Challenges

에너지, 물, 운송과 같은 중요한 인프라를 뒷받침하는 운영기술(OT) 시스템에 대한 사이버 위협이 놀라운 속도로 증가하고 있습니다. 지난 2024년에 발견된 사이버 보안 분야의 공통 취약점 및 노출(CVE) 총량이 사상 최고치를 기록하여 사이버 범죄자의 공격 표면(attack surface)이 확대되고 있음을 보여줍니다. 이러한 위협은 운영 중단은 물론, 심각한 경제적 손실, 심지어 인명 피해에 이르기까지 상당한 위험을 초래합니다.

이러한 놀라운 추세에 기여하는 주요 요인 중 하나가 바로 OT 시스템의 중추인 PLC의 취약한 인증 메커니즘입니다. PLC 취약점의 80%는 ICS 네트워크 내부에 깊숙이 존재하며, 공격자는 ICS 네트워크 내부의 취약점을 공격하기 위해 OT 네트워크에 먼저 접근합니다. 많은 PLC 기기들은 기본 암호 또는 쉽게 추측할 수 있는 암호에 의존하기 때문에 무단 액세스에 매우 취약합니다. 놀랍게도 OT 보안 침해의 81%가 취약한 암호 또는 암호 도용과 관련이 있습니다. 게다가 비밀번호를 공유하거나 아예 PLC 기기에 비밀번호조차 세팅하지 않은 채 자동 접속을 허용하는 경우도 많아 PLC 보안에 대한 인식이 심각한 수준입니다.

일부 OT 운영 기관 및 기업들이 PLC 기기의 보안 고도화를 위해 노력하고 있지만 여전히 현실의 벽은 두껍습니다. OT 시스템에 고급 기능들이 추가되고, 더 많은 기기들이 연결되면서, PLC 기기 제조사들의 도움 없이는 고도화된 인증 시스템을 구현하기가 쉽지 않기 때문입니다. 이러한 이유로 현재 PLC 보안 생태계는 PLC 기기 제조사들의 시스템 패치 업데이트에 의존하는 상황입니다.

게다가 현재 대부분의 OT 환경에서는 사실상 PLC 사용자 관리가 거의 이뤄지고 있지 않습니다. 비밀번호를 공유하거나 아예 비밀번호조차 없는 PLC 기기가 많아 누가 접속했는지 파악조차 할 수 없는 경우가 대부분입니다.

Solutions

OTAC Trusted Access Gateway (TAG)는 센스톤이 자체 개발한 세계 최초의 단방향 다이내믹 인증 기술인 OTAC(One-Time Authentication Code) 기반으로 개발되어, 고정값을 사용하는 비밀번호 인증 문제를 원천적으로 차단합니다. 스마트폰, 스마트카드, 지정 노트북 등을 통해 생성된 다이내믹 인증코드는 타사용자 또는 타기기와 절대 중복되지 않으며, 재사용이 불가능하기 때문에 PLC 인증 비밀번호 공유 및 탈취로부터 안전합니다.

이 제품은 제품 개발 단계부터 PLC 기기를 전혀 수정하지 않도록 설계되어, 현재 사용 중인 PLC 그대로 비밀번호가 아닌 다이내믹 인증 과정으로의 업그레이드가 가능합니다. 아무런 PLC 수정 없이 OT 시스템 공격자들이 아예 OT 기기들로 접근할 수 없도록 PLC 기기로 연결되는 관문을 지키는 역할을 하기 때문에 PLC의 보안성을 획기적으로 제고할 수 있습니다.

아울러 각 사용자별 또는 기기별로 로그인 기록을 확인할 수 있기 때문에 사용자 및 기기 관리가 매우 수월합니다. 일부 기관 및 기업들이 사용하는 PKI(Public Key Infrastructure)의 경우 인증서 관리 및 OT 인프라 리소스 부족 문제가 여전하고, 생체인증의 경우 양방향 통신이 필수이지만, 네트워크 연결이 없어도 단방향 다이내믹 코드 생성이 가능한 OTAC Trusted Access Gateway는 이러한 모든 문제를 해결합니다.

■ 배치: OTAC Trusted Access Gateway는 OTAC 생성용 사용자 기기와 인증이 필요한 OT 시스템 사이에 배치됩니다.
■ 인증 요청: 대상 PLC/HMI/RTU/DCS 엔지니어링 APP 실행 시 OTAC Trusted Access Gateway Agent가 실행되어 등록된 사용자 기기를 이용해 다중인증(MFA) 절차를 완료하도록 요청합니다.
■ OTAC 생성: 사용자는 이미 등록된 개인 기기(스마트폰, 스마트카드 등)를 이용해 일회용 단방향 다이내믹 인증 코드인 OTAC을 생성한 뒤 이를 입력창에 입력합니다.
■ 검증: OTAC Trusted Access Gateway는 입력된 OTAC을 검증하여 인가된 사용자가 확인되면 접속을 허용합니다.

■ 기존 PLC 수정 불필요: PLC 기기를 수정할 필요가 전혀 없습니다.
■ 중앙 관리 지원: 사용자 인증을 중앙에서 관리할 수 있습니다.
■ 단방향 다이내믹 인증코드 적용: 고정값 기반의 비밀번호를 매번 변경되는 다이내믹 인증코드로 대체하여 사용사/기기 식별 및 인증을 수행합니다.
■ PLC 접속 로그 관리: 기존 PLC 접속 로그는 사용자/기기 식별이 불가하지만, OTAC Trusted Access Gateway 로그는 접속 기록을 유의미하게 활용할 수 있습니다.

Why OTAC

센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.

OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.
통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.
OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.
OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.