산업용 사물인터넷 기기 활성화로 불어오는 기대감
보안은 그 기대감을 부추겨야지 찬물 끼얹으면 안 돼
[보안뉴스 문가용] 산업 자동화 및 제어 시스템은 빠르게 온라인화 되어가고 있다. 로컬은 물론 원격 통제센터로부터 정보를 가져오고 보내는 활동이 활발해지고 있다. 이는 사물인터넷 기술과 맞물려 산업용 사물인터넷(IIoT)이란 표현까지 만들며 엄청난 발전 가능성으로 사람들을 설레게 하고 있다. 하지만 그 틈새로 보안이 빠져나가고 있는 듯한 모습이 눈에 띈다.
산업 및 사회 주요 기반시설을 겨냥한 사이버 위협이 빠르게 늘어나고 있는 가운데, 기업들은 이걸 아는지 모르는지 보다 빠르고 보다 정확하고 보다 효율성이 좋은 것들만 요구하고 있지 보안을 주요 구매이유로 내세우고 있지 않다. 그러나 산업 제어 시스템과 공장 운영 시스템들은 활용성, 안정성, 기능성 외에 안전성도 꼭 갖추어야 한다. 즉, 여기에 들어가는 사물인터넷 기기 역시 안전해야 한다는 것이다. 이를 위해서는 제조사, 개발자, 보안담당자, 유통 및 판매처가 멀웨어 및 취약점 정보를 긴히 공유해야한다.
산업용 사물인터넷의 보안이라고 하면 기존 보안과는 조금 다른 측면이 존재한다. 보통의 가정용 PC와는 달리 산업용 사물인터넷 기기들이 전송하는 정보는 항목별로 분류하고 그것을 개별적으로 제어하는 게 가능하다. 만에 하나라도 있을 사고발생 확률을 줄이기 위함이다. 이런 종류의 기기들이 실행하는 코드나 애플리케이션들 역시 비슷한 방식으로 제어할 수 있는데, 그렇기 때문에 화이트리스팅 작업을 해주면 인증된 코드만 실행하도록 하는 등 보안을 강화하는 게 용이해진다.
하지만 보안을 강화한답시고 산업용 사물인터넷 기기들을 사내 네트워크에도 연결시키지 않고 따로 떨어트려 두면 나중에 시스템 패치나 업데이트를 하는 데에 있어 애로사항이 꽃핀다. 즉 보안 시스템은 네트워크와 연결이 되어 있든 아니든 운영이 가능해야만 한다. 물론 제일 좋은 건 업데이트가 아예 별로 필요하지 않도록 처음부터 제작을 하는 것이긴 하다.
정책 강화와 관리가 열쇠
이런 사물인터넷 기기가 빠르게 늘어나고 있다는 건 이들을 하나하나 단 시간 내에 관리한다는 것이 물리적으로 불가능하다는 걸 뜻한다. 또한 몇 가지 소수 기기만 특별 관리를 한다는 것도 현실적이지 않게 된다. 즉 시선을 기기에서부터 더 큰 것으로 돌릴 수밖에 없는데, 그게 바로 정책 강화와 관리다. 아예 기기로부터 혹은 기기와 관련하여 일어나는 모든 변화를 미리 승인해주거나 거절하겠다는 제도가 필요하다는 것이다. 모든 기기를 일일이 검토할 필요 없이 말이다. 이러려면 분석 툴과 철저한 사건 조사가 필요하다. 비유하자면 작지만 무수히 많은 요소들의 바다에 보안 자체가 휩쓸려 들어가는 게 아니라 큰 기둥이나 뜰 것을 확보해 노를 저어갈 기반을 먼저 마련해야 한다는 것.
주요 산업 시설 및 사회 기반시설을 보호하는 건 국가의 임무다. 국가가 무엇으로 이루어져 있는가? 단순히 정부와 몇몇의 정책 담당자가 아니다. 끝없이 많은 개체들이 섞이고 뭉치고 흩어지는 걸 반복한다. 그렇다면 국가가 보안에 앞장서야 한다는 건 결국 그 구성원 모두가 그래야 한다는 것이다. 실제 정부가 단독으로 정보보안을 보장하려면 국민의 자유를 훼손하는 수밖에 없는 시대이기도 하다.
공장의 자동화와 생산의 증대가 주는 기대감에 찬물을 끼얹고 싶은 생각은 없다. 보안은 오히려 이를 권장하고 촉진시키는 역할을 할 수 있어야 한다. 사물인터넷의 발전 때문에 긴장해야 하는 건 사물인터넷을 사용하는 주체들이 아니라, 그들이 안심하고 사용할 수 있도록 환경을 아직 조성하지 못한 보안업계다. 어차피 사용자들이 사고의 잔해를 들고 찾아올 곳은 우리이기도 하고 말이다.
글 : 로리 위글(Lorie Wigle)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>