SECURITY NEWS
| [보안뉴스] [OT보안 리포트] 사이버위협에 노출된 스마트공장, OT/ICS 보안이 답이다 | ||
|---|---|---|
|
||
|
2022년까지 스마트공장 3만개, 스마트 산업단지 10개 조성... 하지만 보안은? [보안뉴스 원병철 기자] 정부가 2022년까지 스마트공장(Smart Factory) 3만개를 짓고 10개의 스마트산업단지(이하 스마트산단)를 조성하겠다고 밝히면서 전국은 지금 ‘스마트공장’의 이슈에 빠져들고 있다. 정부는 스마트공장 전용 대출자금으로 3년간 3,000억원을 제공하고, 스마트공장을 전담할 ICT 코디네이터도 지원한다는 방침을 내세웠다. 중기부는 ‘중소기업 스마트제조혁신 정책 컨트롤 타워’ 역할을 할 ‘중소기업스마트제조혁신기획단’을 신설하고, 산업부·과기부·고용부 등 관련 부처와의 협업을 통해 정책결정을 신속하게 하는 한편, 민간기관과 협업을 통해 정책 효율성을 제고하겠다고 밝혔다.  [이미지=utoimage] 문제는 이처럼 정부가 스마트공장을 추진하는 데 있어서 아무도 ‘보안’에 대해서는 신경 쓰지 않는다는 점이다. 특히, 정부 주도하에 기존 공장들을 스마트공장으로 전환하고, 다시 이러한 스마트공장을 묶어 스마트산단으로 만들게 되면 모두 ‘네트워크’로 연결돼 편리성만큼 위험성도 높아지는 상황에서 보안이 담보되지 않는다면 엄청난 피해가 발생할 수도 있다. 지난 2018년 8월 세계 최대 반도체 위탁생산(파운드리) 기업인 대만의 TSMC가 워너크라이(WannaCry) 랜섬웨어에 감염돼 하루 동안 일부 공장 생산라인이 중단됐고, 이로 인한 하루 손실액이 3억 대만달러(한화 약 110억원), 제품 출하 지연과 비용 증가 등을 고려했을 때 총 2,800억원의 손해를 입은 것으로 알려졌다. 관련업계에 따르면 직원이 새 설비에 소프트웨어를 설치하는 과정에서 사용한 USB가 랜섬웨어를 옮긴 것으로 알려졌다. 2019년 3월에는 세계 최대 알루미늄 생산자인 노르웨이의 노르스크 하이드로(Norsk Hydro)가 록커고가(LockerGoga) 랜섬웨어에 걸려 금속 압출 공정 다수가 중단됐다. 노르스크 하이드로는 이로 인해 약 4,100만달러(한화 약 477억원)의 손실을 입은 것으로 알려졌다. 아울러 노르스크 하이드로가 알루미늄을 제때 생산하지 못하면서 전 세계 알루미늄 가격이 1.2% 이상 오르기도 했다. 이밖에도 미국의 화학기업 헥시온(Hexion)과 모멘티브(Momentive) 역시 랜섬웨어에 감염돼 생산에 차질을 빚는 등 공장 등 생산시설을 대상으로 한 사이버 공격은 꾸준하게 계속됐다. 생산시설을 대상으로 한 사이버 위협 발생...대응할 전문가 없어 세계 유수의 생산시설을 대상으로 한 사이버공격이 연이어 발생하면서 실제 큰 피해를 입자, 국내에서도 대기업을 중심으로 보안을 강화하려는 움직임이 시작됐다. 특히, 대만 TSMC의 사건 이후 삼성전자와 SK하이닉스 등 반도체 대기업들이 공장의 보안을 강화하기 시작했고, LG화학 등 화학기업들도 이에 동참했다. 문제는 생산시설의 보안을 위한 전문가가 거의 없다는 사실이다. 수많은 보안기업들이 산재돼 있는 상황에서 보안전문가가 없다는 말에 의아할 수 있지만, IT나 ICT에서 말하는 보안은 OT(Operation Technology, 제조 운영 기술)나 ICS(산업제어 시스템, Industrial Control System)에서의 보안과 의미가 다르다. 한 OT보안 전문가는 OT에서 말하는 보안은 ‘Safety’라면서, IT에서 말하는 보안(Cyber Security)과 다르다고 지적했다. “OT는 기본적으로 폐쇄망입니다. PLC나 RTU, HMI 등 공장에서 운용하는 생산망과 설비망, 공정망은 내부적으로만 통신하며 제품을 생산하기 때문에, 공장운영자는 사이버보안에 대해 아예 생각조차 하지 않고 있습니다.” 상황이 이렇기 때문에 사이버위협에 대해서 아무도 모르는 것이 현실이다. IT 혹은 ICT 산업은 그동안 크고 작은 사건·사고들을 겪으면서 적어도 ‘보안에 대한 인식’과 최소한의 ‘보안을 위한 투자’에 대한 공감대를 만들었다. 다른 업무와 겸직을 할지언정 최소한 보안담당자를 두거나, 법을 지키기 위해서 정보보호 관련 인증을 획득하고, 보안 솔루션을 구입하는 것에 대해 수긍한다. 그런데 공장에는 사이버보안은 고사하고 IT나 ICT 전문가도 없는 상황이다. 물론 어느 정도 규모가 있는 공장에서는 본사에 IT나 ICT, 보안전문가가 있기는 하지만, 그들 역시 공장에서의 보안에 대해서는 모르는 것이 현실이다. 대만 TSMC 랜섬웨어 감염 이후 국내에 OT보안 이슈 대두 한국에서 본격적으로 OT보안에 대해 논의하기 시작한 것은 2018년 대만 TSMC 랜섬웨어 사건이 알려지면서 부터인 것으로 알려졌다. 특히 같은 반도체 기업인 삼성전자와 SK하이닉스가 보안을 심각하게 고민했고, 노르스크 하이드로나 화학기업 등 사이버 공격을 받은 기업의 동종기업들도 이를 계기로 OT보안을 적용하기 시작했다. 한국의 기업보안 책임자들의 모임인 한국기업보안협의회 산하의 OT/ICS 보안기술연구회에 따르면 최근 공장에 OT보안을 접목하는 회원들이 많이 늘었다. IT 보안 전문가이자 기업보안 전문가인 한 회원은 대만 TSMC와 노르스크 하이드로 등 세계적인 생산시설들이 연이어 사이버 공격으로 인해 피해를 입자 공장에 보안을 적용하려는 움직임이 2018년부터 시작돼 최근 조금씩 성과를 보이고 있다고 밝혔다. 문제는 대기업에 속하는 기업조차 본사는 첨단 보안솔루션을 구축하고 직원 교육을 통해 보안을 강화하고 있지만, 생산시설인 공장에는 보안이 전혀 이뤄지지 않고 있다는 점이다. 이와 관련 한 관계자는 공장에 보안이 문제가 되는 이유는 크게 세 가지라고 지적했다. 첫 번째는 OT와 IT는 다르다는 사실이다. 같은 기계장비라고 하지만 양방향 네트워크를 기본으로 하는 IT와 달리 OT는 생산망과 설비망, 공정망이 전용 프로토콜을 통해서 단방향으로만 이뤄진다. 게다가 생산에 필요한 작업만 하는 장비들이기 때문에 IT와는 아예 결이 다르다. 이러한 점 때문에 공장에는 보안, 더 나아가 IT에 대해 잘 아는 사람이 없으며, 반대로 IT에 속한 사람들은 OT에 대해 잘 모른다. 두 번째는 그럼에도 불구하고 생산설비에서 사이버위협이 발생하는 이유는, 기술이 발전하면서 OT 장비들도 ‘디지털화’됐고, 랜 포트나 와이파이 연결이 가능해졌기 때문이다. 공장 직원들은 공장이 폐쇄망이라고 굳게 믿고 있지만, 기술의 발전에 따라 장비들이 기본적으로 네트워크 연결이 가능해졌다. 이런 상황에서 장비를 업데이트 하거나 패치할 때 노트북이나 USB 등 외부 장비를 연결하면, 이미 감염된 장비로 인해 생산설비가 감염돼 생산이 멈춰버릴 수 있다. 대만 TSMC도 이런 방식으로 랜섬웨어에 감염됐다. 세 번째는 생산설비에 대한 파악이 어렵다는 사실이다. 대부분의 생산설비는 최초 설치 후 구동이 잘 이뤄지면 그 이후에는 관리가 되지 않는다. 게다가 생산설비는 생산에 문제가 없으면 10년 이상을 사용하기 때문에 업데이트 등 후속 서비스를 받기도 어렵다. 이렇게 계속되다보면 결국 공장에 어떤 장비가 얼마만큼 있는지 파악조차 어렵게 된다는 것이 OT보안 관계자들의 설명이다. 실제로 모 대기업의 보안전문가 역시 “OT보안에서 가장 어려운 것이 바로 생산설비에 대한 분석”이라며, “어떤 설비가 있는지 알아야 보안위협이 발생할 수 있는 지 분석할 수 있는데, 애초에 우리가 어떤 설비를 갖고 있는 지조차 모르기 때문에 위협을 분석할 수도 없다”고 지적했다.  [이미지=utoimage] 보안을 전혀 고려하지 않는 생산시설 앞서 설명한 것처럼 국내 공장들이 OT보안에 대해 고민하면서 그 업무를 맡긴 것은 바로 사내 사이버보안팀이다. 고민의 이유가 사이버위협이기 때문에 사이버보안팀을 선택한 것은 당연한 일이지만, 사이버보안팀 역시 OT보안에 대해서는 잘 모르기 때문에 이들도 처음에는 어려움을 겪을 수밖에 없다. “저희도 TSMC 사건 이후 OT보안에 대해 진지하게 고민했습니다. 문제는 국내나 해외에서도 OT보안에 대한 전문가나 규정을 찾기 힘들다는 점이었습니다. 이 때문에 해외 사례를 중심으로 공부를 해야 했고, 컨설팅 업체들과도 의견을 나눴습니다. 하지만 쉽지 않더군요.” 실제로 공장에 OT보안을 적용한 기업의 보안책임자는 쉽지 않은 도전이라고 설명했다. 무엇보다 공장 현장에는 IT에 대해 아는 사람이 없어 이해시키는 것에 가장 큰 어려움을 겪었다. “IT에서 말하는 보안은 Cyber Security이지만, 현장에서 말하는 보안은 Security와 Safety, 즉 물리적인 보안과 안전이죠. 서로 의미하는 것이 다릅니다.” 또 다른 OT보안 전문가는 ‘폐쇄망’에 대해서도 지적했다. “공장운영자는 공장이 완벽한 폐쇄망이기 때문에 사이버보안을 할 필요가 없다고 말합니다. 하지만 실제 현장에 가보면 장비의 업데이트를 한다고 갖고 있던 USB를 장비에 꼽아놓거나, 스마트폰을 연결해 테더링으로 네트워크를 연결하는 것을 쉽게 볼 수 있습니다. 우리도 인지하지 못하는 사이 작업환경이 디지털화되면서 폐쇄망은 이제 존재하지 않는 것이 됐습니다.” 사실 현장에서의 가장 큰 문제는 ‘생산’이 최우선인 공장운영자에게 OT보안 솔루션을 도입하도록 설득하는 것이다. 윈도우나 리눅스를 OS로 사용하는 보통의 생산설비는 한 번 설치하면 10~15년은 기본으로 사용하는데, 큰 고장만 없으면 시스템을 업그레이드하거나 심지어 펌웨어도 업데이트하지 않는다. 시스템이나 펌웨어를 업그레이드 하려면 반드시 생산설비를 멈출 수밖에 없고, 생산설비가 멈추면 생산이 멈추기 때문이다. 게다가 대부분의 생산설비가 서로 연결되어 있어서 한 번 업데이트를 하게 되면 그에 맞춰 다른 장비도 업데이트해야 하기 때문에 공장운영자는 아예 하지 않는 것을 선택한다. 대규모 생산설비에서는 한 번 생산을 멈추면 그 피해가 천문학적이기 때문이다. 이와 관련 한 OT보안 전문가는 “지금도 현장에 있는 생산설비는 대부분 윈도우 95나 윈도우 ME 같은 오래된 버전의 OS를 사용하고 있다”면서, “IT보안에서는 상상할 수도 없는 일이지만 생산시설에서는 당연한 일상”이라고 설명했다. 이에 보안전문가들은 OT보안 전문 컨설팅을 통해 먼저 생산시설 현장의 상황을 파악하는 것이 중요하다고 설명한다. 최근 OT보안 컨설팅에서 두각을 나타내고 있는 컨설팅 기업의 담당자는 “실제 생산시설의 보안컨설팅을 나가보면, 대기업도 100점 만점에 20점 이하가 대부분”이라며 현재 생산시설의 보안에 낙제점을 줬다. “OT보안 컨설팅은 크게 4단계로 이뤄집니다. 자산식별과 업무분장, 디지털 자산 안전점검과 보안 솔루션 추천 순입니다. 생산시설에서는 수많은 장비와 기기들이 설치되어 있는데, 전부 파악이 안됩니다. 커다란 기계도 있지만, 온도를 재는 작은 센서와 같은 장비도 많기 때문이죠. 이에 먼저 자산을 식별한 후 업무를 분장하게 됩니다.” 한 OT보안 전문가는 “자산식별에서 가장 중요한 것은 가시성을 확보하는 것”이라면서, “생산설비는 대부분 고유의 프로토콜을 통해 통신하기 때문에 천차만별이라 확인하는 것이 어렵다”고 고충을 토로했다. 이 때문에 생산시설에서 보안을 위해 첫 단계에서 구축하는 장비들이 바로 이러한 가시성을 확보하고, 연결된 생산설비의 상황을 모니터링하는 것이다. 두 번째로는 OT보안 담당자를 두는 것이다. 대부분 생산시설에서는 OT보안 담당자가 없기 때문에 보통 컨설팅을 주도하는 담당자가 맡게 된다. 업무를 분장하고 난 후에는 세 번째로 디지털 자산에 대한 안전점검과 직원들의 인식개선이 진행되고, 이 단계가 끝나면 실제 현장에 적용할 수 있는 OT보안 솔루션들을 추천한다. OT보안 컨설팅 관계자는 “OT보안의 문제 중 하나가 현장에 보안을 담당하는 사람이 없다는 것”이라면서, “OT보안 담당자가 있어야 보안의 중요성을 알고 컨설팅을 추진하거나 예산을 요청해 보안 솔루션을 구입할 텐데, 현장에 담당자가 없으니 아무도 하지 않는다”고 지적했다. “대형 공장의 경우 본사의 보안담당자가 OT보안의 중요성을 알고 이에 대해 건의해도 현장에서 이를 이해하지 못하고 협조를 하지 않으면 원활하게 진행하기 어렵습니다. 본사의 IT 담당자도 OT에 대해서 모르는 건 마찬가지니까요. 이 때문에 빨리 현장에 OT보안 담당자를 두어야 합니다. 쉬운 일은 아니지만 그나마 OT 담당자가 IT나 사이버보안을 공부해 OT에 적용하는 것이 더 낫다고 업계에서는 보고 있습니다.” OT보안 솔루션 기업의 ICS Security 컨설턴트도 OT의 보안을 강화하기 위해 전문가를 양성하는 것에 대해 ‘OT 전문가에게 보안 교육’을 하는 것이 ‘보안 전문가에게 OT 교육을 하는 것보다 낫다고 설명했다. “저도 OT보안 업체에서 컨설팅을 하고 있지만, 원래 25년차의 OT 엔지니어입니다. OT가 워낙 특수한 분야이기 때문이죠. 물론 IT나 시큐리티도 특수하지만, 배경지식이 되는 OT에 초점을 맞추는 것이 낫다고 봅니다.” 이에 따라 실제 현장에서는 OT 혹은 IT 단독이 아닌 합동으로 팀을 꾸려서 작업한다고 ICS Security 컨설턴트는 설명했다. OT에서의 보안관제센터를 보면, 앞단에서는 보안전문가가 일을 하고, OT 전문가가 이들을 보완하는 방식으로 업무를 수행한다는 설명이다.  [이미지=utoimage] 정부의 스마트공장 활성화에서 빠진 보안...OT보안을 강화하라 정부가 스마트공장을 경제성장의 단초로 보고 2022년까지 3만개의 스마트공장을 구축하기로 결정하면서 천문학적인 예산이 투입되고 있다. 기존 공장들 역시 스마트공장이 생산을 높이고 안전을 담보할 수 있다는 생각에 이에 적극 대응하고 있다. 문제는 앞서도 지적했지만 스마트공장에 ’보안‘을 찾아보기 힘들다는 사실이다. 스마트공장 구축을 위해 전문 컨설팅을 받았다는 한 보안전문가는 “스마트공장 컨설팅에서 보안에 대한 이야기는 단 한마디도 나오지 않았다”고 걱정했다. 하지만 이미 사이버위협은 OT를 새로운 공격목표로 삼아 공격을 지속하고 있다. OT가 IT에 비해 보안에 취약한 것은 물론, 공장은 한 번 멈추게 되면 엄청난 피해를 입기 때문에 돈으로 협상을 할 가능성이 높기 때문이다. 게다가 OS나 프로토콜 등을 업데이트 하지 않는 특성상 외부 공격이 아닌 네트워크에 흘러다니는 오래된 문제에도 쉽게 당할 수 있다. 대만 TSMC가 2017년 등장한 워너크라이에 2018년 감염된 사실이 이를 증명한다. 한 OT보안 컨설턴트는 “공장 등 대규모 생산시설은 한 번 생산이 멈추면 천문학적인 피해를 입지만, 그 때문에 보안 솔루션 구입이나 기본적인 업데이트 등을 꺼린다”면서, “하지만 그러한 조치를 취하지 않으면 장래에 더 큰 피해를 입을 수 있다는 사실을 알아야 한다”고 우려했다. 이는 OT보안과 관련된 전문가들이 입을 모아 지적하는 부분이다. 특히, 공장 등 생산시설에서 자칫 사이버위협으로 생산중단을 넘어 물리적인 사고가 발생할 경우 인명피해까지 발생할 수 있다고 강조한다. 예를 들어 고열로 작업하는 공정에 사이버위협으로 온도제어가 안될 경우 현장에서 일하는 근로자에게 물리적 피해를 줄 수 있다는 설명이다. 이에 일부 OT보안 전문가들은 정부에서 스마트공장을 적극적으로 추진하는 만큼 보안에 대한 강제조항을 만들어서라도 보안을 강화하는 것이 필요하다고 주장하고 있다. OT보안은 국내에서는 이제 막 태동하는 분야다. 해외 역시 우리보다 빠르다고는 하지만 그다지 오래된 분야가 아니다. 두각을 나타내는 OT보안 솔루션 기업 역시 채 10년이 안된 경우가 많다. 이에 따라 스마트공장 혁신을 국가사업으로 추진하고 있는 우리나라가 적극적으로 OT보안을 장려하고 적용시켜 나간다면 빠르게 두각을 나타낼 수도 있다. 아울러 산업발전이 아니더라도 공장과 생산장비, 그리고 그곳에서 일하는 근로자들의 안전을 위해서라도 OT보안은 반드시 고려되어야 한다. [원병철 기자(boanone@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=91517)] |
||
| 이전글 | [보안뉴스] 윈도 XP와 윈도 서버 2003 소스코드 유출됐다 | |
| 다음글 | [보안뉴스] 이번엔 데이터 삭제 공격! 새로운 P2P 봇넷, HEH 발견돼 | |
