OT를 강화한다는 것은 생각보다 규모가 큰 작업을 의미한다. 이쪽을 전문으로 한다는 건 기술에 대한 고민과 더불어 ‘큰 그림’에 대한 치밀함도 추구한다는 뜻이 된다. 사실 노조미도 이걸 처음부터 알았을 거 같지는 않은데 길을 잘 만들어가고 있다.

[보안뉴스 문가용 기자] 여기 출생이 매우 복잡한 기업이 하나 있다. 창립자는 이탈리아 사람인데, 회사가 처음 2013년 등록된 곳은 스위스이고, 회사 이름은 일본어다. 지금은 미국 기업으로 신분이 변경되어 활동 중이다. 현재 보안에서 앓는 소리가 가장 많이 나오는 분야 중 하나인 OT 보안을 전문으로 하는 기업 노조미네트웍스(Nozomi Networks, 이하 노조미)의 간단한 설명에만 세 개 대륙 네 개 국가가 등장한다. “실로 처음부터 국제적인 기업이 아닐 수 없다”고 한국을 방문한 CEO 에드가드 캡데비엘(Edgard Capdevielle)은 어깨를 으쓱한다.


탄생과 연루된 사연의 스케일이 남다르다는 것은 설립 이후 노조미가 밟아온 행보에 대한 복선이었다. 노조미가 전문으로 하는 OT 보안이라는 게 생각보다 거대한 문제였고, 생각보다 거대한 차원에서의 접근법을 요구했기 때문이었다. “일단 OT라는 것 자체가 너무나 거대한 요소입니다. 예외가 없지 않지만 공장이나 발전소를 운영하는 기업들 중 공장을 한두 동 가동시키는 곳은 없습니다. 수십 개에서 수백 개씩 운영하죠. 천 단위의 OT 인프라를 갖춘 기업도 적지 않고요. 이것을 안전하게 지킨다는 건 회사 건물 한두 동 보완하는 것과는 차원이 다른 과제입니다.”

게다가 그런 규모의 사업을 하는 기업들은 거의 대부분 ‘다국적 기업’이다. 공장이나 사무실이 세계 곳곳에 퍼져 있다. 아무리 보호해야 할 시설이 많다고 하더라도 한 군데 집약되어 있으면 그나마 접근이 쉽겠는데, 전 세계에 걸쳐 설립되어 있으니 극복해야 할 물리적 한계도 만만치 않다. 한 회사의 OT만 보호한다고 해도 전 세계를 돌아다녀야 한다. “그래서 노조미는 현재 미국 재무부가 제재 국가로 지정한 곳들만 빼면 사실 세계 모든 나라에서 사업 활동을 하고 있다고 봐도 무방합니다.”

공간만 문제가 아니다. ‘OT 보안’은 시간적인 한계도 가지고 있다. IT 보안의 경우 IT 환경과 기술들이 지난 수십 년 동안 갖은 공격을 받아오면서 자연스럽게 성장할 수 있었는데, OT 보안은 그런 흐름에 전혀 동참하지 않았었다는 것이다. 그런 상태에서 요즘 고도의 사이버 공격의 표적이 되다보니 OT 보안은 압축적으로 향상되어야 한다는 압박마저 받고 있다. “OT 장비들은 오래된 것들이 많습니다. 설계될 때 보안이라는 개념이 아예 존재하지 않았어요. 아무도 OT를 노리지 않았으니까요. 하지만 OT를 공격하면 이득을 볼 수 있다는 게 갑자기 알려졌고, 모두의 표적이 되었습니다. 공격자들은 한껏 성장한 상태고, OT 분야는 무방비 상태입니다. 공격자들의 수준을 빠르게 따라잡아야 하는 게 급선무이죠.”

OT 보안, 문제가 큰 만큼 해결을 위한 접근법도 커야
문제의 규모 자체가 일반 보안 분야가 해결해야 할 그것과 차원이 다르다는 건, 보안 회사 한두 곳이 잘 해봐야 티도 나지 않는다는 뜻이 된다. 게다가 OT 생태계를 보호한다는 것에 대한 개념 자체도 정부 기관마다, 전문 기업들마다 전부 달랐다. 그래서 노조미는 경쟁사들과 손을 잡아 ‘OT연합(OT Coalition)’을 결성했다. “OT가 국가와 사회의 기반시설까지 아우르는 것이라 사기업이지만 이타적으로 움직일 필요가 있다고 생각했습니다. 그렇다고 저희가 얻어갈 것이 아무 것도 없는데 경쟁사들에게 손을 내민 것은 아닙니다.”

노조미 초창기에 8번째 사원으로 입사한 캡데비엘 현 CEO의 설명에 따르면 OT연합을 결성한 데에는 중요한 이유가 하나 더 있었다고 한다. 바로 올바른 경쟁을 하기 위한 ‘운동장 다지기’였다. “OT연합 이전에는 OT 생태계에 아무런 규칙이나 표준이 없었습니다. 누가 뭘해도 되는 때였고, 그래서 공정한 경쟁이 일어날 수 없었죠. 정부기관들도 갈피를 못 잡고 있었고요. 그래서 ‘우리가 일단 모여서 같이 뛸 운동장부터 제대로 만들어 놓자’는 목적으로 만든 게 OT연합입니다. 규칙이 공정하고 분명하게 정해져야 게임도 재미있어지는 법이죠. 정부가 규정을 잘못 만들면 저희로서도 좋을 게 없으니까 OT연합은 자연스럽게 정부에 자문을 하는 조직이 되기도 했습니다.”

특히, 정부가 특정 벤더사의 제품에 의존하지 않게 하는 것도 연합의 목표 중 하나였다. “만약 OT 보안 관련 상황을 정부기관이 잘못 파악하고 있거나, 특정 벤더사의 기술에만 지식이 국한되어 있다면 어떻게 될까요? 정부기관의 가이드라인부터 규정까지 특정 벤더사에 유리하게 정립되겠죠. 그러면 나머지 다른 회사들에 손해이기도 하지만 OT가 제대로 보호될 가능성도 낮아집니다.”

OT연합은 미국의 사이버 보안 전담 기관인 CISA에 여러 가지 조언과 자문을 해주게 됐고, 둘의 협력관계는 갈수록 깊어졌다. 그래서 CISA는 2021년 사이버 방어 협력 단체인 JCDC(Joint Cyber Defense Collaborative)를 구성하고 OT연합 내 모든 멤버들을 초대하게 됐다. JCDC는 현재 미국 사회기반시설 보안을 담당하는 중요한 조직이며, 바이든 대통령의 보안 강화 전략을 실행하는 데 핵심적인 역할을 담당하고 있다. 국가안보도 잡고, 사기업으로서 해야 하는 본격적인 경쟁의 발판도 마련한 것이다. 노조미는 지금도 CISA와 정기적으로 만나 정보를 공유하고 보안 관련 자문을 주고받는다고 한다.

“지금도 여러 정부기관들과 협조체계를 이뤄가고 있습니다. 호주와 유럽 국가들, 일본 정부와 연계하고 있지요. 물론 관계의 깊이는 나라마다 조금씩 다릅니다만, OT 강화를 위해 민과 관이 대화를 나눌 수밖에 없음을 잘 알고 있어 항상 대화 창구를 마련하고, 또 유지하려 합니다. 한국 정부와도 이야기를 나눌 수 있기를 기대하고 있습니다. OT 보안은 국가가 간과할 수 없는 중요한 문제임이 분명합니다.”

아직 국가별 차이가 크게 존재하지 않아
혹시 한국 정부를 언젠가 만난다면 어떤 조언을 할 수 있을까? 한국만의 특별한 OT 보안 문제가 있을까? 캡데비엘은 “국가별로 차이가 아주 없진 않지만 아직까지 해결해야 할 문제의 성격은 어떤 나라나 비슷하다”고 말한다. “미국만의 문제, 한국만의 문제, 유럽만의 문제가 따로 있지 않아요. OT 보안이 해결해야 할 문제가 워낙 많고 근본적이기 때문입니다. IT 보안에 비해 OT 보안은 많이 뒤쳐져 있지만 OT 사고로 인한 충격은 훨씬 큰 경우가 많고, 예산 증액만으로 해결하기 어렵다는 특징은 어디서나 비슷합니다.”

다만 OT 보안 체계를 도입하는 속도에서는 나라마다 차이가 있다고 한다. “중동의 경우 사회 인프라가 곧 그 나라의 생명과 같죠. 석유 생산 및 정제 시설에 차질이 빚어지면 국가 전체가 흔들립니다. 이런 곳은 OT 보안의 중요성이 쉽게 이해되고 받아들여집니다. 미국의 경우도 너무나 많은 해킹 공격에 시달리다보니 OT 보안도 활성화 되고 있습니다. 게다가 이번 해에 바이든 행정부가 국가기반시설 보안 강화를 특별히 강조하며 행정명령까지 내린 상황이죠.”


상상하도록 하려면 보여주어야 한다
그 외 다른 나라들은 OT 보안의 중요성을 이제야 조금씩 이해해 가는 단계다. 캡데비엘은 “최근 여러 가지 사건이 많이 일어나서 그런지 OT 보안 기술을 도입하는 속도가 점점 빨라지고 있다”고 말한다. “누구나 실제 침해 사고를 당하면 보안에 대한 마음가짐이 180도 달라집니다. 보안이 1순위 고려 대상이 되고, 갑자기 없던 예산이 나타나기 시작하죠. 그 전까지는 ‘우리한테는 보안 사고가 터지지 않아’라고 미루기만 했었는데요. 저희는 그래서 ‘사건을 겪은 후의 마음가짐’을 사건 전에 심으려고 노력합니다.”

그런 노력에는 잠재 고객을 대상으로 한 교육과 훈련도 포함되지만 그 무엇보다 있는 그대로의 현상을 똑바로 보여주는 것을 위주로 한다. 한 마디로 가시성을 확보해주는 것이다. “위험을 느끼지 못하는 건 상상할 수 없어서이고, 상상하지 못하는 건 현상을 제대로 이해하지 못해서입니다. 지금 우리 OT 네트워크 안에 뭐가 있고, 무슨 일이 일어나고 있으며, 어떤 위협이 도사리고 있는지 보지 못하면 누구라도 ‘우리한테는 사고가 일어날 리 없어’라고 여기게 됩니다. 그런 상황에서 보안의 중요성을 강조해봐야 소용이 없죠. 직접 보여주어야 설득이 됩니다.”

또한, 보안이 현재 온 세계에서 진행되고 있는 ‘디지털 전환(digital transformation)’의 방해자가 되어서는 안 된다는 것도 그는 짚는다. “기업들 입장에서는 디지털 전환이라는 거대한 프로젝트가 우선이지 보안 강화가 우선시 되지는 않습니다. 그런 때에 오히려 보안이 디지털 전환을 방해하거나 느리게 만드는 요인으로 여겨지면 보안은 더더욱 순위에서 밀려나죠. 그렇기 때문에 보안 기술은 ‘보안 강화와 OT 보호’라는 가치 외에 다른 가치들도 제시할 수 있어야 합니다.”

노조미에 있어 그 다른 가치는 - 이야기가 다시 처음으로 돌아가는데 - ‘공익’이다. OT 보안의 성격이 태생적으로 그렇기 때문이기도 하지만, “OT 보안 강화가 비단 당신들의 공장에만 좋은 게 아니라 공익적인 측면에서도 큰 보탬이 된다”는 걸 강조하는 것이다. “그런 공익 추구가 브랜드 신뢰를 쌓고, 인지도를 높인다면 고객사 입장에서 보안 강화를 통해 또 다른 혜택을 받는 겁니다. 요즘 ESG 경영이 강조되고, 환경 문제에 소비자들이 민감하게 변하면서 ‘공공의 선’을 경영전략의 한 축으로 가져가는 게 매우 실질적인 일이 되어가고 있습니다. 기업의 이윤을 공익과 같은 맥락에 놓는다는 것은 지금 분위기에서는 최고의 사업 전략이기도 합니다.”
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>