최근 미국 사이버보안청(CISA)이 발표한 긴급 권고안(AA26-097A)은 더 이상 부정할 수 없는 OT 보안의 민낯을 드러냈습니다. 이란 연계 해킹 조직이 미국 정수 시설을 타격할 때 사용한 도구는 거창한 사이버 무기가 아니었습니다. 그들은 단지 제조사가 설정한 '기본 패스워드'라는 열린 문을 통해 엔지니어링 소프트웨어에 접속했을 뿐입니다.
여기서 우리가 주목해야 할 숫자는 5,219입니다. 최근 Censys의 분석에 따르면, 현재 전 세계적으로 이만큼의 로크웰 오토메이션(Rockwell Automation) PLC가 인터넷에 직접 노출되어 있습니다. 이것은 로크웰 제품에 결함이 있다는 뜻이 아닙니다. 오히려 로크웰이 전 세계 표준으로서 가장 널리 쓰이고 신뢰받기에, 공격자들에게는 가장 거대한 전장이 되었다는 역설적인 증거입니다. 문제는 이 장비들이 설치된 시점부터 지금까지, 보안의 가장 기초인 '인증'조차 거치지 않은 채 방치되어 왔다는 사실입니다.
공격자들이 더 이상 악성코드를 만들지 않는 이유
우리가 직면한 진짜 위협은 'Living off the Land(LOTL)'라 불리는 전술에 있습니다. 해커는 시스템의 취약점을 파고드는 대신, 현장에서 표준으로 쓰이는 정상적인 엔지니어링 툴(Studio 5000 Logix Designer 등)을 그대로 활용합니다. 시스템 입장에서는 적군과 아군을 구별할 '신분증'이 없으니, 정당한 권한을 가진 엔지니어가 접속한 것으로 판단하고 모든 제어권을 넘겨주게 됩니다.
현장의 엔지니어들도 이 위험을 모르지 않습니다. 하지만 OT 환경에는 거대한 기술적 장벽이 존재합니다. 통신망이 불안정하고 10년 넘은 노후 장비가 즐비한 현장에, 매번 실시간 서버 인증을 거쳐야 하는 IT 방식의 다중인증(MFA)을 적용하는 것은 물리적으로 불가능에 가깝습니다. 인증 서버가 다운되거나 통신이 지연되는 순간, 공정 전체가 멈출 수 있다는 공포는 보안보다 가용성을 우선하게 만들었습니다. 결국 제조사와 운영사들은 위험을 인지하면서도 문을 열어둔 채, 보이지 않는 성벽만을 쌓아 올리는 악순환을 반복해 왔습니다.
탐지 중심 보안의 한계와 인증의 본질
그동안 우리는 네트워크 경계에서 침입을 '탐지'하는 것에 집중해 왔습니다. 하지만 LOTL 공격처럼 정상적인 도구를 사용하는 침입은 탐지 솔루션의 감시망을 유유히 빠져나갑니다. 이제는 질문의 방향을 완전히 바꿔야 합니다. "어떻게 침입을 찾아낼 것인가"가 아니라, "어떻게 기기 레벨에서 신원을 증명할 것인가"로 보안의 패러다임을 옮겨가야 합니다.
글로벌 PLC 제조사들의 하드웨어 가용성을 해치지 않으면서 이 숙제를 풀기 위해서는, 기존의 네트워크 기반 인증 체계에서 완전히 탈피한 접근이 필요합니다. 실시간 통신 없이도 기기 자체가 신뢰할 수 있는 토큰을 발행할 수 있어야 하며, 그 과정은 공정의 흐름을 방해하지 않을 만큼 가벼워야 합니다.
이미 중요 국가 인프라나 글로벌 제조 공정의 현장에서는 그 해법을 '단방향 다이내믹 인증 기술'에서 찾고 있습니다. 네트워크 연결이 아예 단절된 극한의 환경에서도 중복되지 않는 일회성 코드를 생성해내는 방식은, 로크웰이나 지멘스 같은 기존 설비의 안정성을 건드리지 않으면서도 국제 표준(IEC 62443)이 요구하는 식별 보안을 즉시 충족시킵니다.
지속 가능한 OT 보안을 위한 제언
보안은 공정의 효율을 방해하는 장애물이 아니라, 생산성을 지속 가능하게 만드는 가장 확실한 기반이 되어야 합니다. 산업 전반의 ‘인증 거버넌스’ 재정립을 위해 이제는 관성적인 보안 정책에서 벗어나, 현장에서 실제로 작동하는 기술적 대안에 귀를 기울여야 할 시점입니다.