센스톤·LS일렉트릭, PLC 외부위협 사전차단 PoC 성공

센스톤이 LS일렉트릭과 프로그래밍 제어장치(PLC)의 외부 위협 사전차단을 위한 개념검증(PoC)을 성공적으로 완료했다고 전했다. PLC는 산업 자동화의 핵심장치로, PLC 위협에 대한 차단은 생산 공정 등 산업 자동화 현장의 사이버위협 대응력 강화를 의미한다.

최근 디지털혁신(DT)이 확산되면서 IoT를 활용한 예방정비, 공정 자동화도 확산되고 있으나 산업 현장 내 네트워크 연결이 늘고 자동화가 확산되면서 이를 겨냥한 사이버공격도 증가하고 있다.

자동화 설비에서 '두뇌'의 역할을 하는 PLC의 경우, 사이버공격에 의한 부적절한 접근·인증 문제가 떠오르고 있다. 

그간 산업 현장 네트워크는 외부와 단절된 폐쇄망 환경이었기에 사용자 인증 과정이 취약해 사이버 공격자들에게 손쉬운 타깃이 되고 있다.

고정값을 사용하는 비밀번호 고유의 취약점은 물론, 하나의 비밀번호를 공유하는 등 관리 허점도 적지 않으며, 이를 노린 PLC 해킹 시도는 계속해서 증가하고 있다. 허나 현재 시중에 소개된 상당수의 PLC 접근 제어 보안 솔루션들은 적지 않은 시간·인력·리소스가 소요되는 시스템 업그레이드가 필요해 부담이 크다.

이 문제 해결을 위해 센스톤과 LS일렉트릭은 인증 과정을 단순화하고 비밀번호 본연의 취약점 해결에 초점을 맞추는 동시에 기존 인프라의 최대한 활용과 PLC 운영의 편의성·확장성까지 고려한 외부 위협 사전 차단 PoC를 수행했다.

재사용이 불가능한 단방향 다이내믹 인증 기술인 OTAC(One-Time Authentication Code)를 PLC 인증 과정에 적용해 보안성을 높이는 동시에 기존 PLC 인터페이스를 그대로 활용할 수 있도록 변화폭을 최소화해 PLC 이후 공정에서도 액세스 제어 목록(ACL) 관리가 가능하게 한 것이다.

센스톤은 "이를 통해 PoC에서는 비밀번호 공유에 따른 접근은 물론, 비밀번호 탈취에 따른 비인가 사용자의 접근을 원천 차단하고 인가된 사용자만 PLC에 접근할 수 있도록 허용해 패킷스니핑과 같은 공격을 무력화시킬 수 있음을 입증했다"고 설명했다.

기존 인터페이스와 동일한 사용자 인증 과정으로 PoC에 참여한 PLC 관리자도 새로운 인증 과정에 대한 거부감도 나타내지 않았다.

양사는 이번 PoC를 통해 안전한 사용자·기기 인증, 설치·인증 과정의 단순화를 통한 인력·비용 절감 등을 입증한 만큼 양사 기술을 결합해 본격적인 국산 PLC 상용화를 추진할 방침이다.

현재 국내 현장에서 PLC장비의 외산 의존도는 80%에 달하며, 이는 납기지연, 보안 문제 발생 시 즉각적인 대응이 불가하는 등의 어려움의 원인이 되고 있다.

LS일렉트릭 PLC 제품군에 센스톤의 OTAC 기술이 접목된 솔루션을 공동 출시해 PLC 시장에서 국산 PLC의 입지를 높이고, 외산 PLC 활용의 문제점을 해소할 수 있도록 하겠다는 것이다.

권대현 LS일렉트릭의 IEC SMB 이사는 "이번 센스톤과의 PoC를 통해 비인가 사용자의 접속이나 시스템 업그레이드에 대한 부담 없이 더욱 안전하고 효율적인 자동화 제어 시스템을 구축할 수 있음을 확인한 만큼 PLC 국산화 방향에 맞춰 양사간 협력 방안을 모다 구체화해 나갈 방침"이라고 밝혔다.

유창훈 센스톤 대표는 "LS일렉트릭과 함께 국내외 PLC 시스템들이 갖고 있는 취약점 해결 방안을 이번 PoC를 통해 입증할 수 있었다"며, "LS일렉트릭과 PLC는 물론, 산업제어시스템(ICS), 운영기술(OT) 분야의 취약점을 선도적으로 해결해 나갈 수 있도록 적극 협력해 나가겠다"고 전했다.