(서울=뉴스1) 윤주영 기자 = 제조·에너지·운송 등 인프라를 제어하는 산업제어시스템(ICS)도 사이버 공격을 받는다. 로봇 팔 오작동은 물론 2021년 미국 송유관 '콜로니얼 파이프라인' 해킹 마비 사태 등의 기간시설 사보타주가 재현될 수 있다.
이를 방어하는 'OT(운영기술) 보안'은 공격 예방 이상으로 '침투 이후' 탐지·분석이 중요하다.
지난달 28일 서울 마포 파수(150900) 사옥에서 만난 황항수 파수 운영기술(OT)사업본부장도 이를 강조했다. OT 설루션 업체 파로스네트웍스의 대표를 지낸 그는 최근 파수의 파로스 인수 후 본부장으로 합류했다.
황 본부장은 "공장·발전소 등이 자동화를 거치면서 외부 네트워크와 접점이 늘고 있다"면서도 "공격에 취약한 장비·소프트웨어(SW) 등 '구멍'이 많다"고 우려했다.
산업장비 교체 주기상 ICS 요소 상당수는 낡은 SW에 기반했다. 취약점이 잘 알려져 개별 장비는 손쉬운 공격 표면이 된다.
폭넓게 호환되는 방화벽을 구축하기 어렵단 점도 보안 난도를 높였다. 업종·시설 간 장비·생산 프로토콜이 상이하기 때문이다.
황 본부장은 "스마트팩토리 시대에선 예상치 못한 지점부터 사이버 공격이 발생한다"며 "시스템 내부 의심 트래픽·로그를 인지 후 신속 조치하는 게 중요하다"고 강조했다.
외부 데이터, 무선 통신을 활용해 공정을 자동화한 '스마트팩토리'가 대표적이다. 연계된 창고 서버, 카메라 등에서부터 침투가 시작되는 식이다. 이후 공격자는 여러 장비를 우회해 목표에 도달한다.
신속한 조치에는 ICS 구성요소·물리 인프라 이해가 핵심이다. 황 본부장은 '자산 가시성 확보', '공장 환경 실사' 두 가지가 필요하다 봤다.
자산 가시성은 명령어 데이터, 운영체제(OS), 인터페이스 등 ICS 구성요소를 설루션이 인식하는 수준이다. 이것이 확보돼야 분석 자체를 시작할 수 있다.
황 본부장은 관련 기술을 가진 클래로티와 설루션 구축에 협력했다. 자산 필터링, 중복 자산 카운트 방지 등 파로스 기술도 들어가 분석 효율을 높였다.
의심 트래픽이 공격인지 판별하려면 물리 인프라를 이해해야 한다.
황 본부장은 "A 장비에서 B 장비로는 공정상 절대 오갈 수 없는 트래픽·로그가 있을 것"이라며 "다년간 현장 실사로 설비·공정을 이해해야 이를 판단할 수 있다"고 강조했다.
이런 경험으로 황 본부장은 ICS 내 6대 이상 행위를 라이브러리로 구축한 바 있다.
황 본부장은 플랫폼 형태의 OT 보안을 지향한다. 이상행위 경로·분석을 대시보드 등으로 가시화한다.
별도 관제 인력을 두기 어려운 업체라도 쉽게 활용할 수 있다.
그는 "파수의 인공지능(AI) 역량을 접목하면 분석의 속도·정확성을 높일 수 있을 것"이라고 전망했다.
legomaster@news1.kr
