센스톤, OTAC 기술로 PLC 인증 강화해 보호
[데이터넷] OT 타깃 공격이 급증하면서 세계 각국 정부가 강력한 규제를 마련하고 있다. 국가안보와 국민들의 생명·안전과 직결된 주요 인프라와 기관을 보호하기 위한 규제가 등장하고 있으며, 공급망까지 규제의무 대상에 포함시키면서 국내 기업의 대응책 마련이 시급해졌다. OT 조직의 보안전략 수립에 도움이 될 수 있는 OT와 관련된 보안규제와 OT 위협 동향을 살펴보고, 대응 기술과 모범사례를 소개한다. <편집자>
CPS 확장되며 IoT 위협 더 높아져
OT 보안 대응 계획을 세울 때 간과하기 쉬운 것이 IoT·IIoT 보안이다. OT 보안을 OT 네트워크 모니터링에만 집중하게 되는데, 실제로 가장 많은 공격 경로는 외부와 연결된 IoT 기기다. CPS로 진화하면서 연결된 기기가 더 늘어나고, 미라이 봇넷과 같은 대규모 악성 IoT 봇넷이 공격에 이용되면서 IoT 위협은 그 어느 때보다 높아진 상황이다.
특히 최근 OT 환경에 IoT 사용이 늘어나면서 취약한 IoT를 봇넷 군단에 포함시키거나, IoT를 이용해 공격할 수 있어 더욱 위험하다. AIoT가 확대되면서 위협은 더 고도화되는데, 기기 무단조작, 주요 시설 정지, 프라이버시 침해·주요 데이터 유출, 자율주행차·항공·선박 시스템 해킹, 월패드·CCTV 해킹 등의 위협이 등장할 가능성이 매우 높다.
IoT 기기 사용이 인구 대비 월등히 많은 우리나라에서 이로 인한 위협은 더욱 증가한다. 노조미네트웍스는 올해 상반기 탐지한 감염된 기기가 많은 국가가 중국, 미국에 이어 우리나라가 세번째로 꼽혔다.
노조미네트웍스는 드론을 이용한 무인항공기(UAV) 위협을 분석한 보고서에서 더 작은 폼팩터 기반 드론으로 인한 공격을 경고했다. UAV는 개인이 여가를 즐기기 위해 사용하기도 하지만, 영상 촬영, 모니터링, 배달, 재난대응 등 다양한 분야에서 사용된다. 적국의 주요 시설 정찰 등 군사 목적으로도 사용되는데, 드론과 컨트롤러 사이의 명령어를 조작하거나 데이터를 탈취하는 등의 공격이 가능하다. 드론을 통한 정부·군사 기밀유출, 기업의 중요정보와 개인의 사생활 유출 문제가 나타나며, 드론 자체를 무기로 사용하는 공격도 등장할 수 있어 대안 마련이 시급하다.
스마트팩토리에서는 PLC로 인한 보안 문제가 불거진다. PLC는 스마트팩토리 센서 데이터를 수집해 펌프, 모터, 제동장치 등의 액추에이터를 통제하며, HMI에서 명령을 받아 L0~1 레벨의 기기를 작동시키기도 한다. PLC는 OT 시스템 운영의 핵심 설비지만, 보안 대책은 전혀 마련되지 않고 있다.
대부분의 PLC는 장비마다 고유 넘버를 ID로 하고 고정된 패스워드를 사용한다. 수백대, 수천대의 PLC를 운영하는 환경에서 PLC ID/PW 관리가 쉽지 않은 일이다. 공격자는 PLC와 연결된 워크스테이션에 침투하거나 인터넷에 연결된 PLC에 직접 접근해 ID/PW를 탈취하고 PLC가 제어하는 여러 기기들을 조작해 공격을 진행한다. 2020년 이스라엘 수처리 시설 해킹부터 시작해 전 세계 국방, 무기, 화학, 발전, 전력, 발전소 시설이 PLC를 이용해 공격, 심각한 피해를 일으켰다.
클래로티는 PLC를 무기화해 시설을 위협할 수 있는 ‘이블 PLC’에 대해 경고했다. 쇼단, 센시스 등을 이용하면 인터넷에 연결된 PLC를 찾을 수 있는데, 대부분 인증과 권한이 취약해 쉽게 접근할 수 있다. 유지보수·시스템 통합업체를 이용해서 PLC를 감염시키는 것도 어렵지 않은 일이다. 유지보수 업체 직원이 사용하는 워크스테이션을 감염시키면, 이 업체가 서비스하는 모든 조직에 침투 가능한 백도어를 만들 수 있다. 공격자는 이 직원의 워크스테이션에 잠복해 있다가 다수의 시설에 일제히 공격 명령을 내릴 수 있다.
IoT 최적화 인증 기술 필수
드론, PLC 등 OT·스마트시티 환경에서 가장 많이 사용되면서 보안이 취약한 IoT 기기를 보호하는 다양한 방법이 제안되지만, 여러 한계가 있다. 백신 등 보안 솔루션은 운영할 수 있는 리소스가 확보되지 못하며, 에이전트 관리가 어렵다. 사물간 통신이 가능해야 하고, 가볍게 구축하며 별도의 인증 과정 없이 인증할 수 있어야 공격자의 무단 침입과 데이터 유출을 막을 수 있다.
인증에 사용되는 PKI나 OTP 기술은 인프라 구축, 배포, 유지보수에 많은 시간과 비용, 전문성을 필요로하며, IoT 기기에 맞지 않는 복잡하고 무거운 기술 적용을 요구하기 때문에 맞지 않다.
센스톤의 경우, 네트워크 연결이 중단된 상황에서도 인증 가능한 일회용 인증코드(OTAC) 기술을 이용해 이 문제를 해결한다. OTAC는 클라이언트에서 생성되는 다이내믹 토큰을 서버·인증 장치에 보내는 단방향 인증 기술로 쉽고 간편하지만 안전하게 인증이 가능하다. OT 인프라 변경 없이, 에이전트 설치 없이 활용할 수 있다. 정책 상 패스워드 입력이 필요한 장치라면 패스워드와 동일한 길이와 형태로 인증코드를 발생시킬 수 있다.
국내 글로벌 PLC 제조사가 자사 제품의 인증을 강화하기 위해 센스톤 OTAC를 적용했다. 이를 통해 PLC 운영의 편의성과 확장성을 보장한 상태에서 인증 과정을 단순화하고 기존 인프라를 최대한 활용할 수 있게 했다. 비밀번호 공유, 오래되고 변경되지 않은 비밀번호 유출로 인한 문제를 해결하며, 인가된 사용자만 PLC에 접근할 수 있게 해 패킷 스피닝 공격을 차단한다.
이 제조사는 PLC에 OTAC를 적용해 보다 안전한 제품을 고객에게 제공할 수 있게 돼 경쟁력을 한 차원 높일 수 있게 됐다. 이 제조사는 PLC뿐만 아니라 OT 분야에서 비슷한 이슈를 가진 다른 제품에도 적용할 계획이다.
센스톤은 이 성공사례를 유럽, 아시아 다른 기업에도 소개하면서 POC, 최소기능제품(MVP)을 수행, 단기간에 좋은 성과를 거두고 있다. 조만간 성공적인 수행 사례를 입증한 후 제품양산 돌입을 공개할 수 있을 것으로 기대한다.
유창훈 센스톤 대표는 “PLC뿐만 아니라 복잡한 인증이 어려운 다양한 IoT 기기 문제를 OTAC로 해결할 수 있다. CPS 환경 확장으로 IoT·IIoT 기기 사용이 늘어나고 있으며, 폐쇄망 기기들이 외부와 연결되고 있다. 이 문제를 해결하기 위해서는 간단하게 작동되며, 복잡한 인프라 구축이 필요 없고, 보안에 사용할 리소스가 없는 기기도 지원할 수 있는 기술이 필요하다. 센스톤 OTAC가 최적의 인증 기술”이라며 “여러 글로벌 기업과 실제 활용사례를 만들면서 보안인증 개선의 레퍼런스로 선택받겠다”고 말했다.
