[디지털데일리 최민지기자] 2023년 미 펜실베니아주 알리쿠이파시 상수도 시설이 공격받았다. 이란 배후로 추정되는 해킹그룹 소행이었다. 기본 적용된 비밀번호와 취약한 인증 시스템이 문제였다. 결국, 중요한 수도공급 시스템이 손상됐다. 같은해 말, 이란도 대규모 사이버공격을 받아 전국 70%에 달하는 주유소 서비스가 영향을 받았다. 이스라엘 연계 해킹단체가 배후로 지목됐는데, 이들 공격자는 주유소 연료 분배 시스템을 관리하는 소프트웨어의 인증 시스템 취약점을 노렸다.

운영기술(OT)을 겨냥한 사이버위협이 늘어난 가운데, 이처럼 PLC(Programmable Logic Controller) 보안사고가 전세계에서 반복되고 있다. PLC는 산업자동화에 필수적인 장치로, ▲입력을 모니터링하고 ▲결정을 내리고 ▲출력을 실시간 제어하고 ▲반복적인 고속작업을 지원하고 ▲효율성과 정확성을 향상시킨다. 특히, 산업환경에서 발생할 수 있는 여러 극한 조건에도 견딜 수 있도록 설계됐다.

센스톤 유창훈 대표는 지난 17일 디지털데일리 <DD튜브> 플랫폼에서 ‘소프트웨어 신뢰망 구축, 공급망 보안과 SBOM’을 주제로 열린 ‘쉴드체인(ShieldChain) 2024’ 온라인 세미나에서 “작고 가벼운 PLC 장비는 200만원정도 하는데, 이러한 전세계 PLC 시장은 20조원 이상 규모에 이른다”며 “전세계에서 PLC 보안사고는 계속되고 있으며, 심지어 한 화학시설에서는 인명사고까지 발생했다. 올해 로크웰과 지멘스 등이 PLC 취약점을 공지하기도 했다”고 설명했다.

보통 한 공장에 많게는 PLC 수천대가 깔려 있다. 관리자들이 모든 PLC 비밀번호를 외우기 힘드니, PLC 장비에 비밀번호를 프린트해 부착하는 경우도 다반사다. 제조사가 제공한 기본 비밀번호를 사용하는 사례도 흔하다. 설령 다른 비밀번호를 사용하더라도, 주기적으로 새 번호로 업데이트하지 않는다. 이러한 비밀번호는 엔지니어끼리 공유할뿐 아니라, 협력사 직원에게도 알려준다. 심지어, 최근 OT 기기들은 IT 네트워크와 다른 제조사 기기, 인터넷 등과 연결되면서 공격 요소는 점점 늘어나고 있다.

유창훈 대표는 “IT 환경은 속도, 성능, 리소스 등을 개선하면서 제로트러스트 정책으로까지 나아가고 있다. 하지만 OT 환경은 여전히 패스워드 인증에 의존하고 있다”며 “기존에는 보안보다 공장 오퍼레이팅이 더 중요한 이슈였다면, 이제는 해커가 원격으로 공격하면서 오퍼레이팅을 안정적으로 하기 위해서라도 PLC 보안 이슈에 주목하고 있다”고 말했다.

이어 “핵시설 교란부터 수도공급 오염까지 OT 공격은 심각한 위험을 초래한다”며 “사이버공격으로부터 중요한 인프라를 보호하려면, 인증시스템과 PLC 기기 및 OT 인증과정을 강화하는 것은 필수적”이라고 강조했다.

이러한 문제점을 해결하기 위해 센스톤은 세계 처음으로 OTAC(One-Time Authentication Code) 원천기술 개발에 성공해, ‘PLC OTAC’를 선보였다. PLC OTAC는 매번 다른 비밀번호를 생성해 인증하기에, 이러한 보안 위협으로부터 안전하게 대처할 수 있다는 설명이다. 사용자 환경‧경험(UI‧UX)도 그대로 유지되며, 누가 접근했는지 사용자 관리까지 가능해진다.

PLC OTAC를 이용했을 때, PLC 로그인을 하려면 등록된 스마트폰으로 인증코드를 생성하면 된다. 방금 생성한 코드를 PLC 로그인 화면에 입력하면, 실제 사용자 여부를 서버에서 확인 후 접속을 승인한다. 모든 인증코드는 한 번만 사용할 수 있어, 불법 취득한 코드로는 PLC에 접속할 수 없다. 사전에 등록되지 않은 사용자는 기기등록 자체가 불가능하며, 접속에 필요한 인증코드 생성도 할 수 없다.

통신망 연결이 제한된 경우에도, OTAC 인증코드는 생성 가능하다. 공장이나 작업 환경이 스마트폰 반입을 허용하지 않는다면, 스마트카드로도 OTAC 인증코드를 받을 수 있다.

유 대표는 “LS일렉트릭에서 이 기술을 도입했고, 글로벌 공급망관리 4위 기업인 슈나이더일렉트릭과 4번의 개념검증(PoC)을 진행해 내년 제품화를 위한 본계약 체결을 앞두고 있다. 슈나이더 PoC 결과 OTAC를 적용해 보안을 강화할 수 있고, 유럽보안 표준을 따르고 있다고 내부 리포트했다”며 “미 워싱턴 상하수도 관리기업, 싱가포르HPE, 오므론, 피닉스컨택트 등과도 이야기하고 있다. 글로벌 PLC파트너사는 11곳에 달한다”고 전했다.

또 “PLC OTAC는 OT 환경에서 국제표준과 EU 지침을 해결한다. PLC OTAC가 기술적으로 해결하기 어려운 지침을 준수할 수 있도록 역할을 했다”며 “한국 OT시장은 폐쇄망을 사용하니까 안전할 거라고 생각하는 분도 있겠지만, 써드파티 네트워크와 연결되면서 공격할 수 있는 통로는 존재한다. 대한민국 OT 보안이 더이상 안전하다고만 할 수 없는 환경이기에, 국내 자동차‧화학‧정유 기업 등에서도 PLC OTAC에 대한 문의가 들어오고 있다”고 덧붙였다.