[디지털데일리 이종현기자] 한국 경제에서 제조업이 차지하는 비중은 지대하다. 통계청 조사에 따르면 2021년 기준 국내총생산(GDP)의 27.9%는 제조업에서 발생한다. 미국 11.2%, 독일 18.3%, 일본 19.7%, 프랑스 9.2%, 영국 8.8% 등 OECD 주요국과 비교했을 때 가장 높은 수준이다.

이와 같은 제조산업은 다소의 침체기를 거쳐 사물인터넷(IoT) 및 인공지능(AI), 빅데이터 등 기술을 도입하는 스마트팩토리로 나아가는 추세다. 공정을 자동화 및 최적화함으로써 더 적은 비용으로 높은 품질의 제품을 생산해내는 스마트팩토리로의 전환을 위해 정부는 ‘한국형 등대공장’ 등 사업을 이어가고 있다.

그러나 이런 변화가 장점만 있는 것은 아니다. 여러 기술을 활용하기 위해 운영기술(Operation Technology, 이하 OT)에 정보기술(IT)을 접목함에 따라 타 시스템과의 연결점이 생겨나고 있다. 이는 외부 침입자가 노릴 수 있는 공격표면(Attack Surface)의 증가로 이어진다. 숱한 사이버보안 전문가들이 OT보안의 중요성을 강조하는 이유다.

OT보안의 대표적인 취약점 중 하나로 꼽히는 것이 자동화 시스템을 운영하기 위한 프로그래머블 로직 컨트롤러(PLC) 장비다. 펌프, 밸브, 로봇 팔 등 공장 내 여러 기기에 제어명령을 내리는 설비인 PLC 장비를 타깃으로 한 해킹은 경제적인 손실을 끼치는 데 그치지 않고 국민 안전까지 위협한다.

2015년 발생한 우크라이나 정전 사태는 전력망의 PLC를 해킹해 강제로 차단함으로써 전국적인 피해로 이어졌다. 2017년에는 산업제어용 제품 트리코넥스의 PLC가 해킹돼 석유화학공장이 마비되기도 했다. 2021년 플로리다 수처리 시설을 침입한 해커는 PLC를 조작해 화학물질의 농도를 높이는 수질 오염 테러를 감행했다.

플로리다 수처리 시설 해킹의 경우 수만명의 식수가 유독물질에 오염될 뻔한 심각한 사태다. 1만5000여명에 달하는 주민들이 피해를 입을 수 있었는데, 해당 사태 이후 미국 플로리다주에서는 외부 공격으로부터 중요 기반시설을 보호하는 법안이 도입되기도 했다.

업계에 따르면 공장 현장에서는 사이버보안에 대한 인식 부족으로 PLC 로그인 기능을 활용하지 않는 사례가 빈번하다. 통상 8자리 고정 패스워드를 1년에 한 번 바꾸는 정도로만 대응하고 있는 것이 현실이라고 꼬집었다.

실제 보안기업 클래로티에 따르면 지멘스는 PLC와 TIA 포털 간의 프로그래밍 및 통신을 보호하기 위해 고정된 암호화 키를 사용하면서 하드 코딩된 글로벌 암호 키를 추출할 수 있는 약점이 노출되며 이후 하드 코딩된 키의 사용을 제거하는 동적 PKI(Public-Key Infrastructure)를 도입하기도 했다.

한편 PLC를 주로 도입하는 제조업에서는 보안 영역 업무가 보안 부서와 제어·설비 부서 사이에 놓여 있는 것도 PLC 보안 개선의 걸림돌이다. 일반 기업에서는 모든 보안 업무를 보안부서에서 책임지고 있으나 국내 기반시설에서는 보안 담당자가 네트워크 스위치까지만 담당하고 센서, 스위치, 모터, 밸브 등 기기를 제어하는 PLC 보안은 제어·설비 담당자가 담당하고 있다.

업계 관계자는 “보안 기술에 대한 민감도가 낮은 제어·설비 담당자들에게는 고정 패스워드만으로도 PLC 보안이 충분하다고 여겨질 수 있다”며 보다 전문성 있는 관리가 필요하다고 강조했다. PLC 인증만 활성화시키더라도 위협을 크게 줄일 수 있다는 설명이다.

PLC 보안에 대한 결정권이 최종 고객사에게 없다는 것도 문제점으로 지적된다. 가령 국가 중요 기간산업 담당자는 강화된 PLC 보안 솔루션을 포함해 PLC 장비를 공급하라는 가이드라인이 없기에 대부분의 PLC 장비는 각종 제어장치를 공급하는 사업자의 패키지에 납품되고 있다.

최종 고객사들이 PLC 제조사의 보안 가이드 그대로 제품을 납품받고 있는데, 국내서 쓰이는 PLC 장비 80% 이상이 외산인 상황에서 보안사고 발생시 책임소재에 대해서도 문제가 불거질 수 있다는 지적도 나온다.

한 기간산업 시설의 보안 담당자는 최근 몇 년새 정기 점검시 PLC 장비에 여러 악성코드나 알 수 없는 프로그램이 설치된 것을 확인했다고 말한다. 그럼에도 PLC 제품 제조사에게 별도 보안 솔루션을 요청하는 것은 유지보수관리 등 부담으로 인해 현실적으로 불가능하다는 입장을 내비쳤다.

업계의 한 관계자는 “스마트팩토리 시대에 접어들며 PLC 보안의 중요성이 커지고 있지만 이에 대응하는 우리나라의 조처는 한참이나 부족하다”며 “PLC 보안을 위한 국가적 가이드라인이 없다는 것은 대한민국 기간산업의 허점”이라고 지적했다.

이어서 “정부는 국내 기업뿐만 아니라 외산 자동화 장비 제조사도 따라야 할 보안 가이드라인을 제시해야 한다. 이는 새로 도입될 장비뿐 아니라 기존에 도입된 장비까지도 포함해야 할 것”이라고 부연했다.