[아이티비즈 김문구 기자] 센스톤(대표 유창훈)은 LS일렉트릭(회장 구자균)과 산업 자동화 시대의 통합 운영 및 제어를 위한 핵심 장비인 자동공정에서의 프로그래밍 제어장치(PLC)의 외부 위협 사전 차단을 위한 개념검증(PoC)을 성공적으로 마치고, 제조업 생산 현장부터 고도의 시스템 운영 및 다양한 IoT 환경에 이르기까지 널리 확산되고 있는 PLC의 글로벌 공통 취약점 해결을 위해 협력할 방침이라고 27일 밝혔다.
PLC는 '사람 두뇌'에 비유될 만큼 자동화 설비 핵심 기기로 꼽힌다. 그런데 첨단 기술 제조 강국인 우리나라의 PLC장비 외산 의존도는 80%에 달한다. 1년이 넘는 납기지연 뿐만 아니라, 보안 문제 발생 시 즉각적인 대응이 불가하고, 이미 글로벌 공통적으로 노출 되어있는 위협에 취약하여 국가 기반 시설의 사이버안보에 취약한 상황이다. 이에 LS일렉트릭은 순수 국산 보안기술로 글로벌 특허를 300개 이상을 보유한 센스톤과 PLC 국산화에 업계 최초로 근본적인 보안 이슈를 강화하기 위한 협력을 추진하게 됐다.
센스톤과 LS일렉트릭은 비밀번호 본연의 취약점 해결에 초점을 두면서도, PLC 운영의 편의성과 확장성을 고려하여 인증 과정을 단순화하고 기존 인프라를 최대한 활용하는 방안으로 POC를 수행했다. 우선, 절대 중복되지 않고 재사용이 불가능한 단방향 다이내믹 인증 기술인 OTAC(One-Time Authentication Code)를 PLC 인증 과정에 적용하되, 새로운 인터페이스를 구축하는 대신, 기존 PLC 인터페이스를 그대로 활용할 수 있도록 변화폭을 최소화했으며, PLC 이후 공정에서 ACL 관리가 가능하게 하였다.
그 결과, 비밀번호 공유에 따른 접근은 물론, 비밀번호 탈취에 따른 비인가 사용자의 접근 또한 원천적으로 차단되는 것을 확인할 수 있었다. 특히 인가된 사용자만을 PLC에 접근할 수 있도록 허용함으로써 패킷 스니핑(packet sniffing)과 같은 공격을 무력화시킬 수 있음이 입증됐다. PLC 관리자 또한 기존 인터페이스와 동일하게 사용자 인증 과정이 이뤄짐에 따라 신규 인증 과정에 대한 거부감이 전혀 나타나지 않았다.
권대현 LS일렉트릭의 IEC SMB 이사는 "LS일렉트릭은 제조업부터 서비스 산업에 이르기까지 디지털 전환을 필요로 하는 모든 기관 및 기업들이 성공적으로 자동화를 구현할 수 있도록, 핵심 장비 공급은 물론, 컨설팅, 설계와 구축, 유지 보수 및 확장 서비스를 모두 제공하고 있다"며, "이번 센스톤과의 PoC를 통해 PLC 고객들이 비인가 사용자의 접속이나 시스템 업그레이드에 대한 부담 없이 더욱 안전하고 효율적인 자동화 제어 시스템을 구축할 수 있음을 확인한 만큼, PLC 국산화 방향에 맞추어 실제 산업 현장에 적용될 수 있도록 양사간 협력 방안을 모다 구체화해 나갈 방침"이라고 말했다.
유창훈 센스톤 대표는 "LS일렉트릭과 함께 국내외 PLC 시스템들이 갖고 있는 취약점 해결 방안을 이번 PoC를 통해 입증할 수 있었다"며, "LS일렉트릭과 PLC는 물론, ICS, 및 운영기술(OT) 분야의 취약점을 선도적으로 해결해 나갈 수 있도록 적극 협력해 나가겠다"고 전했다.
