스턱스넷은 과거의 일이 아니다. 아직도 우리는 스턱스넷 유형의 공격에 대처할 수 없기 때문이다. 방어법이야 여러 가지가 고안됐지만, 그걸 현장에서 전부 실천할 수 있느냐는 또 다른 문제다.

[보안뉴스 = 니찬 도브 수석 연구 책임자, NanoLock Security] OT 시스템이란 것이 사이버 공격의 대상이 될 수 있을 정도로 취약하다는 사실을 온 세상에 알린 스턱스넷 사건이 발생한 지도 10년이 훌쩍 지났다. 그 시간 동안 우리의 사회 기반 시설이 바로 이 OT로 구성되어 있다는 것을 여러 번 확인할 수 있었다. 그러나 확인만 가능했지 OT 시스템이 그 동안 더 튼튼해졌던 것은 아니었다. 앞으로 스턱스넷 공격이 다시 시도된다고 했을 때, 우리가 막을 가능성은 그리 높지 않아 보인다.


OT 취약점
OT를 가장 취약하게 만드는 건 인간의 특성, 그로 인한 여러 가지 행동들이다. 공격자들은 바로 이 인간의 허술한 행동들을 노리는 식으로 OT를 공략한다. 불편함을 자꾸만 자극한다든가, 자꾸만 귀찮게 만들어 보안을 한 순간 무시할 수 있도록 하는 등의 전략이 주로 사용된다. 이 때문에 불편하고 귀찮아서 비밀번호를 쉽게 설정한다든가, 최신 패치를 적용하지 않는다든가, 낡은 정책을 그대로 유지한다든가 하는 결과가 야기된다. 그럴 때 공격자들이 파고들어 OT를 장악한다.

이런 식의 공략이 가능한 건 결국 IT와 OT가 융합되어 있기 때문이다. IT와 OT의 융합은 양날의 검과 같아 필수이면서도 온갖 불필요한 위협의 원인이 되기도 한다. 융합 이전에는 상상도 할 수 없었던 효율성을 보여주기도 하고, 전에 없던 혁신도 가능하게 하지만 반대로 공격의 가능성을 대폭 늘인 것이 바로 이 IT와 OT의 융합이다. 예전에는 각종 생산 시설의 장비들을 제어하는 데에 IT 기술이 딱히 필요하지 않았다. 하지만 IT와 융합되면서 PLC와 같은 장비들이 도입되고, 그러면서 장비 제어와 관리가 매우 편리해졌지만 전에는 불가능했던 해킹 공격도 가능하게 됐다.

OT 보안, 다층위적인 방법론이 최고
이런 상황에서 OT를 보호하려면 어떻게 해야 할까? 여러 보안 전문가들은 TLS 등 기존 IT 보안에 사용되었던 기술들을 OT에까지 동원해야 한다고 권고한다. 당연히 필요한 조치이긴 하지만, 이런 IT 보안 기술들만으로 OT가 보호되지는 않는다. 효과가 없다는 게 아니라, 미미하다는 것이다. 위에서 말했다시피 OT 공격의 핵심은 인간의 취약한 행동 패턴을 노리는 것이기 때문이다. 실수나 게으름, 충동적인 행동을 원천 차단해주는 기술이라는 것은 존재하지 않는다.

여러 보안 조치들의 취하는 게 정답이다. 이를 테면 여러 겹으로 보호해야 한다는 것이다. 공격자들이 진입하는 데 필요한 통로가 될 수 있는 길목들을 최대한 많이 찾아내 막는 것이 관건이다. 공격자들은 마음만 먹으면 여러 경로를 찾아낼 수 있고, 막히면 막히는 대로 다른 길을 발굴한다. 그렇기에 한 가지 보안 장치는 그것이 아무리 강력하다 한들 불완전하다. 지멘스 PLC의 취약점들을 패치했다면, 물론 매우 잘한 것이지만, 그것에 더해 해당 PLC와 관련이 있는 API 생태계도 점검할 수 있어야 한다.

그 무엇도 함부로 믿어서는 안 된다
IT와 OT가 융합하면서 보안의 가장 핵심이 되는 것은 PLC와 같은 장비들이다. 실제로 많은 공격자들이 OT를 공략한다면서 PLC들을 노리기도 한다. 장비 자체에 대한 침투가 어렵게 만든다면 공격자들 편에서 해야 할 노력이 훨씬 많아진다. 그 다음 중요한 건 사람들이다. 아무리 첨단 기술로 장비와 환경을 보호한다 하더라도 결국 그걸 운용하는 사람이 보안 실천 사항들을 무시하거나 간과하면 모든 것이 수포로 돌아간다.

사람이 지켜야 할 보안 수칙은 매우 간단하다. 아무도 믿지 않는 것이다. 확실한 근거를 요청하고, 그 근거를 확인한 후 믿음을 주어도 늦지 않는다. 이것을 매번, 매 선택에서 실천하는 것이 중요하다. 그리고 이런 행동 패턴을 아예 규정으로 못 박는 것이 가장 좋다. 안전할 수 있는 선택을 개개인의 의지와 자유에만 맡기면 반드시 구멍이 생긴다. 가이드라인과 함께 강제력이 부여된 규정까지 있다면 그 구멍의 확률은 현저히 줄어든다.

누구나 쉽게 믿지 않도록 교육하고 또 규정까지 수립하면 OT를 다루는 모든 과정에 확인과 인증이 필수 요소로서 작용하게 된다. 그러므로 PLC까지 불법적으로 접근하는 게 쉽지 않게 된다. 또한 이 ‘아무도 믿지 않는다’는 건 내부 인원들에게도 적용되니 그저 같은 조직에 속한 사람이라고 모든 장비에 쉽게 접근할 수 있게 하는 문화도 사라지는 게 맞다. 내부 인원이라도 왜 접근해야 하는지 일일이 확인하고 허용하던가 거절해야 한다. 이 역시 규정으로 정해두면 직원들 간 소음이 줄어든다.

결국은 끝없는 싸움
OT 환경을 보호하면서 강인하게 만드는 일은 생각만큼 쉽지 않다. 보안 업계는 스턱스넷이 세상을 놀라게 했던 십수년 전부터 지금까지 OT 강화를 놓고 골머리를 앓고 있지만 아직도 완벽한 해결책을 찾지 못했다. 일단 PLC를 보호하는 것만해도 어렵다. 너무 많은 벤더들이 각자의 표준과 기술을 가지고 PLC를 만들어내고 있다. 이 문제가 좀 정리되지 않는다면 PLC 보호라든가 더 나아가 OT 보안은 더욱 힘든 과제가 될 것이다.

그렇다고 모두가 똑같은 PLC를 만들어내는 게 정답은 아니다. 어차피 보안은 입체적인 직무다. 즉 여러 각도에서 안전을 도모하고 보호의 방법을 생각해야 한다. PLC 종류가 많다는 건, 그 여러 각도 중 하나일 뿐이다. 따라서 보안의 과제는 PLC의 종류가 얼마나 많든 혹은 얼마나 적든 상관 없이 막중하며 쉽지 않다.

이 얘기는 PLC 외, 보안 업계가 보호해야 할 모든 것들에도 적용된다.

글 : 니찬 도브(Nitzan Daube), 수석 연구 책임자, NanoLock Security
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>