[디지털데일리 이상일기자] 산업 현장의 심장부라 할 수 있는 OT(Operation Technology) 시스템은 공장의 생산 라인부터 에너지 공급망까지 현대 사회를 움직이는 핵심 엔진이다. 하지만 이 엔진이 점점 더 사이버 위협의 표적이 되고 있다. IT 보안과 달리, OT 보안의 취약성은 국가 경제와 사람들의 일상에 직접적인 영향을 미칠 수 있어 그 위험성이 훨씬 크다는 지적이다.

때문에 산업 현장에서 운영기술(OT) 보안에 대한 관심이 커지고 있다. 산업 시설과 주요 인프라가 점점 더 연결되고 디지털화됨에 따라 OT 환경은 점차 사이버 공격의 주요 타깃이 되고 있는 만큼 이를 방어하는 기술에 대한 업계의 연구도 본격화되고 있다.

특히 인증 취약점은 OT 보안의 중대한 위협 요소로 자리 잡고 있어 이에 대한 보안 업계의 노력이 속도를 내고 있는 상황이다.

2024년은 이러한 위협이 현실로 드러난 한 해였다. 공통 취약점 및 노출(CVE)이 사상 최대치인 약 40만건을 기록하며, 보안 체계의 근본적인 약점이 드러났다는 평가다. 인증 취약점은 기본 설정된 비밀번호 사용, 다중인증(MFA) 미비, 패치되지 않은 시스템, 그리고 자격 증명 관리 소홀과 같은 형태로 나타나며, OT 환경의 무결성, 가용성, 기밀성을 심각하게 위협하고 있다.

OT 환경의 보안은 고도로 연결된 장치와 네트워크로 인해 더욱 복잡해졌다. 업계의 한 전문가는 "IoT 기기의 확산과 IT·OT 네트워크 융합은 공격 표면을 확대했으며, 취약점 탐지와 보고 메커니즘의 발전은 더 많은 취약점이 문서화되는 결과를 낳았다. 특히 인증 취약점은 데이터 침해와 운영 중단, 심지어 인명 피해로까지 이어질 수 있는 심각한 위험을 내포하고 있다"고 분석하고 있다.

지난 2024년에 보고된 CVE 중 OT 환경에 심각한 영향을 미칠 수 있는 주요 인증 취약점으로는 권한이 없는 사용자가 바이너리를 조작해 권한 상승을 수행할 수 있는 CVE-2024-8306, FOXMAN-UN/UNEM 서버/API에서 발견된 인증 우회 취약점인 CVE-2024-2013, 사용자 이름 추가·삭제·수정 등의 애플리케이션 기능을 악용할 수 있는 CVE-2024-51545 등이 꼽힌다. 이러한 사례들은 OT 시스템의 무결성, 가용성, 기밀성에 치명적인 영향을 미칠 수 있음을 보여준다.

미국 사이버보안 및 인프라 보안국(CISA)은 최근에도 주요 OT 장치와 소프트웨어에 대한 보안 권고를 발표하며 네트워크 노출을 최소화하고, OT 장치와 시스템을 방화벽 뒤에 배치하며 인터넷에서 직접적으로 접근할 수 없도록 구성할 것을 권장한바 있다. 또한 원격 액세스가 필요한 경우 최신 VPN을 사용하고, VPN 자체의 취약점 관리도 필수적이라고 강조했다.

하지만 CVE는 올해도 이어지고 있다. 일례로 지멘스의 산업용 엣지 관리 OS와 SIPROTEC 5 제품군에서도 심각한 보안 취약점이 발견되었다. CISA는 지난 1월 16일, 해당 시스템에 대한 네트워크 노출을 최소화하고 방화벽 뒤에서만 운영할 것을 권고하며, 필요한 경우 최신 VPN을 활용할 것을 강조했다.

국내 산업자동화 시장에서 두각을 나타내고 있는 미쓰비시 전기의 다중 공장 자동화 제품군에서도 리소스 풀 부족으로 인한 취약점(CWE-410)이 보고되었다. CVE-2023-7033으로 지정된 이 취약점은 원격 공격자가 TCP SYN 플러드 공격을 통해 이더넷 통신을 서비스 거부(DoS) 상태로 만들 수 있는 심각한 위험을 내포하고 있다. 특히 미쓰비시 전기는 수정 버전을 제공하지 않을 계획이므로, 사용자는 방화벽 및 IP 필터링을 통해 해당 취약점을 완화해야 한다. 또한, LAN 내 사용과 물리적 접근 제한, VPN 도입 등 추가적인 보안 조치가 필요합니다.

미쓰비시 전기의 FA 엔지니어링 소프트웨어 제품에서도 인증 누락(CWE-306)과 외부 제어 입력 사용(CWE-470)으로 인해 CVE-2023-6942와 CVE-2023-6943이 보고되었다. 각각 CVSS 기준 7.5와 9.8의 높은 점수를 기록하며, 공격자가 인증을 우회하거나 악성 코드를 실행해 데이터 변조 및 파괴, 서비스 거부 상태를 초래할 수 있다는 지적이다.

미쓰비시는 소프트웨어 업데이트와 더불어 방화벽 및 물리적 보안 강화 지침을 제공하고 있으며, 사용자는 최신 버전으로의 업데이트를 반드시 수행해야 한다는 설명이다.

관련업계에선 올해 AI와 결합한 사이버 보안 위협이 증대될 것으로 보고 있다. 때문에 강력한 인증 메커니즘 도입, 정기적인 보안 점검 및 업데이트, 그리고 다각적인 보안 전략이 기업에 있어 더 이상 선택이 아닌 필수라는 지적이다.