[데이터넷] 생산망, 제어망 등을 포괄하는 운영기술(OT) 환경은 무중단 운영을 가장 중요하게 생각하기 때문에 보안 기술 적용을 극히 꺼린다. 미러링 방식의 보안 모니터링 시스템이라 해도 설비에 센서를 설치한다는 점 때문에 혹시 모를 장애와 속도 저하를 우려해 단순한 모니터링도 쉽게 적용하지 못한다. 그러나 OT를 중단시키는 가장 위험한 요인이 사이버 보안 위협으로, 보안사고가 발생하면 시스템이 중단되거나 파괴돼 OT의 핵심 요소인 ‘가용성’을 무너뜨린다. 즉 OT의 가용성을 유지하기 위해서는 사이버 보안 대책이 반드시 필요하다는 뜻이다.

존 로버슨(Joe Robertson) 포티넷 EMEA CISO는 지난달 열린 ‘포티넷 시큐어 OT 서밋’에서 OT 가용성을 유지하기 위해 사이버 보안 대책을 반드시 마련해야 한다고 강조하며 “실제 OT 시스템에 허가되지 않은 장비가 많이 연결돼 있으며, 파악되지 않은 취약점도 매우 많다. 이 처럼 관리되지 않은 OT 환경은 보안위협이 쉽게 접근할 수 있으며, 가용성을 해치는 요인이 된다”고 지적했다.

OT 전문가 43% “공격으로 시설 4일 이상 중단”

OT 보안 위협이 최근들어 더욱 더 강조되고 있다. IoT·AI를 접목한 융합기술이 빠르게 확산되면서 폐쇄망으로 운영되던 생산망·제어망의 외부 연결 지점이 급속히 늘어나고 있기 때문이다. 포티넷 의뢰로 포레스터가 조사한 ‘2021 보안 리스크와 IT-OT 융합과의 상관관계’ 보고서에 따르면 OT 시스템의 32%는 인터넷에 직접 연결돼 있고, 또 다른 32%는 게이트웨이를 통해 연결돼 있는 것으로 나타났다.

연결성이 높아지면 당연히 사이버 위협도 높아진다. 특히 생산·제조망, 사회 주요 인프라 등 운영기술(OT)은 외부와의 연결을 염두에 두고 설계하지 않았기 때문에 보안에 취약하다. OT는 IT와 달리 가용성을 중요하게 여기기 때문에 패치 업데이트도 잘 하지 않으며 지원 중단된 OS·소프트웨어 업그레이드도 극히 소극적이다. 한 번 도입하면 장기간 사용하고 구성이나 설정 변경이 거의 없어 잘못된 설정이 오랫동안 유지되는 경우가 매우 많다.

실제로 제조업을 대상으로 한 공격이 급증하고 있으며, 특히 잦은 랜섬웨어 공격으로 고통을 당하고 있다. 포네몬 조사에 따르면 제조산업이 다른 분야에 비해 몸값을 지불할 가능성이 35배 높다. 2016년 예측한 바에 따르면 생산라인 중단 시 시간당 평균 손실액이 2만2000달러였는데, 지금은 훨씬 더 높을 것으로 보인다. 그래서 랜섬웨어 공격자와 협상하면서 시간을 끄는 것 보다 몸값을 주고 시스템을 복구하는 것이 더 낫다고 판단하는 것이다.

IT·OT 전문가들은 OT에 대한 보안위협에 대해 심각하게 경고하고 있다. 트렌드마이크로가 시장조사기관 밴슨 본에 의뢰해 500명의 IT·OT 전문가를 대상으로 실시한 설문조사에 따르면 제조업의 61%가 사이버 위협에 노출돼 있으며, 75%는 이로 인해 시스템 중단이 발생했다고 답했고, 43%는 4일 이상 시스템이 중단됐다고 답했다.

다양한 OT 전문가 양성 프로그램 마련해야

OT 보안의 가장 심각한 문제는 OT 보안에 대한 전문인력이 부족하다는 것이다. 트렌드마이크로 설문조사에 응한 전문가의 68%가 인력 부족이 가장 심각한 보안 과제라고 지적했다. 직면한 OT 보안 문제를 해결하기 위해서는 이 분야에 대한 수준 높은 전문가가 필요하지만, 국내는 물론 전 세계적으로도 OT 보안 전문가는 소수에 불과하다.

OT 보안 전문가를 양성하는 것이 쉬운 일은 아니다. OT와 IT 보안 모두에서 깊이있는 전문성을 갖춰야 하는데, 지금까지 OT와 IT는 분리 운영돼 협업을 거의 진행하지 않았다. OT와 IT 조직이 서로의 환경을 이해해야 할 일이 거의 없었다는 뜻이다.

IT-OT 융합 기술이 확산되면서 양 조직의 협력이 필수로 요구되는데, 각 조직이 바라보는 관점의 차이로 인해 원활안 협력이 이뤄지지 않는다. 양 조직의 특수성을 모두 이해하는 전문가가 의사결정권을 갖고 OT 보안을 지휘하는 것이 가장 확실한 해결책이지만, 그런 전문성을 가진 사람을 찾는 것이 매우 어렵다. 또한 OT는 비표준 기술을 많이 사용하며 각 현장마다 맞춤화 된 커스텀 기술을 사용하기 때문에 매 현장마다 다른 전문 지식을 요구한다는 것도 OT 보안 전문가를 찾기 어려운 지점으로 지목된다.

서정택 가천대학교 컴퓨터공학과 교수는 “OT 보안 전문성은 단기간 쌓을 수 없는 것이다. 각 산업별로, 개별 현장별로 다른 특수성에 대한 충분한 지식과 전문성을 축적해야 하는 일”이라며 “OT 보안 전문가를 육성하기 위해 학교 등 교육기관에서 관련 커리큘럼을 만든다 해도 이를 지도할 교수진도 부족한 상황”이라고 지적했다.

OT 보안 전문가 양성을 위해서는 대학·대학원 등에서 교육과정을 개설·운영하는 것과 현업의 OT나 IT 보안 담당자들을 대상으로 교육을 진행하는 것이 필요하다. 특히 IT-OT 융합이 계속되면서 OT 보안과 융합보안이 새로운 일자리를 창출할 것으로 기대되면서 관련 교육과정이 마련되어야 한다는 의견이 힘을 얻고 있다.

가트너는 IT-OT 융합환경이 확산되면 IT 보안 조직이 OT 보안까지 총괄하게 될 것으로 예측하면서 OT 운영자가 IT 보안에 대한 이해를 높이면 IT-OT 및 융합환경을 위한 보안 총괄 임원으로 승진할 기회가 더 많아질 것이라고 설명한 바 있다. 더불어 IT 보안 담당자들이 임원으로 승진할 기회를 갖기 위해서는 OT·IoT 및 융합보안에 대한 전문성을 갖추는 것이 좋다는 조언도 덧붙였다.

서정택 교수는 “학교와 민간 교육기관, 그리고 CPS보안연구회 등 연구모임을 통해 OT 보안과 관련된 기술을 연구하고 교육하는 노력이 이어져야 한다. 최근 공격은 OT/ICS를 집요하게 노리고 있으므로 앞으로 어떤 공격이 진행될 지 모른다. 그래서 각 산업별 보안 전문가 수요가 급증하고 있는 만큼, 현업 보안 담당자와 OT 운영자, 그리고 학생들도 깊은 관심을 갖기를 바란다”고 말했다.

김선애 기자 다른기사 보기