산업 보안에서 가장 오랜 기간 위안이 되어온 개념은 단연코 물리적 망분리입니다. 수십 년 동안 공장 관리자들은 운영기술(OT) 네트워크가 기업의 IT 환경과 분리되어 있기 때문에 디지털 전쟁으로부터 근본적으로 안전하다고 믿어왔습니다. 하지만 최근 글로벌 인프라 보안 연구는 현재 산업 제어 시스템의 70% 이상이 어떤 형태로든 인터넷과 연결되어 있다는 사실을 밝히며 이러한 환상을 완전히 산산조각 냈습니다. 현대의 산업 환경은 고도로 상호 연결되어 있으며, 전통적인 에어갭은 더 이상 존재하지 않는다는 것이 냉혹한 현실입니다.
위협 그룹과 국가 배후 핵티비스트들은 더 이상 복잡한 기업 방화벽을 뚫고 생산 네트워크로 우회 진입하려 애쓰지 않습니다. 그들은 훨씬 더 직접적인 경로를 택하고 있습니다. 지정학적 목적을 가진 공격자들은 이제 피해를 극대화하기 위해 인터넷에 노출된 사이버 물리 시스템을 직접 겨냥합니다. 이들은 단 몇 시간 만에 인터넷에 노출된 수천 개의 HMI와 SCADA 시스템을 찾아내며, 전통적인 IT 보안 계층을 완전히 건너뛰고 국가 인프라의 심장부를 직접 타격하고 있습니다.
기본적인 원격 접속 도구를 악용하는 노련한 해커들
최근 미국의 한 주요 시립 수자원 시설이 공격당한 사례는 이러한 기본적인 보안 누락이 얼마나 파멸적인 결과를 초래할 수 있는지 증명합니다. 공격자들은 공장 출고 시 설정된 기본 패스워드를 사용해 노출된 셀룰러 라우터에 아주 단순하게 로그인했습니다. 기업들은 지속적인 운영과 빠른 문제 해결을 위해 외부 벤더나 유지보수 엔지니어에게 원격 접속을 자주 허용합니다. 하지만 산업 환경에 필수적인 엄격한 통제하에 이러한 접근이 관리되는 경우는 드뭅니다. 편의를 위한 우회로가 만들어지고, 기본 패스워드는 변경되지 않으며, 특정 유지보수 작업이 끝난 지 한참이 지나도 임시 접속 포트는 인터넷에 그대로 열려 있습니다. 디지털 정문이 활짝 열려 있는 상황에서 해커가 국가적인 대정전을 일으키는 데 천재적인 기술력은 필요하지 않습니다.
관리되지 않는 서드파티 연결의 숨겨진 위험성
단순한 해킹 수법에 이토록 속수무책으로 당한다는 것은 결국 '접근 권한 관리(Access Governance)'가 심각하게 실패했음을 의미합니다. 외부 엔지니어가 진단 점검을 마치면 물리적인 작업은 끝날지 몰라도, 그들의 디지털 접근 권한은 여전히 활성화되어 있는 경우가 많습니다. 일반적인 산업 시설이 평균적으로 50개 이상의 서드파티 벤더 연결을 동시에 관리하고 있다는 점을 감안할 때, 이렇게 '방치된 권한(Orphaned Access)'은 어제의 안전했던 유지보수 경로를 내일의 가장 치명적인 취약점으로 돌변하게 만듭니다.
만약 공격자가 침해당한 벤더사로부터 이러한 합법적인 크리덴셜을 손에 넣는다면, 그들은 단 하나의 보안 알람도 울리지 않고 노출된 SCADA 시스템에 직접 로그인할 수 있습니다. 수동적인 모니터링 도구는 그저 알려진 원격 접속 도구를 통해 신뢰할 수 있는 사용자가 로그인한 것으로만 기록할 것입니다. 공격자들이 바로 이 정확한 사각지대를 적극적으로 사냥하고 있는 현 상황에서, 고정된 크리덴셜과 관리되지 않는 원격 연결을 방치하는 것은 치명적인 운영 중단 사태를 자초하는 것이나 다름없습니다.
다이내믹 인증을 통해 직접적인 접근 위협 무력화
기업은 다이내믹 인증 시스템을 도입함으로써 단순한 해킹 위협을 즉각적으로 무력화할 수 있습니다. 중요 인터페이스에 접근하는 데 필요한 인증 코드가 매번 변하고 오직 단 한 번의 세션에만 유효하다면, 유출된 패스워드나 노출된 원격 데스크톱 프로토콜은 공격자에게 완전히 무용지물이 됩니다. 현대의 산업 환경을 안전하게 지키려면 에어갭이라는 환상에 기대는 것을 멈추고, 모든 단일 접근 요청이 문턱에서부터 능동적으로 통제되고 동적으로 검증되도록 만들어야 합니다.