' 국가 중요 인프라 OT 보안 혁신 사례로 주목 '
센스톤, 한국수자원공사 OT 엔드포인트 식별· 인증 보안 최초 적용
(서울=2025년 9월 8일) 인증보안 전문 기업 센스톤(대표 유창훈)은 8일, 한국수자원공사가 추진하는 성과공유제 사업에 선정되어 ‘수도시설 감시·제어설비 보안 강화를 위한 사용자 인증 시스템 개발’ 과제를 수행한다고 밝혔다. 성과공유제는 중소·중견·스타트업 기업이 새로운 성능개선을 시도할 수 있도록 지원하고, 그 결과로 창출된 성과를 발주 기관과 참여 기업이 함께 공유하는 상생협력 제도다.
센스톤은 이번 사업에서 독자 개발한 OTAC(One-Time Authentication Code) 기반의 단방향 다이나믹 토큰 기술을 적용해, OT 엔드포인트 기기의 식별 및 인증 보안을 구현할 계획이다. 이번 사업은 최근 전 세계적으로 OT환경에서 PLC, HMI, RTU, DCS, SCADA 등 엔드포인트 영역의 보안 취약성이 크게 대두된 상황에서 추진돼 의미가 크다. 특히 이번 적용은 국가 기반 시설에 OT 엔드포인트 보안 기술이 실제 도입된 첫 사례라는 점에서 주목된다.
글로벌 OT 보안 위협, 현실로
최근 전 세계적으로 수자원 시설을 비롯해 국가 주요 시설이 사이버 공격의 주요 표적이 되고 있다. 지난 4월 노르웨이에서는 수력 발전 댐의 제어시스템이 해커들에 의해 원격 조작돼 수문이 100% 열려 4시간 동안 댐의 물이 방류되는 사건이 발생했다. 또한 8월에는 폴란드 대도시의 상하수도 제어시스템이 공격당해 수도 공급 밸브가 조작될 뻔한 위기 상황이 있었다.
이처럼 국가 기반 시설에 대한 사이버 공격은 단순한 피해를 넘어 사회적 혼란과 불안을 야기하며, 기존 OT 환경이 지닌 고정된 비밀번호 기반 접근제어와, 접속 로그를 관리를 통한 추적관리 부재 등 고질적인 보안 문제들이 공격의 빌미를 제공하고 있다. 따라서 국가 기반 시설에 대한 보안 강화는 더 이상 선택이 아닌 필수인 상황이다.
일회용 다이내믹 인증코드로 OT 엔드포인트 보안 강화
이번 사업의 핵심은 상수도와 댐 운영에 필수적인 감시제어설비에 대한 보안을 근본적으로 강화함에 있어, 모니터링 관제를 통한 사후 대응에 앞서 최초 접속 단계부터 차단을 한다는 사전 대응 정책을 적용하고 이로부터 확보된 로그를 감사로그로 활용하는데 의미가 있다. 기존 엔드포인트 설비의 접속 시스템은 관리자가 설정한 고정된 비밀번호를 사용해 해커의 공격에 쉽게 노출될 수 있었으며, 접속 로그 및 사용자 정보가 기록되지 않아 사고 발생 시 추적 및 대응이 어려웠다.
센스톤은 이러한 문제를 해결하기 위해 단방향 다이내믹 인증코드(OTAC, One Time Authentication Code) 기술을 적용한 ‘OTAC Trusted Access Gateway(TAG)’를 공급한다. 이 시스템은 스마트폰, 디스플레이카드 등 사전에 등록시킨 분리된 매체로 절대 중복 없는 일회용 인증코드를 오프라인 환경에서 생성하여, 시스템 접속 시 사용자 인증을 수행한다. 이를 통해 설령 인증코드가 노출되더라도 재사용이 원천적으로 불가능하므로 비허가된 접속 자체를 사전에 차단한다. 또한, 사용자 식별 정보와 인증 내역을 포함한 감사 로그를 기록하여 보안 관리의 체계성을 높인다. 단방향 다이나믹 인증코드 OTAC 기술은 네트워크 환경과 인프라의 제약이 많은 OT환경의 레벨0~2 영역에서 글로벌 유일하게 다중인증(MFA)을 가능하게 하는 기술이다. 이 기술이 접목되어 고도화된 보안 체계는 해외 중요 인프라 해킹 사례와 같은 위협을 사전에 차단할 수 있는 실질적인 대안으로 평가받는다.
기존 시스템 변경 없이 보안 강화, 높은 성능까지 확보
이번 시스템은 기존 레거시 감시제어설비 디바이스의 교체 및 제조사의 수정 지원 없이 보안을 강화할 수 있어 운영 및 관리 편의성이 그대로 유지된다. 즉, 엔드포인트 인증 보안을 고도화하는 ‘Endpoint 방화벽형 구조’로 설계된다. ‘OTAC Trusted Access Gateway(TAG)’는 센스톤의 OTAC기술과 사이버물리시스템 보안 전문기업 앤앤에스피(대표 김일용)의 제어시스템 보안 기술이 더해져 만들어진 국내 보안 기업간 협업 모델로도 의미가 있다. 이로써 수자원공사는 물 처리 시설의 안정적이고 지속적인 운영을 저해하지 않으면서 OT 보안 환경을 더욱 안전하게 업그레이드할 수 있는 기반을 마련하게 된다.
국정원 가이드라인 연계, 국가 정책 모델로 확장
이번 OT 엔드포인트 기기의 식별 및 인증 보안 사업은 내부적으로는 OT 보안관제에 필수적인 사용자 인증 및 이력관리 기술을 적용하여 IT & OT 통합보안관제체계 구축을 목표하며, 외적으로는 국정원 '제어시스템 보안 모니터링 구축 가이드라인' 실증 사업으로 연계하여 실제 산업 현장에 적용하는 것을 목표로 하고 있다. 실제 사업을 기획하는 단계에서부터 이 가이드라인을 고려하며 해당 기관과 소통하면서 추진하였으며, 이는 향후 국가 중요 인프라 제어시설의 OT 엔드포인트 접점에 식별·인증·감사가 강화되는 모델을 제시할 것은 물론, 글로벌 수자원 시설들의 취약점을 극복하는 우수 사례로 글로벌 표준을 제시할 수 있을 것으로 기대를 모으고 있다.
센스톤은 이번 과제를 통해 'OTAC Trusted Access Gateway'가 국가 중요 시설의 사이버보안 위험 요소를 차단하고, 효율적인 위험 관리 체계를 구축하는 데 핵심적인 역할을 수행할 것임을 입증할 계획이다.
유창훈 센스톤 대표는 “최근 해외에서 잇따라 발생한 수자원 시설 해킹 사례는 OT 엔드포인트 보안의 중요성을 다시 한번 상기시키고 있다”며, “이번 한국수자원공사 사업은 국가 핵심 시설의 OT 보안을 강화하는 의미 있는 시작이며, 앞으로도 센스톤의 기술력을 통해 우리나라를 넘어 전 세계 중요 인프라의 OT 환경을 더욱 안전하게 업그레이드하는 데 기여하겠다”고 말했다.
# # #
[용어 소개]