“공장은 멈추면 안 된다” 파수가 말하는 OT 보안

[인터뷰] 황항수 파수 CPS사업본부장
공격보다 ‘노출면’…OT에서 CPS로, 보안 패러다임의 변화

2021년, 미국 최대 송유관 운영사인 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 가동을 멈췄다. 단 5일이었지만, 미 동부 전역 주유소가 기름을 넣지 못하고 항공편도 차질을 빚었다. 결국 회사는 공격자에게 약 56억원(500만달러)을 지불했다. 사이버 공격이 불러온 국가적 재난이었다.

이처럼 생산시설이 멈추면 장비는 돌아가지 않고 물류도 멈춘다. 피해는 기업의 손실을 넘어 국가 기반 산업과 국민의 생활 전반으로 번진다. 생산시설의 중단이, 단순한 기술 문제가 아닌 사회적 재난으로 이어질 수 있다는 뜻이다.

사이버 공격이 이렇게 진화하는 상황에서, 기업은 생산시설을 어떻게 지켜야 할까? 이 질문에 답을 듣기 위해 생산 현장에서 20년 가까이 보안 위협과 마주해 온 파수 사이버물리시스템(CPS) 사업본부의 황항수 상무를 만났다.

황항수 상무는 보안업계에서 잔뼈가 굵은 인물로, 2008년부터 약 15년간 운영기술(OT) 보안 전문기업 파로스네트웍스를 운영하며 여러 산업 현장에서 실전 경험을 쌓았다. 그러던 중 2024년 파수에 합류하며 지금은 CPS사업본부를 이끌고 있다.

OT 보안 “가장 중요한 건 설비의 가용성”

OT 보안의 핵심은 ‘가용성‘입니다. 정보기술(IT) 보안의 핵심이 ‘기밀성‘과 ‘무결성‘이라면 OT 보안은 ‘설비가 절대로 멈추지 않아야 한다’는 ‘가용성‘을 최우선으로 봐야 해요. IT와 달리 공격을 막는 것이 기본이 아닙니다. 운영이 멈추지 않는 것이 더 중요하죠. 설비가 멈추면 엄청난 경제적 피해가 발생하며 기업의 생산라인이 무너질 수도 있습니다.

보통 보안이라고 하면 네트워크 비무장지대(DMZ), 방화벽(Firewall), 침입 방지 시스템(IPS), 침입 탐지 시스템(IDS) 등을 떠올리지만, OT에는 그런 구조가 맞지 않아요. 윈도우95 같은 오래된 운영체제를 여전히 사용하는 공장도 있습니다. 업데이트 자체가 가용성에 위협이 될 수 있어요.

실제로 오래된 설비는 업그레이드 과정에서 작동이 멈출 수 있어, 기업들은 보안보다 가동을 우선시할 수밖에 없다. 황 상무는 바로 이 지점에서 OT 보안의 난점이 발생한다고 덧붙였다.

OT의 진화, CPS의 시대

과거에는 공장 시스템이 외부망과 단절돼 있어 보안 위험이 상대적으로 적었지만, 이제는 다르다.생산관리시스템(MES), 사물인터넷(IoT) 센서, 산업용 제어기기 등이 모두 인터넷과 연결되며 ‘사이버 공격의 표면(Attack Surface)‘은 더욱 넓어지고 있다.

요즘엔 외부에서 클릭 한 번이면 댐의 수위를 조절하거나, 식품 창고의 온도를 바꿀 수도 있어요. 국내에서도 실제로 그런 시스템을 노린 사이버 공격 시도가 있었죠.

2023년, 한 러시아 해커 조직이 국내 스마트팜의 제어 시스템을 공격해 온실 자동화 설비를 마비시켰다. 해커는 원격으로 온도와 습도를 조작해 작물 생장을 방해했지만, 현장 운영자도 원인을 파악하지 못했다. OT 시스템이 외부와 연결되면서, 사이버 공격이 물리적 피해로 이어진 것이다. 여기서 나온 개념이 바로 ‘사이버물리시스템(CPS)‘이다.

CPS는 한 마디로 하면, OT와 IT, 그리고 IoT와 산업용 사물인터넷(IIoT), 의료용 사물인터넷(IoMT)이 총망라된 개념이라고 볼 수 있어요. 사이버와 물리가 융합됐다는 점에서 CPS는 IT보다는 OT에 좀 더 가깝죠. 예전에는 장비 하나하나가 독립적으로 작동했지만, 이제는 장비가 서로 연결되고 데이터로 통합 관리되는 구조이기 때문에 공격 표면도 훨씬 넓어졌습니다.

흔히 말하는 스마트팩토리, 스마트빌딩은 모두 CPS에 포함된다. 시스템이 외부와 연결되며 공격 표면이 넓어졌고, 사이버 공격이 실제 물리적 피해로 이어질 수 있는 환경이 됐다. 이에, CPS에서 보안은 더욱 중요해지고 있다.

OT·CPS 보안 구축, 자산 가시성이 중요하다

OT에서 CPS 형태로 개념이 넓어지면서 지켜야 할 자산은 더욱 많아졌다. 이제는 하나의 장비뿐 아니라, 이들을 통합하고 자동 제어하는 시스템까지 모두 보호해야 한다.

OT 보안을 시작하기 위해서는 ‘자산 가시성’부터 확보해야 합니다.

황 상무는 보안을 구축하기 전에, ‘뭘 보호할 것인지’를 정확히 아는 것, 즉 자산 가시성을 확보하는 것이 OT 보안의 출발점이라고 강조했다. OT는 IT와 달리 각기 다른 산업 환경, 다양한 프로토콜, 오래된 장비들이 얽혀 있어 자산 식별과 구조 파악이 쉽지 않다는 것이다.

IT는 대다수 프로토콜이 표준화돼 있지만, OT는 업종·기기별로 천차만별입니다. 연결 구조와 흐름을 정확히 이해하지 못하면 보안도 적용할 수 없어요. 가시성을 높이려면 그 프로토콜을 모두 이해하고 있어야 하죠. 프로토콜에 대한 이해도가 곧 OT 보안 솔루션의 성능과 직결됩니다.

OT 보안의 핵심은 수많은 장비가 주고받는 프로토콜을 이해하고 통제하는 데 있다. 프로토콜은 기계 간 통신을 위한 규칙이자 언어로, 설비 간 제어 명령이나 데이터를 주고받는 약속된 방식이다. 문제는 이 중 상당수가 오래전에 만들어져 보안 기능이 거의 없다는 점이다.

일반적으로 IT 환경은 표준화된 프로토콜을 사용해 연결이 단순하고 보안도 잘 설계돼 있는 반면, OT 환경은 오래된 장비와 다양한 산업용 프로토콜이 혼재돼 있어 보안 통제가 훨씬 어렵다.

자산 가시성을 높이려면 프로토콜에 대한 이해가 필수입니다. 자동 제어 시스템(PLC) 등 서로 다른 제어 시스템을 이해하고 있어야 하고, 그래서 각 시스템에 대한 구축 경험이 많은 보안 솔루션일수록 성능이 뛰어날 수밖에 없습니다. 좋은 OT 보안 솔루션은 얼마나 다양한 산업 환경을 이해하고 있는지에 달려 있습니다.

이런 이유로 파수는 다양 산업 설비 프로토콜에 대한 이해도가 높고 자산 가시성 확보에 강점을 가진 글로벌 OT 보안 기업 ‘클래로티(Claroty)’의 솔루션을 사용하고 있다.

클래로티는 ▲자산 식별·실시간 가시화 ▲자산에 내재된 취약점 지속 모니터링 ▲APT·랜섬웨어·제로데이 위협 탐지 ▲OT·ICS 대시보드 제공 등 다양한 기능을 제공하며, 가트너 매직 쿼드런트에서도 OT 보안 부문 리더로 선정되기도 했다.

클래로티는 OT 네트워크 상의 모든 자산을 자동으로 식별하고, 자산 간의 트래픽 흐름을 분석해 이상 징후를 탐지할 수 있다. 파수는 클래로티 솔루션을 기반으로 CPS 보안 역량을 강화하고 있으며, 자산 관리부터 실시간 위협 대응까지 통합된 OT 보안 체계를 제공하고 있다.

국내 최대 규모 생산시설 등 풍부한 OT 보안 구축 경험 보유

황 상무는 OT·CPS 보안에서 파수의 강점이 단순한 보안 솔루션 판매에만 있지 않다는 점도 강조했다.

저희는 클래로티의 보안 솔루션를 어떻게 도입하고, 어떻게 각 생산 현장에 맞게 운영할지를 함께 고민하고 있습니다. 보안을 단지 기술이 아니라, 운영의 일부로 보고 접근하고 있는 거죠.

황 상무에 따르면, 실제로 파수는 국내에서 최대 규모의 기업의 반도체 생산시설에 OT 보안 프로젝트를 수행해왔다. 이 과정에서 구축은 물론이고 운영 파트너로서 역할도 수행하며 고객사의 신뢰를 얻고 있다.

가장 큰 강점은 실제로 국내에서 가장 큰 생산시설에 구축을 해본 경험이 있다는 점입니다. 바로 보안 운영에서의 강점입니다. OT에서 뭐가 중요한지, 각 부분에 어떻게 해야만 시설의 정상대로 운영하면서 효율적으로 보안 운영이 가능한지 노하우를 많이 가지고 있습니다.

또 다른 강점으로 황 상무는 ‘CPS 취약점 분석 서비스’를 꼽았다. 스마트팩토리나 빌딩 내의 PLC, 엘리베이터, 화재·급수·방화 시스템 등 주요 장비의 보안 상태를 정기적으로 점검하고, 위험 요소를 사전에 차단하는 서비스다.

현장에는 보안 담당자가 없는 경우도 많고 OT를 관리하던 분이 갑자기 보안까지 맡는 경우도 있어요. 이 때, 구축도 어렵지만 지속적인 운영은 더 어렵죠. 그래서 파수가 보안 운영까지 직접 지원하고 있습니다.

이어 황 상무는 한 고객의 사례를 들었다. 한 반도체 공장에서 장비 간에 ‘수평 통신’이 이뤄진 기록을 탐지했다. 보통 공장 내 장비는 정해진 대상과만 통신해야 하는데, 이 장비는 비정상적으로 인접 장비와 데이터를 주고받고 있었다. 내부에 위협이 있을 수 있다는 신호였다. 황 상무는 “당시 고객이 깜짝 놀라며 ‘보안을 통해 이렇게까지 내부 위협을 자세히 볼 수 있구나‘하고 감탄했다“고 회상했다.

이외에도 파수는 중소 제조시설과 스마트빌딩을 대상으로 취약점을 분석해주는 서비스도 제공 중이다. 엘리베이터, 화재·급수 시스템, 방화 설비 등 건물의 핵심 제어 시스템을 정기적으로 점검하고, 위험 요소를 사전에 제거하는 것이 핵심이다.