제조산업의 OT 시스템, 더 이상 안전하지 않다.

오늘날 제조업을 대상으로 한 사이버 보안 위협이 빠르게 증가하고 있다. 지난 2017년에는 일본의 글로벌 자동차 기업 혼다가 워너크라이(WannaCry) 랜섬웨어 공격을 받아 공장 일부를 며칠간 가동 중지시켰는가 하면, 2018년에는 글로벌 반도체 생산기업인 TSMC 내부 시스템이 악성코드에 감염되면서 하루 만에 약 110억 원에 달하는 손해를 입기도 했다.

최근 몇 년 사이 4차산업혁명과 관련된 기술들, 특히 외부와 연결되는 IIoT 인프라 등이 제조산업 전반에 빠르게 도입되기 시작하면서 폐쇄돼 있던 제조 시설과 시스템이 크고 작은 사이버 위협에 노출되는 일들이 점점 잦아지고 있다. 앞서 언급한 혼다와 TSMC의 사례가 단순히 남의 일이라고 생각되는가?

저들처럼 내로라하는 거대 기업들도 한순간의 실수로 돌이키기 어려운 피해를 입곤 한다. 따라서 기업의 OT 시스템을 운영하는 기업과 관리자들은 생산성과 보안 사이의 균형을 맞추는 일에 그 어느 때보다 주의를 기울일 필요가 있다. 또 그러기 위해서는 OT 보안에 필수적인 요소들을 모두 충족하는 적절한 OT 보안 솔루션을 개발할 필요가 있다. 

Moxa 아태지역 IoT 솔루션 부문 제품 마케팅 책임자인 로버트 쿠오(Rovert Kuo)는 “우리는 전통적인 자동화 기술을 사용할 때 겪지 않았던 문제들을 해결해야 하는 시기에 이르러 있다”고 말하며, “그중에서 특히 까다로운 것이 바로 산업용 사이버 보안이다. 이들 시스템에 만약 취약점이 존재하고, 그것이 실제 공격으로 이어진다면 IT 시스템 내에서 발생되는 사이버 보안 사고보다 훨씬 더 심각한 피해를 초래할 수 있다”고 말했다. 

인공지능(AI), 5G, 빅데이터, 사물인터넷(IoT) 등으로 대변되는 4차산업혁명은 산업 영역에서 특히 ‘스마트 제조’에 대한 빠른 변화와 시도를 이끌어내고 있다. 특히 많은 제조기업이 미래 성장을 위한 중추로서 산업용 사물인터넷(Industrial Internet of Things, IIoT) 구축에 나서고 있는 형국이다.

특히 IIoT는 IT(Information Technology)와 OT(Operational Technology) 시스템을 융합하고 제조 시스템 전반에서 수집되는 정보들을 활용해 시스템 성능을 극대화하는 것을 목표로 한다. 그러나 우리는 이런 변화에 지금껏 발견하거나 느낄 수 없던 새로운 위협들이 잠재하고 있다는 사실을 반드시 알고 있어야 한다.

OT 시스템에 등장하는 새로운 문제들

인터넷이 발달하면서 IT 시스템의 경우 포괄적인 수준의 사이버 보안이 이미 표준적으로 도입돼 있다. 하지만 OT는 다르다. 전통적인 OT 시스템은 외부 시스템으로 연결되지 않고 한정된 구역 내에서만 작동되는 폐쇄적인 시스템이었다. 또 많은 OT 시스템이 IT 시스템에서는 거의 사용되지 않는 일련의 독자적인 통신 프로토콜들을 사용하곤 했다.

이런 폐쇄적인 구조로 인해 과거의 산업용 시스템은 어떤 방해도 받지 않고 작동할 수 있었으며, 최상의 생산성을 달성할 수 있었다. 또 이런 구조 아래서 해커들은 기업의 OT 시스템 내부에 대한 정보를 얻거나 침입하는 일도 쉽지 않았다. 반대로 이 때문에 OT 시스템을 겨냥한 악성코드에 대해 잘 알려지지 않아 OT 엔지니어들도 보안에 대한 경계를 늦추거나 보안 그 자체에 무심한 경향이 있어온 것도 사실이다. 하지만 IIoT 기반 스마트 제조 인프라 구축이 가속화되면서 점점 더 많은 디바이스가 인터넷, IT 시스템과 연결되고 있다는 사실을 계속해서 인지할 필요가 있다. 

다시 말해, 이제 제조 산업의 OT 시스템은 더 이상 예전처럼 폐쇄적이지 않다는 뜻이다. 공용 클라우드로 연결되는 것이든, 사설 클라우드로 연결되는 것이든, 디바이스 · 데이터 시각화와 예측, 원격관리 등의 용도로 IIoT 아키텍처를 적용하기 위해서는 기존 OT와 IT 영역 간의 융합이 필수적으로 따른다. 그리고 이 과정에서 OT 애플리케이션과 시스템 환경을 변경해야 하는 것은 물론이고, OT 기기들이 외부로 드러나면서 해커들이 시스템에 사용되는 모든 장치들에 대해 알 수 있게 되는 길이 열리게 된다. OT 시스템 관리자들이 더 이상 외부의 보안 위협에 대해 안심하고 있어서는 안 되는 이유다. 조금 더 자세히 이야기해보자.

산업용 기기를 인터넷망에 연결하는 것이 거스를 수 없는 추세가 되면서 OT와 IT 시스템이 외부와 정보를 교환할 수 있게 된 구조는 2010년 이후부터 다수의 정교한 사이버 공격이 일어나는 단초로 작용했다. 산업 제어 시스템(ICS) 네트워크를 타깃으로 감행된 대표적인 공격 사례로는 악의적인 산업용 시스템 웜인 스턱스넷(Stuxnet)과 멀웨어 프레임워크인 인더스트로이어(Industroyer)를 들 수 있다. 

미션 크리티컬(Mission-critical) 애플리케이션을 가동하는 제조 업체들에게 이런 공격 사례들은 단 몇 초의 가동 중단만으로도 기업에 상당한 피해를 입힐 수 있다는 인식을 심어준 계기였다. 또 일련의 사건들은 사이버 공격의 대상이 SCADA나 HMI 같이 윈도우/리눅스 상의 소프트웨어 서비스에서 산업용 디바이스의 취약점을 노리는 쪽으로 바뀌고 있다는 사실을 의미하기도 했다. 또한 미국 국토안보부의 산업 제어 시스템 사이버 긴급 대응팀(ICS-CERT)의 조사 역시 최근에는 제조나 에너지 업계가 다른 분야들보다 훨씬 많은 사이버 공격에 노출돼 있다는 사실을 이야기하고 있다.

IT와 OT 사이버 보안의 중대한 차이점

일반적으로 보안을 잘 알지 못하는 OT 관리자는 결국 IT 전문가에게 도움을 청하곤 한다. 하지만 IT 시스템은 OT 시스템과는 매우 다른 구조로 설계된다. 달리 말해, IT 사이버 보안용으로 설계된 솔루션과 디바이스는 OT 시스템을 보호하기 위한 용으로 충분하지 않을 수 있다는 뜻이다.

OT 시스템은 멈추지 않는 가용성(Availability)이 무엇보다 중요한 문제로 삼고 있다. OT 관리자는 생산성을 극대화하기 위해 가동률은 높이고 시스템 중단은 최소화하고자 한다. 반면, IT 사이버 보안 시스템은 기밀성(Confidentiality)와 무결성(Integrity)을 최우선으로 한다. 가용성은 그 다음이다. 

이런 IT 사이버 보안 솔루션을 구현하는 과정에는 상당한 네트워크 구성과 시간 소모적인 테스트 절차가 필요하다. 하지만 OT 엔지니어들은 솔루션 구축 과정에도 시스템이 중단되는 것을 원치 않는다. 게다가 많은 IT 사이버 보안 솔루션은 전적으로 IT 전문가들에게 익숙하도록 설계돼 있다.

예를 들어 IT 사이버 보안 솔루션으로 침입 감지 시스템(IDS)을 사용해 네트워크상의 의심스러운 활동을 모니터링하고, 기록하고, 분석할 수 있을 것이다. 그런데 정작 OT를 담당하는 관리자들이 이런 기록과 분석 결과를 적절히 다루지 못한다면 상당한 인력과 시간을 들인 것에 비해서 만족스러운 성과를 얻긴 어려울 것이다.

그렇다 보니 요즘 제조기업들은 기성품으로 개발된 IT 솔루션을 사용하거나 아니면 전적으로 OT 용도의 사이버 보안 솔루션을 개발하는 것 사이에서 딜레마에 빠져 있다. 사이버 보안에 관한 염려 때문에 많은 제조업체들이 자동화나 스마트제조를 도입하거나 도입을 검토하는 것마저 주저하고 있다.

하지만 오늘날 공장의 자동화 시스템은 이미 다수의 디바이스를 네트워크로 연결하고 있으며 OT와 IT 시스템을 융합하는 방향으로 흐르고 있다. 결국 시대의 흐름을 거스를 수 없다면 흐름의 본질에 대해 정확히 이해하고 대비할 수 있는 준비를 시작하는 것이 옳은 방향이다.

OT의 본질을 이해하는 것이 첫걸음이다

전문적인 문제를 해결하려면 그만한 전문성이 필요하다. 마찬가지로 OT에 관련된 문제는 OT 전문가가 해결할 수 있고 해결해야 한다. 사이버 공격과 의도적인 사이버 보안 위험성을 방지하기 위한 100% 효과적인 기법이나 접근법은 아직 나오고 있지 않다. 산업용 사이버 보안 솔루션은 OT 기업들의 다양한 요구를 충족해야만 한다. 사이버 보안 능력을 향상하고 악의적인 공격을 방어하기 위해서는 각 OT 네트워크에 내포된 취약성을 철저하게 이해해야 할 뿐만 아니라 적절한 기법들을 동원한 심층 방어 전략을 구축해야 할 것이다.

무엇보다 엔지니어들이 OT 보안의 중요성, IT와 OT 네트워크의 차이점, 산업용 네트워크를 보호하기 위해 필요한 솔루션들은 무엇이 있는지 이해하는 것이 먼저다. 사이버 위협은 지금 이 순간에도 발생할 수 있다. 산업용 디바이스는 장비나 기능이 제각각 다르고 윈도우나 리눅스 같은 일반적인 운영체제 환경에서 실행되는 것이 아니므로, 기본적으로 장비를 도입할 때 업체에 해당 장비에 적합한 사이버 보안 솔루션을 요구하는 것도 좋은 방법이다. 

Moxa는 산업용 디바이스 연결과 네트워킹 솔루션을 전문으로 하는 기업이다. 1987년에 설립된 이후 32년 동안 전적으로 산업용 통신에 주력해 왔다. 그만큼 제조업 분야에서 장기간 쌓은 경험을 바탕으로 OT 관리자들이 어떤 문제들을 염려하고 또 어떤 것들을 필요로 하는지 잘 알고 있다. 또 이에 걸맞은 디바이스 보안, 네트워크 아키텍처 보호, 네트워크 보안 관리용으로 전문적으로 설계된 사이버 보안 솔루션 등을 제공하고 있다. 

특히 Moxa의 다양한 디바이스 보안 제품은 모두 산업용 사이버 보안 국제 표준인 IEC-62443을 충족하고 있다. 이들 제품은 ‘포인트 앤 클릭’ 인터페이스, 물리적인 포트 잠금 기능, 액세스 제어 목록, 방화벽 같은 보안 기능을 제공하므로, OT 엔지니어들이 명령어 인터페이스 사용법을 익히지 않고서도 네트워크 동작을 관리하거나 바이러스 등의 악의적 침입을 방어할 수 있도록 돕는다. 

또 언급한 것처럼 최근 점점 범위를 확대해가는 OT 보안 위협에 맞서 사이버 보안 솔루션을 네트워크 디바이스, 네트워크 아키텍처, 관리에서 OT 디바이스와 시스템으로 확대하는 노력을 지속 중이다.

이를 위해 Moxa는 또 다른 사이버 보안 솔루션 기업 트렌드 마이크로와 손잡고 TXOne 네트웍스란 합작 회사를 설립한 바 있다. Moxa는 이곳을 통해 산업용 침입 방어 시스템(IPS)을 개발하고 있다. 현재 베타 테스트 중인 제품은 OT 환경으로의 소프트웨어 보안 침입과 감지, 차단에 중점을 두고 있으며 가상 패치 보호와 프로토콜 지원을 포함, 취약한 인증 메커니즘을 강화할 수 있다. 지난달 일본에서 개최된 IoT/M2M 엑스포에서는 참관인들로부터 큰 호평을 받기도 했다. 

산업용 사이버 보안 사건이 빈번해지고 사이버 보안 규정이 엄격해짐에 따라서, 많은 제조업체들이 이 문제에 관심을 보이며 적극적인 솔루션 찾기에 나서고 있다. IT와 OT를 효과적으로 융합하고 전반적인 아키텍처와 산업 제어 시스템, 그리고 디바이스의 보안을 향상하는 솔루션을 제때 도입하는 것이야말로 OT 기업들이 그리는 미래 스마트 제조의 미래를 안정적으로 실현할 수 있는 가장 첫걸음이다.

글 | 산업용 네트워크/보안 전문기업 Moxa

- 이 글은 테크월드가 발행하는 월간<EMBEDDED> 2019년 11월호에 게재된 기사입니다.