사람의 생명과 직결되는 OT, IT 보안과 다른 10가지 차이   한근희 고려대 교수 “사회기반시설 보안은 IT와 다른 전략 필요해”

[보안뉴스 김경애] 주요 사회기반시설에 대한 사이버위협이 국가 안전문제 중 하나로 대두되고 있다.

사회기반시설은 운영기술을 의미하는 OT(Operational Technology)를  기반으로 하기 때문에 일분일초라도 멈추면 안 된다. 게다가 IT(Information Technology) 기술의 발달로 클라우드, 빅데이터, 사물인터넷 등 첨단기술이 물밀 듯이 쏟아지면서 사회기반기설의 보안위협은 갈수록 커지고 있다. 특히 의료, 교통, 원자력(핵) 발전 등은 사람의 생명과 직결되기 때문에 더욱 보안이 요구되는 분야다.

하지만 안타깝게도 OT의 보안이 IT보다 오히려 취약한 경우가 적지 않다. 이에 지난 2013년 2월 12일 美 오바마 대통령은 대통령령(13636)으로 주요 사회기반시설의 사이버보안을 개선하라고 지시한 바 있다.

사회기반시설은 화학, 상용시설, 통신, 주요 제조, 금융서비스, 농수산식품, 정부시설, 의료시설, 댐, 방위산업, 응급서비스, 에너지, 정보기술, 원자력(핵) 발전, 교통, 수자원 등 12개 분야로 IT보안과는 차별화된 보안성을 요구한다.

이와 관련 고려대학교 한근희 교수는 OT의 경우 △백신 △지원기술 라이프타임 △용역 △패치 어플리케이션 △장비 재생 △긴급 컨텐츠 △가용성 △보안 인지 △보안 테스트·감사 △물리적 보안 측면에서 IT와 차이가 있다며 이점을 잘 고려해서 보안에 신경써야 한다고 강조했다.

첫째, 백신은 IT에서 사용하는 일반적이고, 광범위한 백신이 아닌 각 OT 분야에 맞는 특화된 백신을 사용해야 한다.

발전소 등 전력설비에 쓰이는 지멘스의 산업자동화제어 시스템(PCS7)만을 감염시켜 오작동을 일으키거나 시스템을 마비시키는 웜 바이러스인 스턱스넷(Stuxnet)이 그 예다. 지난 2010년 7월 동남아 지역에서 처음으로 발견된 스턱스넷은 이란 부셰르 원전과 관련된 컴퓨터 3만대와 중국의 주요 사회간접자본시설(SOC)까지 감염시킨 바 있다.

둘째, 지원기술 라이프타임의 경우 IT 분야는 3~5년 정도마다 기술이 지원된다면 OT 분야는 여러 가지 기술적인 문제와 SW보안 검증, 그리고 오랜 연구가 수반돼야 한다. 이 때문에 기간이 상당히 오래 걸릴 수 있으며, 그만큼 높은 수준의 보안성이 요구된다.

셋째, 용역의 경우도 마찬가지다. IT에서는 일반적이고 광범위하게 용역이 활용될 수 있지만 OT의 경우 극히 한정된 용역으로 특화되며, 비용도 높아진다.

넷째, 패치 어플리케이션은 IT는 정기적인 업데이트와 함께 적용될 수 있지만 OT는 SW의 보안성 검증이 완료되기 전까지는 적용할 수 없으며, 결코 적용해서도 안 된다. 때문에 IT보다 적용이 느리고, 특성에 맞게 패치가 적용돼야 한다.

다섯째, 장비 재생의 경우 IT는 정기점검이 가능하고, 점검기일을 예정할 수 있는 반면, OT는 과거에 개발되어 현재에도 사용 중인 낡은 하드웨어나 SW를 기반으로 하기 때문에 최근 보안환경에 부적합한 경우가 적지 않다는 점을 고려해야 한다.

여섯째, 통신망 또는 방송망을 타고 흐르는 각종 정보인 긴급 컨텐츠(content)의 경우 IT는 지연이 용납될 수 있지만 OT는 안전에 있어 치명적이다.

일곱째, 가용성의 경우 IT는 가용성이 높은 편이지만 OT는 24시간 365일 작동돼야 하기 때문에 시험시간대 등 특정시간대만 극히 예외적으로 가능하다. 즉 기계 작동을 기본적으로 멈출 수 없기 때문에 매우 한정적이다.

여덟째, 보안 인지 측면에서는 IT의 경우 공공·민간 모두 보안의 중요성에 대해 인지하고 있는 반면, OT 분야 종사자들은 일반적으로 사이버 보안 인식이 미흡한 편이다. 이와 관련 한 교수는 “현장점검을 해보면 특히 의료 분야의 경우 취약하다”며 “아무래도 특정 분야 전문가들이 많기 때문에 보안은 별도로 생각하고 있는 경우가 대부분”이라고 지목했다.



아홉째, 보안 테스트 및 감사의 경우 IT 분야는 정기적으로 테스트하고 감사하고 있는 반면, OT는 작동을 멈출 수 없기 때문에 특정 기간에만 테스트가 가능하다.

마지막 열 번째로 물리적 보안을 지목한 한근희 교수는 “OT를 기반으로 한 사회기반시설은 특화된 곳으로 물리적 보안 시스템은 잘 구축돼 있지만, 상대적으로 관리 소홀이나 방심 때문에 위험에 노출되는 경우가 적지 않다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>