[데이터넷] 지난해 국회 국정감사 기간 동안 공개된 자료에 따르면 최근 5년간 한국수력원자력에 발생한 해킹 시도는 527건이었으며, 원자력안전위원회에 대한 공격 시도는 2015년 9건에서 2019년 152건으로 크게 늘어난 것으로 나타났다. 해킹 수법은 정보유출과 홈페이지 변조, 악성코드 유입, 시스템 권한 획득, 정보수집, 디도스 등으로 나타났다.

현재까지 발견된 국내 원자력발전소나 관련 시설에 대한 해킹 시도는 IT 영역에 대한 것으로, OT 영역에 대해서는 공개된 바 없다. 알려지지 않았다고 OT 영역이 안전하다고 단언할 수는 없으며, 앞으로 공격이 발생하지 않는다고 확언할 수도 없다. 이 영역이 해킹을 당하면 감당하지 못할 대규모 피해가 발생할 수 있기 때문에 더욱 더 각별한 주의가 요구된다.

서정택 가천대학교 컴퓨터공학과 교수는 “원전 사이버 보안 문제가 다른 나라 일이 아니다. 우리나라는 25기의 원자력발전소가 있으며, 모두 다 사이버 보안 대상이다. 원자력안전법과 원자력 방호방재법을 통해 원전운영의 안전성과 테러 방지 등을 위한 노력을 진행하고 있으며, 사이버 보안 대응을 위한 기술 연구와 투자도 진행되고 있다”며 “그러나 이 분야 전문가가 부족해 수요를 따라가지 못하는 상황”이라고 지적했다.

OT 가용성 위협하는 사이버 공격

보안 전문가 부족은 원전시설에만 해당하는 것은 아니다. 우리나라 안전과 안보, 시민을 대상으로 한 중요한 서비스를 책임지는 주요정보통신 기반시설 전체, 스마트팩토리·스마트시티 등 OT 분야 전반에서 보안 전문가 수요가 급증하고 있다. 그러나 우리나라에는 OT 보안 인력 양성기관이나 전문 교육 프로그램이 턱없이 부족할 뿐 아니라 이 프로그램의 강의를 맡을 전문가도 찾기 어려운 실정이다.

서 교수는 “OT 보안은 단기간의 교육 프로그램을 이수한다 해서 전문성을 갖출 수 있는 것도 아니다. OT는 각 사이트별, 각 시스템별로 각각 다른 전문성과 기술력을 갖춰야 하며, OT와 IT 보안에 대한 깊은 이해를 갖고 있어야 하기 때문에 전문가로 성장시키는데 상당한 시간과 투자가 필요하다”고 설명했다.

OT는 개별 현장마다 다른 환경을 구축, 운영하고 있기 때문에 현장에 맞는 전문가를 찾기가 어렵다. OT는 가용성이 중요하기 때문에 검증된 높은 보안 기술도 ‘혹시 모를’ 사고와 지연을 우려해 도입을 꺼리는 상황이다. 그러나 해킹은 가용성을 해치는 중요한 원인이기 때문에 최적의 보안 체계를 갖추고 기술을 적용해야 한다. 이를 위해서는 해당 현장 상황을 가장 잘 아는 전문가가 필요하다.

OT 보안 전문가가 적은 현재, 가장 빠르게 전문 인력을 양성하는 방법은 가능한 많은 대학과 교육기관에서 OT 보안 전문가 과정을 개설·운영하는 것이다. 그러나 이 과정을 담당할 교수진의 인력풀도 제한돼 있어 전문가 양성이 쉽지 않다.

서 교수는 “OT 보안 전문가가 충분하지 않기 때문에 차세대 인재를 키우는 것이 어려운 일이다. 그러나 교육 현장에서 차근차근 인재를 키워내면서 시장 수요에 대응하려는 노력은 반드시 필요하다”며 “가천대의 경우 대학원과 학부에 OT 보안 과목을 개설하면서 전문가 양성을 위한 노력을 기울이고 있다”고 말했다.

OT 보안, 새로운 일자리 창출 기회

OT 보안 전문가 양성을 위해 정규교육과정을 개편하는 노력도 필요하지만, OT 운영자와 IT 보안 담당자들이 OT 보안 전문가로 성장할 수 있는 기회를 주는 것도 필요한 일이다.

가트너는 IT-OT 융합환경이 확산되면 IT 보안 조직이 OT 보안까지 총괄하게 될 것으로 예측하면서 OT 운영자가 IT 보안에 대한 이해를 높이면 IT-OT 및 융합환경을 위한 보안 총괄 임원으로 승진할 기회가 더 많아질 것이라고 설명했다. 더불어 IT 보안 담당자들이 임원으로 승진할 기회를 갖기 위해서는 OT·IoT 및 융합보안에 대한 전문성을 갖추는게 유리하다는 설명도 덧붙였다.

다시 말해 OT 보안은 새로운 일자리를 창출할 뿐 아니라, OT 운영자와 IT 보안 담당자들이 성장해 나갈 길이기도 하다. 현업 담당자들이 이 분야에 대한 기술을 연구·개발하는 활동에 참여하면 전문가로 성장할 더 많은 기회를 포착할 수 있게 된다.

서정택 교수는 한국정보보호학회 산하 CPS보안연구회장을 맡아 CPS(Cyber Physical System) 보안과 관련한 여러 기술을 개발하는 활동을 적극 펼치고 있다. CPS보안연구회는 을 사이버 보안과 전력, 원자력, 교통, 수자원 등 국가기반시설 보안 관련 연구를 진행하고 있으며, 연구회가 참여한 OT 보안 기술 및 취약점 점검 기술이 여러 기관에 적용된 사례가 다수 있다.

최근 참여중인 한 과제의 경우, 국내 한 에너지 공기업에서 제어망 보안 모니터링 기술을 개발하, 이를 완료한 후 단계적으로 다른 기관에도 적용하면서 우리나라 에너지 산업을 위한 보안 기술과 체계를 만들어나간다는 계획이다. 이 과제에는 해당 기관과 유관부처 등이 참여해 진행하고 있다. 이 같은 성공모델을 지속적으로 만들면서 참여하는 회원들의 전문성도 높여가나고 있다.

서 교수는 “CPS보안연구회는 국민들의 안전과 직결되는 원전 및 에너지 산업, 스마트그리드, 자율주행 인프라 등 여러 분야의 연구를 진행하면서 OT 보안 기술 발전에 기여하고 있다고 자부한다”며 “최근 공격은 OT/ICS를 집요하게 노리고 있으므로 앞으로 어떤 공격이 진행될 지 모른다. 그래서 각 산업별 보안 전문가 수요가 급증하고 있는 만큼, 현업 보안 담당자와 OT 운영자, 그리고 학생들도 깊은 관심을 가져달라”고 당부했다.

OT 관련 기업의 보안 투자 필수

서정택 교수는 OT 보안에서 가장 시급한 기술 개발 과제에 대해서도 의견을 개진했다. 우리나라는 정보통신기반보호법에 따라 주요정보통신기반시설에 대한 정기적인 취약점 분석, 모의해킹을 진행하고 있어서 어느 정도 보안 수준은 갖춰져있다고 평가된다. 그러나 무선 네트워크에 대한 보안은 거의 마련돼있지 않아 주요 시설에 무선 통신을 사용하지 못하는 경우가 많다.

IT-OT 융합 가속화로 초연결사회에 진입하게 된 현재, 무선통신이 네트워크 기본 인프라 중 하나로 적용되어야 하는 상황이 늘어나고 있다. 그러나 보안 때문에 무선을 적용하지 못해 경쟁에서 뒤쳐질 뿐 아니라 보안 문제에도 직면하게 될 수 있다. 운영에 필요한 예외사항으로 혹은 보안 정책을 모르거나 알면서도 고의로 위배하는 사람들 때문에 무선 연결 지점이 늘어나게 되며, 관리되지 않은 포인트는 공격자의 접점이 될 수 밖에 없다.

서 교수는 “OT 현장의 다양한 센서에서 생산된 정보를 무선으로 수집하고 분석·모니터링 해 생산성과 보안성을 높이려는 노력이 적극 전개될 것으로 보인다. 무선 네트워크 사용을 피할 수 없게 된 만큼, 이에 대한 보안을 해결할 수 있는 방법이 시급하다”고 지적했다.

OT 보안을 위해 반드시 진행되어야 할 것으로 서 교수는 정부의 OT 보안 투자와 함께 민간기업의 투자도 병행돼야 한다고 강조했다.

세계적으로 유명한 OT 보안 기업들은 설비 제조사나 민간 기업, 투자전문기관 등으로부터 막대한 규모의 투자를 받으면서 성장해왔다. 특히 설비 제조사들은 보안 전문기업에 투자해 안전성이 높은 보안기술을 개발, 자사 제품의 경쟁력을 한층 더 높이고자 한다. 우리나라 민·관에서도 OT 보안 전문가와 전문 기업에 적극 투자해 관련 산업을 성장시키는데 도움을 주어야 한다는 주장이다.

서 교수는 “OT 보안 기술을 개발하는데 막대한 비용과 시간이 필요하기 때문에 뛰어난 전문기술을 가진 스타트업이라도 상용 제품을 시장에 내놓는 것이 어렵다. 또 OT 관련 기업들도 경쟁력을 갖기 위해 보안성을 제고해야 하는 만큼, 민·관의 적극적인 투자를 통해 좋은 기술을 가진 OT 보안 기업이 성장할 수 있도록 해야 한다”고 말했다.