시 철퇴되어야 마땅하며, 이미 그 대책들도 충분하다고 강조합니다.
OT 환경에서 비밀번호는 얼마나 위협적인가?
앞서 언급한 바와 같이 비밀번호는 OT 환경에서 가장 손꼽히는 취약점 중 하나입니다. 수많은 경험이 없는 공격자들조차도 인공지능(AI)의 도움을 받아 특정 기기 또는 특정 조직의 비밀번호를 그리 어렵지 않게 찾아냅니다. 그런데 더 놀라운 건, 굳이 AI 도움조차 필요 없는 경우가 더 많다는 점입니다.
비밀번호 공유
여러 명의 운영자가 함께 관리하는 경우 각 OT 기기들에 설정된 비밀번호는 더 이상 비밀이 아닙니다. 그래서 비밀번호 관리는 더 더욱 어렵습니다.
하드코딩된 비밀번호
일부 OT 기기는 변경 자체가 매우 어려운 비밀번호를 가진 채 생산되기도 합니다. 이러한 비밀번호를 우리는 하드코딩된 비밀번호라 말하며, 결국 외부 위협의 시발점이 되기도 합니다.
비밀번호 변경 주기 부족
비밀번호를 주기적으로 변경하는 작업은 손쉽게 추측할 수 없는 새로운 비밀번호를 고민하는 것도 귀찮지만, 변경하는 시간이나 책임소재 여부까지 걸려 있는 지라, 많은 OT 조직들이 차일피일 뒤로 미루는 게 일반적입니다.
비밀번호 취약점과 관련된 주요 CVE
거의 매일 수많은 OT 기기 및 솔루션에서 취약점들이 발견되고 있는데, 비밀번호로 야기된 취약점들도 쉽지 않게 발견됩니다. 그 중 위협적인 비밀번호 관련 취약점들은 다음과 같습니다:
비밀번호 없는 보안 환경으로의 전환 가능할까?
비밀번호의 고질적인 보안 문제로 인해 최근 IT 및 소비자 기술 분야에서는 비밀번호 없는 인증 솔루션이 빠르게 확산되고 있습니다. 그러나 이러한 솔루션의 상당수는 OT 환경에 적합하지 않습니다. OT 환경에서는 보다 특화된 접근 방식이 필요합니다.
센스톤의 OTAC(One-Time Authentication Code) 기술은 OT 환경의 고유한 보안 문제를 해결합니다. OTAC는 고정값 기반의 비밀번호 없이 일회용 다이내믹 인증 코드를 활용하여 보다 강력하고 유연한 인증 방식을 제공합니다. 이를 통해 전통적인 비밀번호 기반 시스템의 취약점을 해결하고, 주요 OT 시스템의 보안 수준을 크게 향상시킬 수 있습니다. OTAC은 OT 환경의 새로운 보안 표준으로 그 입지를 넓혀가고 있는 만큼 반드시 주목하시기 바랍니다.