[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>

전라남도 고흥의 드론 택배 실증사업이 성공하면서 상용화의 가능성이 한층 더 높아졌다. 그런데 만일 배송용 드론이 해킹을 당해 물건을 떨어뜨리거나 다른 곳으로 배송하는 사고가 일어나면 어떻게 될까?

과학기술정보통신부의 ‘2022년 사이버 위협 전망’에서 배송용 드론 해킹, 스마트카 자율주행 시스템 해킹 등 IoT를 노리는 사이버 위협이 증가하고 있다고 전망했다. 2021년 아파트 월패드 해킹으로 스마트홈 보안문제가 현실로 드러나기도 했다.

IoT 해킹 문제가 스마트빌딩, 스마트항만, 스마트시티, 스마트팩토리 등 스마트한 시설과 인프라로도 확대되며, 운영기술(OT) 환경 위협으로도 연결될 수 있다. IoT와 OT는 보안을 고려하지 않고 설계됐기 때문에 보안문제를 해결하기 어렵다. OS·소프트웨어 및 펌웨어 보안패치가 제대로 되지 않으며 지원 종료된 오래된 소프트웨어를 사용해 보안 취약점이 매우 많다. 이러한 사실이 제대로 가시화되지 않아 공격자의 침입은 쉽고 보호는 어렵다.

강력한 규제를 받는 사회 중요 기반시설은 관련 규제가 최근 사이버 위협을 반영하지 않고 있다는 문제가 있다. 새로운 공격 트렌드에 대응하는 보안 기술을 적용할 때, 규제를 변경해야 하는 일이 생기는데, 여러 관계기관과 전문가 의견을 수렴하고 개정하는데 상당한 시간이 걸린다.

제로 트러스트 보안 원칙으로 OT·IoT 보호해야

OT·IoT 보호를 위해 기기와 설비 제조사들이 보안에 많은 투자를 하고 있지만, 실제 운영 환경까지 보안이 유지되기가 쉽지 않다. 현장에서 기존에 운영중인 설비 및 시스템과 연동하면서 기존 시스템의 보안 문제가 새로운 설비에도 영향을 미칠 수 있다. 운영 편의성과 생산성 제고를 위해 외부 시스템과 연결할 때 외부에서의 위협이 유입되는 사례도 자주 발생한다.

OT·IoT 설비와 서비스를 설계하는 단계부터 보안을 고려하는 보안 내재화가 필요한데, 완전히 새롭게 시작하는 설비 구축이나 서비스 설계라면 보안 내재화가 용이할 수 있다. 그러나 이 경우도 설비와 서비스를 구성하는 모든 요소와 공급망에 대해 일정 수준 이상의 보안을 강제하지 않는 한 완전한 보안 내재화가 어렵다.

OT·IoT 보안을 위한 가장 원칙적인 방법은 제로 트러스트이다. 모든 접속을 검증하고 모니터링해 이상행위가 발생하지 않도록 해야 한다. 가장 먼저 보호해야 하는 시스템이 외부에 노출되지 않도록 보호하고, OT·IoT 기기와 설비를 모두 파악하고 가시화 해 분류·통제 정책을 설립한다.

모든 접속 시도는 그 때 마다 검증하고 모니터링하며, IT 및 외부와 연결되는 지점에 대해서는 특히 강력한 접근통제와 인증, 모니터링을 진행한다. 최소권한 원칙을 적용해 한 번 승인된 세션이 장시간 이어지지 않도록 하며, 정기적으로 다시 인증을 거치도록 해 공격자의 무단 침투 가능성을 제거한다. OT·IoT 설비 전반에서 취약점을 찾아 제거하며, 가능한 오래된 소프트웨어는 최신 소프트웨어로 업그레이드한다.

설비에 접근하는 운영자에 대한 강력한 통제를 시스템화 하며, 인가된 사람이라 해도 일정 시간 단위로 재인증, 지속적인 모니터링이 가능하도록 한다. 단 업무 불편을 최소화하기 위해 인증과정은 생체인증, 생체행위인증 등을 이용해 간편하게 한다. IoT·IIoT 기기의 인증은 사람이 개입하지 않도록 자동화한다.

사용자들의 보안 습관을 생활화하는 것도 필요하다. 특히 개인 기기, 스마트홈 기기를 통해 감염되지 않도록 기기의 비밀번호를 안전하게 관리하며, 외부에 개인정보를 제공할 때 신중해야 한다. 펌웨어·소프트웨어 업데이트를 실행하고, 기기의 보안 감시 기능을 실시간 활성화하는 것이 필요하다.

김선애 기자 다른기사 보기