단방향 통신·중복되지 않는 일회용 코드로 PLC 인증 보안 강화
[데이터넷] 인증 보안 전문기업 센스톤(대표 유창훈)은 PLC 기업 독일 피닉스컨택트(Phoenix Contact)의 디지털 소프트웨어 마켓플레이스 PLC넥스트 스토어(PLCnext Store)에 모듈형 사용자 인증 고도화 솔루션 ‘OTAC 오스 PLC넥스트용 MFA(OTAC auth - MFA for PLCnext)’를 출시했다고 30일 밝혔다. 피닉스컨택트 PLC 사용 기업은 일회용 인증코드(OTAC)를 이용한 고급 인증 시스템으로 업그레이드할 수 있게 됐다.
센스톤은 세계 5대 PLC 제조사 중 2개사와 개념검증(PoC), 최소기능제품(MVP) 등 제품화를 위한 협업을 추진해왔다. 이번 피닉스컨택트 전용 솔루션 출시를 계기로 전 세계 PLC 사용자 인증 고도화 시장 공략에 속도를 낸다.
OT 자동화를 위해 사용되는 PLC는 대부분 ID/PW만으로 관리되고 있다. 디지털 혁신으로 OT도 외부와 접점이 많아지면서 PLC에 대한 보안위협이 높아지고 있다. 실제로 PLC 인증 우회를 통한 공격으로 많은 피해가 발생했는데, 2021년 미국 플로리다 수처리시설 해킹에 이어 지난해 말부터 이스라엘 자동화 기업 유트로닉스의 PLC를 해킹해 이 PLC를 사용하는 미국의 여러 수도 및 폐수 시설을 공격하고 있다. 유트로닉스 PLC 해킹 공격을 하고 있는 이란 배후의 ‘사이버어벤저스(CyberAv3ngers)’는 PLC의 기본 비밀번호 ‘1111’을 사용한 것으로 알려진다.
센스톤의 OTAC는 중복되지 않는 일회용 인증코드를 이용해 강화된 사용자 인증을 제공, 기존 인증 시스템을 우회하는 공격을 막는다. 양방향 통신 없이 단방향에서 다이내믹 토큰을 사용할 수 있어 내부 보안 강화 효과가 높다.
‘OTAC 오스 PLC넥스트용 MFA’는 사용자 인증코드 생성용 모바일 앱과 관리자용 앱으로 구성된다. 인증코드 생성용 모바일 앱은 안드로이드용 구글 플레이와 iOS용 앱스토어에서, 관리자용 앱은 피닉스컨택트의 PLC넥스트 스토어에서 다운로드 받을 수 있다.
전산 관리자에 의해 공식 등록된 사용자는 앱을 통해 생성된 OTAC를 로그인 화면에 입력하는 것만으로 액세스가 가능하다. 한 번 생성된 OTAC는 지정된 시간 동안에만 유효하고 액세스 이후 바로 파기되므로 해킹에 따른 재사용 위험이 없다.
생산자동화를 위한 OT 영역에서 통합운영 및 제어를 위한 핵심 장비인 PLC는 각 기업마다 내부 인프라 및 운영 정책에 따라 인증 과정이 다르게 운영돼 왔지만, 센스톤의 PLC인증 솔루션은 기존 PLC인증방식의 UI/UX를 변경없이 그대로 활용하고 기존 환경에 맞춰 적용할 수 있도록 설계돼 쉽게 적용할 수 있다.
유창훈 센스톤 대표이사는 “현재 인프라를 유지하면서 패스워드의 위험성과 관리상의 한계를 극복한 PLC 인증 고도화 솔루션을 글로벌 산업 자동화 영역의 선두주자인 독일 피닉스컨택트사와 함께 글로벌 시장에 출시하게 된 것은 OTAC 기술에 대한 시장의 니즈를 한 번 더 확인한 것”이라며 “센스톤의 PLC인증 솔루션은 현재 OT산업 영역에서 해결하지 못했던 보안 위협을 극복하고, 인증 인프라 변경에 따른 시간과 비용을 획기적으로 절감함으로써, 산업 자동화에 따른 보안 위협에 대한 기업들의 고민 해결에 큰 도움을 줄 수 있을 것이라 확신한다”고 말했다.
