4차 산업혁명 시대이다. 이에 따라, 사이버 안보가 중요시되고 있다. 4차 산업혁명 특성 중에 초연결 사회가 있는데, 이러한 특성은 해커에게 수많은 사이버 공격 경로를 제공한다. 초 연결 사회로 새롭게 네트워크에 연결된 분야는 신규 서비스를 제공하는 이점도 있지만, 해커는 네트워크를 경로로 침투할 수 있기 때문이다.

이는 국가 안보 위협까지 확대시킨다. 초연결이 국가 주요 설비까지 영향을 미치고 있기 때문이다. 실제로, 2016년에 북대서양조약기구(NATO)는 사이버 공격을 새로운 전쟁 영역으로 공식화한 적이 있다.

그러나 엄밀히 말하면, 국가 사이버 안보 위협은 오늘만의 일도 아니고, 미래에 다가올 일도 아니다. 예전부터 존재했었다. 정보통신기술 (ICT) 장비가 국가 주요 설비에도 이미 도입돼 있기 때문이다. 실제로 국가 주요 시설 해킹은 1998년까지 거슬러 올라간다. 국가 사이버 안보는 이미 오래전부터 중요한 사안으로 부각돼 왔음을 의미한다.

참고로 국가 주요 설비에 적용된 시스템을 ‘산업제어시스템 (ICS)’으로 부를 수 있다. ICS는 말 그대로 산업 설비의 제어를 담당하는 시스템이다. 공장, 발전소 등이 이에 해당하는데, 국가 주요 설비에 해당한다. 예를 들어, 발전소 마비로 전력 공급을 중단시킬 수 있다.

따라서 국가 사이버 안보를 생각해야 한다면, ICS 보안을 반드시 염두에 두지 않을 수 없다. 앞서 언급했듯이, 국가 사이버 안보는 항상 중요하다. 그리고 현실과 동떨어진 얘기도 아니다.

다시 말해, ICS를 노리는 사이버 공격이 생각보다 많다. ICS 보안 전문 기업 ‘드라고스 (Dragos)’는 매년 3000개에 달하는 국가 주요 시설이 사이버 공격을 받고 있는 것으로 추정한 바 있다.

OT 영역을 노리는 ICS 해킹    

ICS 사이버 공격이 매년 발생함에 따라, 해당 업계에서는 보안성을 강화하는 노력을 기울이고 있다. 시장 규모 분석 자료를 보면 이를 확인할 수 있다.

시장 조사 전문 기관 ‘마켓스 앤드 마켓스 (Markets and Markets)’는 ICS 보안 시장이 2018년부터 2023년까지 연평균 6.5%의 성장률을 보이며 지속적으로 증가할 것으로 분석했다. 그리고 조사에 따르면, 시장 규모는 2018년 132억 달러 (약 15.8조 원)에서 2023년에 180.5억 달러 (약 21.7조 원)로 증가한다.

그럼 ICS 보안을 위해서는 어떤 부분에 초점을 두어야 할까? 결론부터 말하면, OT 영역에 초점을 둬야 한다. 이를 이해하기 위해, ICS의 네트워크 구조를 이해할 필요가 있다.

ICS는 ‘정보기술 (IT)’과 ‘운영기술 (OT)’로 나눌 수 있다. IT 영역은 일반 사무실의 네트워크와 유사하다. 실제로 해당 영역은 설비가 아닌 일반 사무적 용도를 위해 제공되는 네트워크 공간이다. 따라서 IT는 ICS에서 보안 관점에서 크게 중요하지 않다.

이에 반해 OT는 주요 설비의 제어와 관련된 영역이다. 따라서 OT는 ICS에서 보안의 가장 중요 요소라고 할 수 있다. 프로그램 가능 로직 제어기 (PLC), 원결단말장치 (RTU) 등이 OT의 중요 요소이다. PLC는 설비의 제어를 담당하는 센서로 정의할 수 있다. PLC는 작업자가 사전에 정해놓은 규칙을 기반으로 설비를 동작하게 한다. RTU는 중앙 통제 센터에 설비의 데이터를 전송하는 센서이다.

IT와 OT는 원칙적으로 분리돼 있다. 이는 OT의 보안 때문이다. IT는 직원의 사무 업무를 위해서 외부 네트워크와 연결돼 있어서 쉽게 해킹당할 수 있다. 반면 OT는 설비를 동작하는 공간이고 보안상 중요하기 때문에 외부 네트워크와 차단돼 있다. 외부 해킹 공격으로부터 안전한 셈이다. 따라서 상대적으로 해킹 공격에 취약한 IT가 OT와 연결된다면, OT의 보안 수준은 극도로 낮아진다. IT에서 감염된 기기가 OT 영역으로 넘어가 주요 설비를 해킹할 수 있기 때문이다. 실제로 이러한 사건은 이미 많이 발생한 바 있다.

해외에서 유명한 ‘드래곤플라이 (Dragonfly)’는 2014년 IT 영역을 메일로 악성코드를 감염시키고 OT 영역으로 전파한 공격 수법이다. 미국, 유럽 등이 이러한 공격에 당해서 250개 이상의 ICS가 피해를 입었다.

이후 2017년에는 악성 메일 외에 여러 수법으로 IT 영역의 공격을 시도하는 드래곤플라이 2.0이 등장했는데, 미국, 터키 등 국가가 피해를 입었다.

OT가 ICS 보안의 중요 요소라는 점을 확인했다. 그러므로 OT 해킹은 ICS뿐만 아니라 설비 전체에 피해를 크게 줄 수 있다. 해커는 PLC, RTU 등 센서를 조작해서 설비에 피해를 입힐 수 있기 때문이다.

예를 들어, 해커는 PLC를 조작해 허용 범위 이상으로 설비를 가동해, 이를 파괴할 수 있다. 그리고 해커는 RTU를 조작해 변조된 데이터를 중앙센터에 보내게 하여, 관리자가 운영에 혼란을 불러올 수 있게 한다.

1998년 미국 애리조나주는 루스벨트 댐 관리의 OT 영역 수분 조절이 해킹된 바 있다. 참고로 놀라운 사실은 해커의 나이가 만으로 12세밖에 안 됐다는 점이다.

이후 1999년에는 미국 워싱턴의 파이프라인 석유 송유관이 폭발해 3명이 사망했다. 사고 조사 결과, 송유관 제어시스템이 해킹당한 것으로 드러났다.

이외 2008년 터키는 석유 압력의 제어시스템이 해킹당해 폭발 사고를 겪었다. 2010년 7월에는 이란의 나탄즈 원자력발전소의 PLC를 해킹당해 1000여 대 원심분리기가 파괴된 사건이 있다. 이로 인해 발전소 운영이 1년 동안 중단됐다.

2015년 12월에는 우크라이나 수도 키예프 (Kiev)에 정전이 발생해 22만5000여 명이 어둠과 추위 속에서 고통을 겪었다. 2016년 2월 미국국토안전부 (DHS)는 러시아가 키예프의 발전소를 해킹해 이 같은 피해를 준 것으로 분석했다.

OT 보안을 위한 모니터링 체계가 필요

지금까지 사례를 통해 살펴본 것처럼, ICS 해킹 사건은 무수히 많다. 참고로 언급한 사례 외에도 더 많은 해킹 사례가 있다. 그리고 이러한 해킹에는 OT 영역과 관련된 경우가 많다. 그러므로 OT 영역의 보안 강화가 중요하다.

그러나 쉽지가 않다. 먼저 OT 영역을 이해함과 동시에 보안 영역을 제대로 이해하는 전문가가 드물다. OT 영역은 IT 영역보다 더 중요한 설비를 다루기 때문에 특수 목적용 시스템을 사용한다. 가령 OT 영역의 네트워크 프로토콜은 IT 영역과 달리 제품에 특화된 프로토콜을 사용한다. 따라서 인력 육성 및 확보가 국가 차원에서 이뤄져야 한다.

그리고 OT 영역의 장비 가시화가 중요하다. 운영자는 OT 영역의 장비 보안 취약점 현황을 파악해 사이버 공격에 사전 대응할 수 있다. 그뿐만 아니라, 이상 징후도 파악할 수 있는데, 이는 사이버 공격의 피해를 최소화하도록 도울 수 있다.