센스톤-LS일렉트릭, 인증보안기술로 PLC 국산화의 차별화 위한 협력 도모

프로그래밍 제어장치(PLC)의 외부 위협 차단을 위한 PoC 성공

[보안뉴스 이소미 기자] 센스톤(대표 유창훈)은 LS일렉트릭(회장 구자균)과 산업 자동화 시대의 통합 운영 및 제어를 위한 핵심 장비인 자동공정에서의 프로그래밍 제어장치(PLC, Programmable Logic Controller)의 외부 위협 사전 차단을 위한 개념검증(PoC)을 성공적으로 마치고, 제조업 생산 현장부터 고도의 시스템 운영 및 다양한 IoT 환경에 이르기까지 널리 확산되고 있는 PLC의 글로벌 공통 취약점 해결을 위해 협력할 방침이라고 밝혔다.

▲OTAC 기반 PLC 인증 절차[이미지=센스톤]

PLC는 ‘사람 두뇌’에 비유될 만큼 자동화 설비 핵심 기기로 꼽힌다. 그런데 첨단 기술 제조 강국인 우리나라의 PLC 장비 외산 의존도는 80%에 달한다. 이로 인해 1년이 넘는 납기지연 뿐 아니라, 보안 문제 발생 시 즉각적인 대응이 불가능하고, 글로벌 공통 위협 및 국가 기반 시설의 사이버안보에도 취약한 상황이다. 이에 대기업인 LS일렉트릭은 순수 국산 보안기술로 글로벌 특허를 300개 이상을 보유한 센스톤과 PLC 국산화에 근본적인 보안 이슈를 강화하기 위한 협력을 추진하게 됐다는 설명이다.

시장조사 전문기관 IMARC그룹에 따르면, 지난해 146억 달러(약 18조9,500억 원) 규모였던 전 세계 PLC 시장은 오는 2028년까지 연평균성장률 5.38%를 기록하며 오는 2028년에는 202억 달러(약 26조2,000억 원)에 이를 것으로 나타났다.

하지만 PLC를 적용하는 산업에 네트워크 연결이 기본이 되는 IoT 환경이 급증하면서 사이버 공격에 의한 부적절한 접근 및 인증 문제가 점차 대두되고 있다. 그 중 가장 시급한 해결과제는 그 동안 폐쇄망에서 주로 사용돼 온 탓에 하나의 기기에 하나의 비밀번호를 기반으로 하는 사용자 인증 과정이다. 고정값을 사용하는 비밀번호 고유의 취약점은 물론, 비밀번호 공유, 비밀번호 관리 부실, 사용자 변경 관리 허점을 노린 PLC 해킹 시도는 계속해서 늘어나고 있다. 이와 함께 현재 시중에 소개된 상당수의 PLC 접근 제어 보안 솔루션들은 적지 않은 시간과 인력, 리소스가 소요되는 시스템 업그레이드를 동반하기 때문에 부담도 결코 적지 않다.

이에 센스톤과 LS일렉트릭은 비밀번호 본연의 취약점 해결에 초점을 두면서도, PLC 운영의 편의성과 확장성을 고려해 인증 과정을 단순화하고 기존 인프라를 최대한 활용하는 방안으로 POC를 수행했다. 우선, 절대 중복되지 않고 재사용이 불가능한 단방향 다이내믹 인증 기술인 OTAC(One-Time Authentication Code)를 PLC 인증 과정에 적용하되, 새로운 인터페이스를 구축하는 대신, 기존 PLC 인터페이스를 그대로 활용할 수 있도록 변화폭을 최소화했으며, PLC 이후 공정에서 ACL 관리가 가능하게 했다.

그 결과, 비밀번호 공유에 따른 접근은 물론 비밀번호 탈취에 따른 비인가 사용자의 접근 또한 원천적으로 차단되는 것을 확인할 수 있었다. 특히, 인가된 사용자만을 PLC에 접근할 수 있도록 허용함으로써 패킷 스니핑(Packet Sniffing)과 같은 공격을 무력화시킬 수 있음이 입증됐다. PLC 관리자 또한 기존 인터페이스와 동일하게 사용자 인증 과정이 이뤄짐에 따라 신규 인증 과정에 대한 거부감이 전혀 나타나지 않았다.

권대현 LS일렉트릭의 IEC SMB 이사는 “LS일렉트릭은 제조업부터 서비스 산업에 이르기까지 디지털 전환(Digital Transformation)을 필요로 하는 모든 기관 및 기업들이 성공적으로 자동화를 구현할 수 있도록 핵심 장비 공급은 물론, 컨설팅, 설계와 구축, 유지 보수 및 확장 서비스를 모두 제공하고 있다”며, “이번 센스톤과의 PoC를 통해 PLC 고객들이 비인가 사용자의 접속이나 시스템 업그레이드에 대한 부담 없이 더욱 안전하고 효율적인 자동화 제어 시스템 구축 가능성을 확인한 만큼, PLC 국산화 방향에 맞추어 실제 산업 현장에 적용될 수 있도록 양사간 협력 방안을 보다 구체화 할 방침”이라고 밝혔다.

유창훈 센스톤 대표는 “국내 산업 자동화 전문기업인 LS일렉트릭과 함께 국내외 PLC 시스템들이 갖고 있는 취약점 해결 방안을 이번 PoC를 통해 입증할 수 있었다”며, “글로벌 자동화 시장을 향해 큰 걸음을 내딛고 있는 LS일렉트릭과 PLC는 물론, 산업제어시스템(ICS, Industrial Control Systems) 및 운영기술(OT, Operational technology) 분야의 취약점을 선도적으로 해결해 나갈 수 있도록 적극 협력해 나가겠다”고 덧붙였다.

양사는 이번 PoC를 통해 강력하고 안전한 사용자 및 기기 인증은 물론, 설치 및 인증 과정의 단순화를 통해 인력 및 비용 절감, 생산성과 효율성이 검증된 만큼, 본격적인 상용화를 추진할 방침이다. 현재 양사는 LS일렉트릭 PLC 제품군에 센스톤의 OTAC 기술이 접목된 솔루션 공동 출시를 논의 중에 있다.
[이소미 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)