[데이터넷] OT가 CPS로 진화하면 외부와 연결되는 지점이 더 많아지고, 시민들의 생명과 안전, 국가 안보와 직결되는 사고가 더 빈번하게 발생하고 있다. 그래서 EU, 미국 등은 사회 중요 분야를 보호하는 강력한 규제를 제정하면서 관련 산업의 보안 대책 마련을 강제하고 있다. 글로벌 주요 규제와 위협 동향을 살펴보며, OT 보안을 위해 필요한 기술을 알아본다.<편집자>

과학기술정보통신부가 디지털 전환 지원을 위해 스마트선박, 우주, 로봇, 드론 분야 보안 내재화 등의 시범사업을 진행하고 있다. 스마트선박 보안위협 대응을 위한 AI 기반 사이버위협 탐지와 자동 분석 시스템 개발 지원 사업의 경우, 내년 1월 이후 건조 계약되는 선박에 의무 적용되는 국제선급연합회(IACS) 통합 요구사항 UR E26, E27을 준수하기 위한 내용이 담겨있다. UR E26, E27은 선박과 기자재시스템 사이버 복원력 달성을 위한 것이다.

스마트 선박은 선원이 탑승하지 않고 무인 자율운항해 최적적의 항로로 운항해 연료를 절감하며, 선박간 정보공유와 통합관리로 해상사고 예방과 대응을 강화할 수 있다. 선원들의 장기간 운항으로 인한 건강과 안전 문제도 해결할 수 있다. 스마트 선박은 위성통신망 선박원격제어 기술과 선박 자동 식별장치 등의 기술이 필요하며, 공격자가 통신 내용을 탈취하거나 위변조해 잘못된 통제 명령이 내려지지 않도록 하는 강력한 보안 시스템이 요구된다.

우리나라에서도 해사 사이버 안전제도 기반 마련을 위한 법제화를 검토, 중장기 로드맵을 수립하고 있으며, 지난 4월에는 선박 사이버안전 관리 지침(고시)를 제정하기도 했다.

교통 분야도 사이버 보안 규제 마련에 적극적이다. 미국 국토 안보부의 교통안전국(TSA)은 랜섬웨어 대응을 위한 교통 사이버 보안 요건을 발표했다. 이 지침은 미국 철도 운영 조직, 공항, 항공기 운영 업체와 중요한 파이프라인의 사이버 복원력을 강화하기 위한 성능 기반의 조치에 초점을 두고 있다.

은성율 클래로티코리아 지사장은 “유럽, 미국 등 선진국은 국가 안보와 시민의 안전에 위협을 줄 수 있는 주요 인프라와 공공 서비스를 보호하기 위한 규제를 지속적으로 강화하고 있다. 이 규제에는 사고 예방과 대응, 위협 정보 공유, 사고 시 관계기관에 보고하고, 복원을 위해 적극적으로 노력해야 한다는 내용을 담고 있다. 여기에는 공급망 보안까지 포함되고 있기 때문에 우리 수출기업들도 관련 내용에 관심을 갖고 투자해야 한다”고 설명했다.

그는 이어 “우리나라에서도 글로벌 트렌드에 맞게 인프라와 서비스, 중요 설비에 대한 보안 규제를 제·개정하고 있어 국내 기업·기관들의 대책 마련과 투자가 시급한 시점”이라고 덧붙였다.

전 세계 매출 2% 벌금 부과하는 NIS2

우리나라 기업이 가장 주목하고 있는 글로벌 규제는 EU의 네트워크 및 정보 시스템 지침 2(NIS2)다. 이 지침을 준수하지 않을 경우 필수 기업은 최대 1000만 유로 또는 전 세계 매출의 2%, 주요 기업의 경우 최대 700만 유로 또는 전 세계 매출의 1.4%의 벌금이 부과된다. 이는 EU GDPR 다음으로 강력한 벌금 규정이다.

EU 회원국은 이 지침을 적용한 법률안을 내년 10월까지 마련해야 하며, 규제 대상 기업·기관은 ▲사고 처리 ▲비즈니스 연속성 ▲암호화 ▲보안 인증 ▲보안 교육 등의 기능을 갖춰야 한다. 규제대상 분야에 공공 행정, B2B ICT 서비스 관리, 우주, 데이터센터 서비스, 클라우드 서비스, 전기통신 네트워크 제공자 등이 신규로 추가됐다.

박지용 노조미네트웍스 코리아 지사장은 “노조미 조사에 따르면 EU 소속 조직의 대부분이 아직 NIS2 규제 준수에 대비하지 못하고 있으며, 많은 기업들이 완전한 규제준수와 효과적인 사이버 보호를 위한 자산·네트워크 가시성조차 확보하지 못한 상태”라며 “우리나라 유럽 수출 기업들도 발주처에서 NIS2 규제준수를 요구하고 있기 때문에 대응책 마련에 분주한 상황”이라고 설명했다.

사회적 책임 관점의 ‘사이버 보안’ 접근 필요

EU는 디지털 미래를 위한 장기 로드맵을 수립하고 이행방안을 마련하고 있으며, 사이버 보안과 관련한 내용을 중점적으로 다루고 있다. EU의 디지털 정책은 ‘인간중심 디지털’을 강조하며, 디지털 미래 주도권 확보를 위한 포괄적인 프레임워크 개발을 진행중이다. 여기에 포함되는 사이버 보안정책은 사이버 복원력과 사회·경제 안정성 유지에 초점을 맞추고 있으며, NIS2를 비롯해 주요 조직 복원력 지침(CER), 사이버 복원력(CRA) 등 여러 규제를 제정하고 있다.

한국인터넷진흥원(KISA)의 윤주연 법제연구팀장은 “유럽, 미국 등의 사이버 보안 관련 규제가 사이버 보안에 대한 인식을 전환하는 계기를 만들고 있다. 기술뿐만 정책적 관점에서 조직의 제도적이고 규범적인 접근을 강화하는 방향으로 추진되고 있다”며 “사이버 위협은 경계없이 진행되기 때문에 모든 위협은 세계가 공동으로 대응해야 하는 것이다. 우리나라도 이러한 점을 감안하고 글로벌 추세에 맞게 안전한 사회를 위한 법제 마련을 진행하고 있다”고 설명했다.

윤 팀장은 기업·기관의 ‘사이버 보안 책임’에 대해서도 자세히 설명했다. 글로벌 규제는 사회적으로 중요한 서비스를 제공할 때, 안전을 전제로 해야 한다는 책임을 강화하는 방향으로 진행되고 있다. 미국 증권거래위원회(SEC)가 상장기업의 중대한 사이버사고, 사이버 보안 위험관리, 거버넌스 등의 중요 정보를 공개하는 것도 사이버 보안이 사업 리스크 관리 측면에서 중요하다는 인식에 기반한다는 점을 강조하며 “기업의 지속가능경영 측면에서 사이버 보안 거버넌스를 확립하고, 사이버 사고에 대비하는 체계를 갖출 필요가 있다는 논의가 이어지고 있다”고 덧붙였다.

시민 안전·국가 안보 위협하는 OT 공격

EU, 미국 등에서 강력한 법제화를 추진하는 분야는 시민들의 일상생활과 국가 안보, 경제와 직결되는 분야이다. 교통, 발전·에너지, 상수도, 통신과 데이터센터, 금융, 제조, 병원 등은 공격당하면 사회적으로 심각한 피해가 발생한다. 이 분야는 사이버 공격을 당하거나 장애·재해로 시스템 파괴·서비스 중단 시 사람들의 생명과 재산, 기업의 생존, 국가 안보를 위협한다. 그래서 사고를 미리 예측, 예방하고, 사고 시 즉시 대응해 복원력을 높일 수 있는 방법이 필요하다.

사이버 공격과 장애·재해는 국경에 관계없이 진행되기 때문에 한 국가에서 발생한 일이라도 전 세계, 관련 산업군과 관련 정보를 공유하는 것도 필요하며, 모범적인 대응 사례를 알려 유사한 피해를 입지 않도록 해야 한다.

그러나 많은 사람들이 알고 있듯이 OT 시스템은 사고·장애 대응 시스템을 갖추기가 상당히 어렵다. 가용성에 민감한 이 시스템에는 모니터링을 위한 센서 하나 추가하기도 쉽지 않다. 보안·모니터링에 필요한 에이전트를 설치할 리소스가 부족하며, 특수한 프로토콜과 OS, 애플리케이션을 사용해 기존의 범용 기술로 보호하는데 한계가 있다.

최근 가장 빈번하게 사고가 발생하는 병원을 예로 들어보면, 기존에는 의료시스템이 네트워크에 연결되지 않았거나 폐쇄적인 병원 내 네트워크로만 연결돼 있어 외부에서 침투가 어려웠다. 그런데 지금은 의료진이 사용하는 태블릿 기기, 환자들이 사용하는 클라우드에 연결되는 헬스케어 기기, 병원과 환자의 안전을 위해 설치한 인터넷에 연결되는 CCTV 등으로 외부와 연결이 가능해졌다. 병원의 의료기기들도 클라우드 연결을 통해 업데이트를 받으면 AI를 사용해 진단 정확도를 높이고 있다.

그런데 대형병원에서도 OT 전문가는커녕 IT 보안 조직도 갖추고 못하고 있다. 보안에 취약하고, 공격자의 높은 수익이 보장된 병원에 공격자들이 눈을 돌릴 수밖에 없다. 특히 코로나19 기간 동안 병원·헬스케어 분야 공격이 집중됐는데, 우리나라에서도 많은 병원들이 랜섬웨어와 정보유출 사고를 당하고 있으며, 클롭 랜섬웨어 조직이 미국 등의 중대형 병원을 잇달아 공격해 의료 서비스를 중단시키고 막대한 수익을 얻고 있다.