사이버 공격자의 활동은 대부분 PC 앞에서 이뤄진다. 홈페이지의 취약점을 찾아 관리자 권한을 탈취하고, 데이터베이스에 접근해 중요한 정보를 얻는 한편 악성코드를 설치해 향후 공격을 위한 발판을 마련하기도 한다. 이메일 첨부파일이나 유사하게 꾸민 피싱 사이트도 해킹 수단 중 하나다.
하지만 영화에 등장하는 첩보원은 간혹 목숨을 걸고 위험한 지역에 직접 들어가 데이터를 복사하거나 파기한다. 미션 임파서블 시리즈가 대표적이다. 영화에서 주인공 이단 헌트(톰 크루즈 분)는 밧줄을 타고 컴퓨터실에 침입해 해킹하거나 수중금고에 침투하기 위해 댐에 다이빙을 하기도 한다. 이유는 단순하다. 해당 시스템이 인터넷과 분리된 폐쇄망이며, 보안 역시 일반 서버 시스템보다 강력하기 때문이다.
산업에서는 OT(운영기술) 영역이 영화에 등장하는 보안 시스템과 유사하다. OT는 IT(정보기술)와 비교되는 표현으로, 산업 장비, 자산, 프로세스를 제어·관리하는 하드웨어와 소프트웨어를 말한다. 도시, 공장, 사회기반시설 등 다양한 환경은 OT를 통해 관리되는데, 기본적으로 폐쇄망으로 운영되는 경우가 많으며, IT 영역과는 사용 장비, 규격, 소프트웨어, 장비 간 통신 방식 등이 서로 다르다. 따라서 IT 영역에서 발생해온 사이버 위협이나 해킹과는 거리가 먼 분야로 인식해왔다.
하지만 영화에 등장하는 첩보원은 간혹 목숨을 걸고 위험한 지역에 직접 들어가 데이터를 복사하거나 파기한다. 미션 임파서블 시리즈가 대표적이다. 영화에서 주인공 이단 헌트(톰 크루즈 분)는 밧줄을 타고 컴퓨터실에 침입해 해킹하거나 수중금고에 침투하기 위해 댐에 다이빙을 하기도 한다. 이유는 단순하다. 해당 시스템이 인터넷과 분리된 폐쇄망이며, 보안 역시 일반 서버 시스템보다 강력하기 때문이다.
산업에서는 OT(운영기술) 영역이 영화에 등장하는 보안 시스템과 유사하다. OT는 IT(정보기술)와 비교되는 표현으로, 산업 장비, 자산, 프로세스를 제어·관리하는 하드웨어와 소프트웨어를 말한다. 도시, 공장, 사회기반시설 등 다양한 환경은 OT를 통해 관리되는데, 기본적으로 폐쇄망으로 운영되는 경우가 많으며, IT 영역과는 사용 장비, 규격, 소프트웨어, 장비 간 통신 방식 등이 서로 다르다. 따라서 IT 영역에서 발생해온 사이버 위협이나 해킹과는 거리가 먼 분야로 인식해왔다.
산업계 디지털 전환, 사이버 위협에 노출된 OT
하지만 산업계의 클라우드 도입과 디지털 전환은 OT 영역을 IT 영역과 만나게 했다. 공장 내 각종 센서와 설비가 인터넷망에 연결되면서 시설 내 각종 정보가 실시간으로 클라우드에 취합되고, 여기서 분석한 데이터를 기반으로 운영을 최적화할 수 있다. 뿐만 아니라 설비를 원격에서 모니터링하고 제어하는 것 역시 인터넷망을 통해 가능하게 됐다.
한편으로는 IT 영역에 국한된 사이버 위협이 OT 영역으로 확산하는 계기가 됐다. 폐쇄망에서 운영하던 시설이 인터넷망에 연결되면서 외부에 노출된 셈이다. 장비 펌웨어를 업데이트하는 것조차 원격에서 가능해지면서 사이버 공격자가 침투할 수 있는 틈이 생겼다. 이러한 OT는 기존 IT와 동일한 보안 방법론으로는 대응하기 어렵다. 운영에 있어서 우선순위와 목적이 많이 다르기 때문이다.
IT에서는 보안에서 기밀성을 최우선적 고려하는 반면 OT는 가용성을 우선시한다. 지금까지 OT는 폐쇄망에서 운영돼왔기 때문에 기본적으로 기밀성이 유지돼왔다. 반면 공장이 멈추지 않고 작동하도록 하는 가용성 영역은 운영 효율을 위한 필수 요소로 인식돼왔다.
장비 간 통신 규약 역시도 서로 다르다. IT는 국제적 표준을 사용하는 반면 OT는 독자적인 방식을 사용하는 경우가 많다. 따라서 같은 기계장비라고 하지만 양방향 네트워크를 기본으로 하는 IT와 달리 OT는 생산망과 설비망, 공정망이 전용 통신 방식을 이용해 단방향으로만 이뤄진다.
공격 시 위협을 받는 요소 역시 다르다. IT 영역이 사이버 공격을 받으면 중요한 데이터가 삭제되거나 기업 기밀정보가 외부로 유출될 수 있다. 반면 OT 영역에 대한 공격은 시설 운영 자체가 위협받는다. 이러한 위협은 우리 사회 전반에 치명적인 피해를 일으킬 수 있다. 단순히 공장 가동이 멈추는 것을 넘어 소재·부품·장비 공급망이 멈추고, 나아가 신호체계나 전력·연료 공급체계가 마비될 수도 있다.
한편으로는 IT 영역에 국한된 사이버 위협이 OT 영역으로 확산하는 계기가 됐다. 폐쇄망에서 운영하던 시설이 인터넷망에 연결되면서 외부에 노출된 셈이다. 장비 펌웨어를 업데이트하는 것조차 원격에서 가능해지면서 사이버 공격자가 침투할 수 있는 틈이 생겼다. 이러한 OT는 기존 IT와 동일한 보안 방법론으로는 대응하기 어렵다. 운영에 있어서 우선순위와 목적이 많이 다르기 때문이다.
IT에서는 보안에서 기밀성을 최우선적 고려하는 반면 OT는 가용성을 우선시한다. 지금까지 OT는 폐쇄망에서 운영돼왔기 때문에 기본적으로 기밀성이 유지돼왔다. 반면 공장이 멈추지 않고 작동하도록 하는 가용성 영역은 운영 효율을 위한 필수 요소로 인식돼왔다.
장비 간 통신 규약 역시도 서로 다르다. IT는 국제적 표준을 사용하는 반면 OT는 독자적인 방식을 사용하는 경우가 많다. 따라서 같은 기계장비라고 하지만 양방향 네트워크를 기본으로 하는 IT와 달리 OT는 생산망과 설비망, 공정망이 전용 통신 방식을 이용해 단방향으로만 이뤄진다.
공격 시 위협을 받는 요소 역시 다르다. IT 영역이 사이버 공격을 받으면 중요한 데이터가 삭제되거나 기업 기밀정보가 외부로 유출될 수 있다. 반면 OT 영역에 대한 공격은 시설 운영 자체가 위협받는다. 이러한 위협은 우리 사회 전반에 치명적인 피해를 일으킬 수 있다. 단순히 공장 가동이 멈추는 것을 넘어 소재·부품·장비 공급망이 멈추고, 나아가 신호체계나 전력·연료 공급체계가 마비될 수도 있다.
OT 노리는 사이버 공격, 사회기반시설까지 위협한다
2019년 3월 세계 최대 알루미늄 생산 기업 노르스크 하이드로(Norsk Hydro)가 로커고가(LockerGoga) 랜섬웨어에 감염돼 금속 압출 공정 다수가 중단됐다. 시스템 데이터가 암호화되면서 공장 생산과 운영에 차질을 빚었으며, 세계적으로 알루미늄 가격이 1.2%가량 상승하는 계기가 됐다. 피해액은 4100만 달러(약 477억원)에 이른다.
2020년 6월 일본 자동차 기업 혼다(Honda)가 스네이크(Snake) 랜섬웨어에 감염됐다. 해당 랜섬웨어는 감염 후 OT 관련 소프트웨어 프로세스를 강제로 종료한 뒤 파일을 암호화했다. 내부 시스템은 물론 생산라인 관리 시스템까지 장애를 일으켰고, 결국 완성차 출하가 일시적으로 중단됐다.
2021년 2월 미국 플로리다의 소도시 올즈마(Oldsmar)에 위치한 수처리 시설이 사이버 테러를 당했다. 원격에서 접근한 사이버 공격자가 소독을 위해 사용하는 수산화나트륨 농도를 100배 이상 높이려 시도했다. 이른바 '양잿물 테러'다. 당시 해당 수처리 시설은 원격제어 솔루션 팀뷰어(Team viewer)를 이용해 원격근무를 하고 있었다. 공격자는 이 계정을 유출한 뒤 시스템에 무단 접근해 조작했다. 다행히 시설 운영자가 이를 빨리 발견하고 접근을 차단해 시도에 그쳤지만, 자칫 독성 물질에 오염된 식수가 주거·상업 지역에 공급될 수도 있었던 사례다.
2021년 6월 미국 동부 지역에 연료 공급이 중단되기도 했다. 랜섬웨어 조직 다크사이드(Darkside)는 미국 송유관 업체 콜로니얼 파이프라인을 공격해 7일간 마비시켰다. 콜로니얼 파이프라인은 동부 지역 연료 공급 45%를 담당하는 기업으로, 송유관 길이만 8851㎞에 달하는 미국 최대 송유관 기업이다. 해당 공격으로 미국 남동부 지역은 석유가 고갈됐으며, 석유 가격이 급등했고, 항공편 역시 운항이 취소되기도 했다.
커져가는 기반시설 위협에···정부도 대응 강화 나서
IT 환경과 OT 환경의 결합은 기존 IT에서 발생 가능한 보안 위협을 OT까지 전이시켰고, 이는 실제 공격에 의한 피해로 이어졌다. IT에서 위협은 단순 정보 유출 정도에 그쳤지만, OT가 공격받으면 사회기반시설이 중단되며, 이로 인한 금전적 피해, 직간접적인 인명 피해가 발생할 수 있다. 나아가 전력이나 연료 등의 공급이 중단되면 대규모 사회혼란까지 일으킬 수 있어, 심각도가 높다.
미국 사이버보안 및 인프라 보호국(CISA)은 제어시설 보안 강화를 위해 다단계 인증 사용, 강력한 암호를 통한 원격 연결 보호 등을 포함해 세부 보안 권장사항을 발표했다.
국내에서도 과학기술정보통신부 등 유관기관을 중심으로 융합보안 강화에 나서고 있다. 2020년 12월부터 시행된 개정 정보통신망법은 사이버보안 대상인 '정보통신망연결기기 등'에 대한 정의를 확대했다. 그간 정보통신망에 연결할 수 있는 기기는 PC나 PDA 같은 컴퓨터가 대표적이었지만, ICT 융합을 통해 가정 내 가전제품이나 공장 설비도 인터넷에 연결할 수 있는 환경이 구축됐다.
이에 따라 정보통신망법 개정을 통해 과기정통부는 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 침해 사고 발생 가능성과 사고 발생 시 일어날 수 있는 위험 수준에 따라 정보보호지침 권고 대상, 침해사고 시 대응, 기기 인증범위 등을 명확하게 규정했다. 또한 지역 특화 산업과 연계해 스마트공장(경기)이나 스마트시티(부산)의 보안 요소를 사전에 검증하고 컨설팅할 수 있는 보안 리빙랩도 운영 중이다.
미국 사이버보안 및 인프라 보호국(CISA)은 제어시설 보안 강화를 위해 다단계 인증 사용, 강력한 암호를 통한 원격 연결 보호 등을 포함해 세부 보안 권장사항을 발표했다.
국내에서도 과학기술정보통신부 등 유관기관을 중심으로 융합보안 강화에 나서고 있다. 2020년 12월부터 시행된 개정 정보통신망법은 사이버보안 대상인 '정보통신망연결기기 등'에 대한 정의를 확대했다. 그간 정보통신망에 연결할 수 있는 기기는 PC나 PDA 같은 컴퓨터가 대표적이었지만, ICT 융합을 통해 가정 내 가전제품이나 공장 설비도 인터넷에 연결할 수 있는 환경이 구축됐다.
이에 따라 정보통신망법 개정을 통해 과기정통부는 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 침해 사고 발생 가능성과 사고 발생 시 일어날 수 있는 위험 수준에 따라 정보보호지침 권고 대상, 침해사고 시 대응, 기기 인증범위 등을 명확하게 규정했다. 또한 지역 특화 산업과 연계해 스마트공장(경기)이나 스마트시티(부산)의 보안 요소를 사전에 검증하고 컨설팅할 수 있는 보안 리빙랩도 운영 중이다.