해커의 사이버 공격이 서버나 네트워크 등 정보기술(IT) 영역을 넘어 선박이나 제조 공장 등의 운영기술(OT)과 산업제어시스템(ICS)으로 확대될 전망이다. 나날이 국내 스마트 생산시설이 늘어나는 상황에서 해킹으로 인한 운영 중단 등 피해를 막기 위한 대책 마련 필요성이 커지고 있다.
OT 네트워크는 그간 폐쇄망으로 운영돼, 외부에서 침입이 불가능했다. 하지만 사물인터넷, 디지털 트윈 등 기술이 생산시설에 적용되고, 외부망과 연결하는 스마트 공장이 늘어나면서 새로운 사이버 공격 대상이 됐다. 공장에 대한 랜섬웨어 공격이나 해킹은 시설 운영 중단으로 이어진다.
1일 보안 업계에 따르면 국내 제조 기업 79%가 인터넷 통신 기능을 갖춘 OT 장비 100개 이상을 운영하고 있다. OT 담당자 10명 중 8명은 지난해 한 번 이상의 침입을 경험한 것으로 나타났다. 이러한 침입으로 제조업 10곳 중 4곳이 생산성 저하를 경험했다. 하지만 OT 환경을 모니터링하고, 공격자의 활동을 자체 보안 운영 센터(SOC)에서 추적할 수 있다고 밝힌 기업은 12%에 불과하다.
◆OT 노린 공격 현실화
보안 인텔리전스 기업 맨디언트는 2023년 주요 보안 동향 중 하나로 아시아태평양 지역 반도체 제조업을 노린 사이버 공격을 전망했다. 기술패권 경쟁 요소 중 하나인 반도체 산업을 랜섬웨어로 공격해 공장을 중단시키면, 큰 손실을 우려한 기업이 쉽게 협상에 나설 것이라는 예측이다.
실제로 지난 2018년 대만 반도체 기업 TSMC는 1만대 이상의 생산용 PC가 랜섬웨어에 감염되면서 공장 가동을 48시간가량 중단했고, 연매출 3%에 해당하는 3000억원대 손해를 입었다.
자동차 산업 역시 공격 대상이다. 도요타는 2022년 3월, 일본 내 공장 14개와 조립 라인 28개의 가동을 중단했다. 도요타의 부품 공급업체를 대상으로 공격이 펼쳐졌는데, 이 때문에 약 1만3000대 규모의 차량 생산에 차질이 발생한 것으로 나타났다.
배준호 포티넷코리아 상무는 1일 열린 자사 전략 간담회에서 "기존 공장 인프라가 연결성을 지향하는 방향으로 변하면서 OT가 보안 위협에 노출됐다. 폐쇄망에서 운영되던 OT가 전사적자원관리, 그룹웨어, 공급망 등 인터넷과 연결되는데, 이를 노린 보안사고가 발생하고 있다"며 "우리나라는 아직 OT 환경이 폐쇄망에 있는 곳이 많지만, 스마트화로 인해 보안 공백이 생겨나는 추세"라고 설명했다.
◆체계적 보안 규정 구축, 공급망 관리 필요
일각에서는 OT보안에 대한 인식을 바꿀 만한 대형 사건이 아직 국내에 없어, 관련 수요도 상대적으로 적다고 분석했다. 다만, 글로벌 규정에 맞춰 선박을 제조하는 조선 분야에서는 관련 수요가 증가하는 추세다.
조원균 포티넷코리아 지사장은 "선박에는 제어를 위해 방대한 내부망이 구축돼 있어, 이에 대한 사이버 보안 요구사항 준수가 필요하다. 최근 탄소배출 절감 등의 문제로 새로 건조되는 배가 많은데, 이러한 부문에서 OT보안 수요가 늘어날 것으로 예상한다"고 밝혔다.
OT 환경을 노리는 공격에 대해 보안 전문가들은 체계적인 보안 규정을 구축하고, 공급망에 대한 관리가 필요하다고 강조했다.
안랩에 따르면 OT 환경은 완전한 폐쇄망이 아니며, 시스템 관리 등을 위해 연결하는 저장장치(USB 메모리 등)에 대한 보안 검사가 필요하다. 또 공격자가 내부 네트워크 상태와 사용 제품을 모르면 공격하기 어렵다고 덧붙였다. 때문에 내부 시스템 정보를 외부에 알리지 말고, 솔루션 벤더 홈페이지 등에 '도입 사례' 등으로 업체명이 불필요하게 노출되지 않도록 해야 한다고 밝혔다.
OT 네트워크는 그간 폐쇄망으로 운영돼, 외부에서 침입이 불가능했다. 하지만 사물인터넷, 디지털 트윈 등 기술이 생산시설에 적용되고, 외부망과 연결하는 스마트 공장이 늘어나면서 새로운 사이버 공격 대상이 됐다. 공장에 대한 랜섬웨어 공격이나 해킹은 시설 운영 중단으로 이어진다.
1일 보안 업계에 따르면 국내 제조 기업 79%가 인터넷 통신 기능을 갖춘 OT 장비 100개 이상을 운영하고 있다. OT 담당자 10명 중 8명은 지난해 한 번 이상의 침입을 경험한 것으로 나타났다. 이러한 침입으로 제조업 10곳 중 4곳이 생산성 저하를 경험했다. 하지만 OT 환경을 모니터링하고, 공격자의 활동을 자체 보안 운영 센터(SOC)에서 추적할 수 있다고 밝힌 기업은 12%에 불과하다.
◆OT 노린 공격 현실화
실제로 지난 2018년 대만 반도체 기업 TSMC는 1만대 이상의 생산용 PC가 랜섬웨어에 감염되면서 공장 가동을 48시간가량 중단했고, 연매출 3%에 해당하는 3000억원대 손해를 입었다.
자동차 산업 역시 공격 대상이다. 도요타는 2022년 3월, 일본 내 공장 14개와 조립 라인 28개의 가동을 중단했다. 도요타의 부품 공급업체를 대상으로 공격이 펼쳐졌는데, 이 때문에 약 1만3000대 규모의 차량 생산에 차질이 발생한 것으로 나타났다.
배준호 포티넷코리아 상무는 1일 열린 자사 전략 간담회에서 "기존 공장 인프라가 연결성을 지향하는 방향으로 변하면서 OT가 보안 위협에 노출됐다. 폐쇄망에서 운영되던 OT가 전사적자원관리, 그룹웨어, 공급망 등 인터넷과 연결되는데, 이를 노린 보안사고가 발생하고 있다"며 "우리나라는 아직 OT 환경이 폐쇄망에 있는 곳이 많지만, 스마트화로 인해 보안 공백이 생겨나는 추세"라고 설명했다.
◆체계적 보안 규정 구축, 공급망 관리 필요
일각에서는 OT보안에 대한 인식을 바꿀 만한 대형 사건이 아직 국내에 없어, 관련 수요도 상대적으로 적다고 분석했다. 다만, 글로벌 규정에 맞춰 선박을 제조하는 조선 분야에서는 관련 수요가 증가하는 추세다.
조원균 포티넷코리아 지사장은 "선박에는 제어를 위해 방대한 내부망이 구축돼 있어, 이에 대한 사이버 보안 요구사항 준수가 필요하다. 최근 탄소배출 절감 등의 문제로 새로 건조되는 배가 많은데, 이러한 부문에서 OT보안 수요가 늘어날 것으로 예상한다"고 밝혔다.
OT 환경을 노리는 공격에 대해 보안 전문가들은 체계적인 보안 규정을 구축하고, 공급망에 대한 관리가 필요하다고 강조했다.
안랩에 따르면 OT 환경은 완전한 폐쇄망이 아니며, 시스템 관리 등을 위해 연결하는 저장장치(USB 메모리 등)에 대한 보안 검사가 필요하다. 또 공격자가 내부 네트워크 상태와 사용 제품을 모르면 공격하기 어렵다고 덧붙였다. 때문에 내부 시스템 정보를 외부에 알리지 말고, 솔루션 벤더 홈페이지 등에 '도입 사례' 등으로 업체명이 불필요하게 노출되지 않도록 해야 한다고 밝혔다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지