[디지털데일리 이종현기자] 센스톤이 생산 자동화를 위한 운영기술(Operational Technology, 이하 OT) 보안 시장 공략에 박차를 가하고 있다. 네트워크 연결 없이 사용자를 인증할 수 있는, 중복되지 않는 일회용 코드를 생성하는 ‘OTAC(One-Time Authentication Code)’ 기술을 통해서다. 여세를 몰아 2024년 기업공개(IPO)까지 추진한다는 계획이다.

센스톤은 올해 초 LS일렉트릭과 협력하며 OT 보안 시장에 뛰어들었다. LS일렉트릭은 유닛 디바이스에서 프로세스 제어, 스마트팩토리를 비롯한 공장 자동화에 이르는 토탈 솔루션을 제공하는 기업으로, 기계 및 생산설비의 자동화 제어를 위한 프로그래머블 로직 컨트롤러(PLC), 모션 및 로봇 등 정밀 위치 제어를 위한 모션 컨트롤러 등을 제공한다.

센스톤이 제시하는 비전은 OT 통합운영 및 제어를 위한 핵심 장비인 프로그래밍 제어장치(Programmable Logic Controller, 이하 PLC)의 사용자 인증 취약점을 OTAC로 해결하는 것이다. 초연결을 요구하는 스마트팩토리의 대두로 위협도 함께 상승하는 가운데 비밀번호 공유나 비밀번호 탈취로 인한 보안사고를 원천 차단한다는 전략이다.

센스톤은 지난 2월 LS일렉트릭의 개념검증(PoC)에서 시스템 업그레이드에 대한 부담 없이 비인가 사용자의 접속을 차단할 수 있는 자동화 제어 시스템을 구축했다. 현재는 글로벌 PLC 제조기업들과 함께 논의를 이어가고 있는데, 특정 기업과는 최소기능제품(Minimum Viable Product, 이하 MVP)을 개발 중이라고 전했다.

정보보호업계에서 OT 보안은 많은 기회가 있는 ‘블루오션’으로 인식된다. 보안에 많은 투자를 해온 정보기술(IT)업계와 달리 제조 분야는 다소 투자에 소극적이다. 다만 산업 자동화로의 움직임이 빨라지면서 OT 보안 시장 역시 본격화될 것이라는 전망이 지배적인데, 센스톤이 발 빨리 움직여 성과를 내고 있다.

센스톤 관계자는 “산업 자동화의 시대를 맞아 글로벌 제조 환경은 수많은 기기와 장비를 효율적으로 관리할 수 있는 OT 및 IT의 통합시스템으로 변화하고 있지만, 이 새로운 환경에 걸맞은 사용자 및 기기 식별을 위한 고도화된 인증 시스템이 구비되지 않아 외부 위협에 취약하다”고 전했다.

실제 이스라엘의 수처리 시스템은 PLC 공격을 통해 수처리 공정이 마비되고 수질이 오염되는 사고가 발생한 바 있다. 미국 플로리다주에서도 PLC 공격으로 화학물질 농도가 급속히 늘어 심각한 인명사고로 이어질 뻔한 사건이 있다.

센스톤은 PLC가 필수적으로 사용되는 발전소, 전력망, 제조공장, 가스라인 등 기반시설을 비롯해 함대, 전투기, 미사일 제조설비 등도 해킹에 노출돼 있다고 지적했다. 아이디, 패스워드 방식의 고정값 기반 사용자 인증 과정을 통해 접속되는 대부분의 PLC 장비가 문제의 원인이라고도 꼬집었다.

문제 원인이 드러났음에도 고쳐지지 않은 것은 새로운 인증 기술 적용을 위해서는 소프트웨어(SW)뿐만 아니라 하드웨어 및 인프라까지 대거 변경해야 한다는 문제 때문이다. 그러나 센스톤은 기업‧기관의 하드웨어, 네트워크 환경을 거의 그대로 유지한 채 사용자 인증 과정만 고도화하는 해결책을 제시했다.

센스톤은 PoC를 마친 LS일렉트릭과 함께 OTAC 기술이 탑재된 PLC 생산을 진행할 예정이다. LS일렉트릭은 가벼우면서도 강력한 접근제어목록(Access Control List, 이하 ACL)이 적용된 PLC 장비를 앞세워 사용자 인증 수요가 높은 민감한 제조 및 산업설비 시장을 우선 공략할 방침이다.

한편 센스톤은 글로벌 PLC 시장 점유율 상위 5개사 중 한 곳과 PoC를 마쳤다고도 밝혔다. 현재 해당 기업의 고객사에 실제 적용하는 단계다. 또다른 기업과는 해당 기업의 마켓플레이스 등록을 위해 공동개발 중이며, 오는 연말 OTAC 기반의 PLC 인증보안 패키지를 상용화할 계획이다.

유창훈 센스톤 대표는 “더이상 피할 수 없는 산업 자동화의 흐름 속에서도 여전히 외부 위협에 취약한 비밀번호 기반 고정값 방식의 인증을 사용할 수밖에 없었던 PLC 시장에서 센스톤은 장비와 인프라 변경을 최소화하면서 보안성을 높일 수 있는 유일한 모델”이라며 “글로벌 PLC 시장에서도 사용자 인증 고도화에 대한 수요가 큰 만큼 보다 적극적으로 시장을 공략해 나가겠다”고 피력했다.