OTAC Solutions
Programmable Logic Controller OTAC
센스톤의 PLC-OTAC는 외부 위협은 물론 내부 보안에 취약한 비밀번호 기반의 인증 방식을 벗어나, 중복 없는 단방향 다이내믹 코드를 통해 가장 안전하고 고도화된 사용자 인증 프로세스를 제공합니다.
Pain points
산업 자동화 시대를 맞아 글로벌 제조 환경은 수많은 기기와 장비들을 효율적으로 관리할 수 있는 OT(Operational Technology) 및 IT(Information Technology) 통합 시스템으로 변화하고 있지만, 이러한 새로운 환경에 맞는 사용자 및 기기 식별을 위한 고도화된 인증 시스템은 구비되지 않아 외부 위협에 취약합니다.
이스라엘 수처리 시스템의 PLC 공격으로 수처리 공정이 마비되고 수질이 오염된 것은 물론, 미국 플로리다 주의 수처리 시설 또한 PLC 해킹으로 인해 화학물질 농도가 급속히 늘어 자칫 실제 피해로 이어질 뻔했습니다. 이 밖에도 PLC가 필수적으로 사용되는 발전소, 전력망, 제조공장, 가스라인, 심지어 함대, 전토기, 미사일 제조설비 등이 해킹을 통해 뚫린 바 있습니다.
제조설비 및 관리시스템의 자동화로 인해 글로벌 PLC 수요가 오는 2030년 기준 221억 7,000만 달러(한화 약 30조원, 자료 : Next Move Strategy Consulting)에 이를 정도로 가파르게 늘고 있다는 점을 감안하면, 노출 또는 공유하여 사용하고 있는 비밀번호를 확보한 비인가 사용자의 OT 및 PLC 장비 접근을 원천적으로 차단할 사용자 인증 기술 고도화는 필수적입니다.
OT 보안에서의 규정 준수 문제
운영 기술(OT)을 위한 규제 환경이 계속 발전함에 따라, 기업들은 NIS2 지침, CRA (Cyber Resilience Act), IEC 62443 표준과 같은 프레임워크를 준수해야 할 필요성이 커지고 있습니다. 이러한 규정은 에너지, 상하수도, 운송과 같은 주요 인프라에 대한 사이버 공격을 차단하기 위해 보다 엄격한 사이버 보안 요구사항을 부과하고 있습니다. 규정을 준수하지 않으면 금전적 제재나 브랜드 가치 손상은 물론, 심지어 서비스 중단과 같은 심각한 결과를 초래할 수 있습니다.
- 그럼에도 불구하고 많은 조직들은 이러한 규정들을 기존의 OT 시스템에 적용하는 데 어려움을 겪고 있습니다. 그것은 바로 원래 이와 같은 엄격한 보안 규정들을 염두에 두고 설계되지 않았기 때문입니다. 특히 일부 프로그래밍 제어장치(PLC, Programmable Logic Controller)와 같이 저전력 기기들의 경우 최신의 리소스 집약적인 보안 솔루션을 지원할 능력이 부족한 게 현실입니다.
- ■ NIS2, CRA, IEC 62443와 같은 규정을 준수하기 위해서는 기존 OT 시스템에서 제공하는 것보다 더 고차원적인 보안 솔루션이 필요합니다.
■ 비밀번호와 같이 고정값 기반 인증은 비밀번호 크래킹, 피싱, 무차별 공격과 같은 사이버 공격에 취약하여 규정 준수 요구 사항을 충족하기 어렵습니다.
■ 기존 OT 시스템은 광범위하고 비용이 많이 드는 업그레이드 없이 최신 보안 솔루션을 수용하기 어렵습니다.
■ 각국이 요구하는 규정과 표준을 준수하지 않으면 심각한 제재와 운영 중단에 처할 수 있습니다.
비밀번호 기반 PLC 로그인으로 인한 내외부 위협 상시 노출
PLC 로그인을 위해 사용하는 비밀번호는 고정 값이기 때문에 보안에 매우 취약합니다. PLC 관리 담당자 외에도 외부 협력업체, 퇴직자, 계약직 근로자 등 비밀번호를 아는 모든 사람이 쉽게 PLC에 접속 가능하여 언제든 보안 위협에 노출될 수 있습니다. 설령 폐쇄망으로 관리된다 하더라도 잠재적인 해킹 위협에서 절대 벗어날 수 없습니다. 게다가, 비밀번호 복구 툴을 사용하는 경우에도 PLC에 접속하는 단말(노트북, HMI 등) 및 PLC에 악성코드가 감염되는 사례가 많으며 이를 해결하기 위한 적절한 대안이 아직까지 없어 선제적 조치를 취하지 못하고 있습니다.
다기종 PLC 기기 혼재에 따른 통합 인증 솔루션 도입 한계
대부분의 PLC 기기는 최종 사용자가 직접 선택하기보다는 자동화 공정 설비를 구축하는 시스템 통합 업체(SI, System Integrator)에 의해 각종 제어장치(대형, 중형, 소형)가 납품되는 과정에서 결정됩니다. 따라서 많은 기업들은 서로 다른 보안 기술이 적용된 여러 제조사의 제품들을 동시에 사용하고 있는 실정입니다. 이로 인해 최종 고객사가 PLC를 포함한 다양한 자동화 장치의 접속 인증 관련 보안 솔루션을 지정하여 요청하기는 현실적으로 어렵습니다.
PLC 보안 전문가 부재에 따른 보안 관리 취약
기업 내 보안 부서는 일반적으로 HMI(단말, 워크스테이션 등)와 PLC 바로 앞에 위치하는 네트워크 스위치까지 담당합니다. PLC는 대부분 전기장치 및 설비로 분류되어 제어/설비 부서에서 관리하는 경우가 많습니다. 즉, PLC가 보안 부서의 관리 영역에서 벗어나다 보니 제어장치 또는 시스템 납품 업체가 제안하는 보안 수준에 의존하는 것이 현실입니다. 최종 사용자가 보안 솔루션을 추가하고자 하더라도 제어설비 납품 업체의 보안/안정성 검증을 받아야 하기 때문에 향후 문제 발생 시 유지보수 및 하자보수 문제가 발생할 수 있습니다.
OT/PLC 시스템 업그레이드에 대한 부담
기존 OT 시스템에 대한 보안 업그레이드에는 상당한 시간, 인력 및 리소스가 필요한 경우가 많으며, 이는 ICS 및 OT 조직과 제조사에 비용 측면에서 영향을 미칩니다. 이미 내재된 취약성에도 불구하고 PLC는 정상 운영되어야 하기 때문입니다. 실제 일부 PLC 사용 기업들이 다중인증(MFA) 시스템을 도입하고자 했지만, 새로운 인증 기술 적용을 위해 소프트웨어는 물론 하드웨어 및 인프라까지 대거 변경해야 하는 탓에 중단한 사례가 많습니다. 이처럼 업그레이드에 부담을 느끼는 조직과 기업들이 일정을 지연 시킬수록 PLC와 운영 시스템은 그만큼 위험에 노출됩니다.
RTU, SCADA, HMI 등 OT 기기에서 발견되는 공통 취약점 문제
OT 환경에서 원격 터미널 장치(RTU, Remote Terminal Unit), 감시 제어 및 데이터 수집(SCADA, Supervisory Control and Data Acquisition) 시스템, 인간-기계 인터페이스(HMI, Human-Machine Interfaces) 등은 PLC와 유사한 취약점이 있습니다. 이러한 기기들은 기본 세팅되어 있거나 매우 쉬운 비밀번호(default passwords)로 작동되고, 오래된 보안 프로토콜을 사용하며, 네트워크 기반 위협에 노출되기 쉽습니다. 게다가, 이 기기들은 중요한 프로세스를 제어하고 모니터링하는 데 필수적이지만, 실시간으로 운영하면서 시스템을 업데이트해야 하는 경우에는 종종 취약한 상태로 방치되는 것 또한 사실입니다. 그 결과, 사이버 공격의 쉬운 표적이 되어 전체 OT 환경을 위험에 빠뜨리곤 합니다.
Solutions
센스톤의 PLC-OTAC는 ICS/OT 환경에 최적화된 인증 솔루션을 제공합니다. 고도의 보안을 제공하면서도 최소한의 리소스만을 필요로 하는 세계 최초의 단방향 다이내믹 인증기술(OTAC) 기술을 활용하여 PLC 보안 문제를 해결합니다. 중복 가능성이 전혀 없고, 재사용이 불가능한 다이내믹 코드인 OTAC를 통해 인가된 사용자 및 기기만 PLC 접근이 가능하도록 허용해 패킷 스니핑(Packet Sniffing)과 같은 공격을 사전에 차단할 수 있습니다.
OT 사이버 보안 프레임워크 규정 준수 취득
센스톤의 PLC OTAC은 OT 환경에 최적화된 고차원 인증 메커니즘을 통해 NIS2, CRA, IEC 62443와 같은 규정을 모두 충족시킵니다.
■ NIS2 준수: OT 시스템에 대한 안전하고 비밀번호 없는 접근을 제공하여, 고정값 기반 자격 증명과 관련된 취약점을 해결하고 NIS2에서 요구하는 보안 조치를 보장합니다.
■ CRA 준수: 기존 비밀번호 기반 시스템을 다이내믹 인증 코드로 대체하여 무단 접근 위험을 줄이고 인증 프로세스를 간소화합니다.
■ IEC 62443 준수: 일회용 다이내믹 코드를 통해 FR1에서 요구하는 인증된 사용자만을 허용하며, FR2에서 요구하는 명확한 감사 기록을 제공합니다.
복제 불가 다이내믹 인증코드로 비밀번호 취약점 무력화
센스톤은 그동안 OT 및 PLC 기기의 취약점 중 하나로 계속 지적돼 온 기기 및 사용자 인증 보안 위협을 사전에 완벽하게 차단할 수 있는 유일한 기술입니다. 매번 새롭게 생성되는 다이내믹 코드를 인증 값으로 제공함으로써 고정 값을 사용하는 기존 비밀번호 기반 인증 문제를 원천적으로 차단합니다. 이에 따라 PLC 이용자 간의 비밀번호 공유는 물론, 비밀번호 크래킹(password cracking) 소프트웨어를 이용한 해킹 위협을 사전에 무력화할 수 있습니다. 게다가 PLC 기기별 비밀번호를 배정할 필요도 없으며, 퇴직자, 계약직 근로자 등에게 지정된 기기 또는 기간에만 사용할 수 있도록 권한 배정이 가능하기 때문에 훨씬 수월하게 PLC 관리가 가능합니다.
[기존 비밀번호 기반 PLC 인증 절차]
⇛ 엔지니어 간 비밀번호 공유 문제 해결 시급
⇛ 식별할 수 없는 사용자에 대한 액세스 권한 부여에 따른 문제 여전
⇛ 비밀번호 탈취에 따른 비인가 사용자의 액세스 차단 한계
[PLC-OTAC 기반 PLC 인증 절차]
⇛ 매번 다르게 생성되는 다이내믹 코드(OTAC)로 암호 공유 문제 사전 차단
⇛ 식별 가능한 사용자만 액세스 권한 부여
⇛ 탈취한 OTAC 사용 시 OTAC 검증 모듈에서 모든 액세스를 차단해 시스템 보호
⇛ 기존 8자리 비밀번호 인터페이스 전문 수정 없이 적용 가능
각 기업별 최적화된 인증 방식 구현 가능한 설계
생산 자동화를 위한 OT 영역에서 통합 운영 및 제어를 위한 핵심 장비인 PLC는 각 기업마다 내부 인프라 및 운영 정책에 따라 인증 과정이 다르게 운영돼 왔지만, 센스톤의 PLC-OTAC는 각 기업이 원하는 환경에 맞춰 적용할 수 있도록 설계되어 손쉽게 적용이 가능합니다. 현재 PLC에서 가장 일반적으로 사용하는 6~9자리 인증 코드를 비롯해 그보다 더 긴 형태의 인증 코드 구성은 물론, 스마트폰과 디스플레이카드 등 각 최종 사용자가 원하는 인증 코드 발행 매체 선택이 가능합니다.
[스마트폰을 활용한 인증 코드 생성 및 PLC 기기 관리]
기존 UX/UI 유지 및 인증 프로세스 표준화 제시
이미 글로벌 PLC 선도기업들과 PoC, MVP 등을 통해 검증 경험을 바탕으로, 센스톤은 최종 사용자들이 기존 PLC 인증 방식의 UX 및 UI를 유지하거나 변경을 최소화하여 인증 프로세스를 구현하도록 합니다. 아울러 손쉬운 기기 및 사용자 등록과 관리가 가능한 표준 프로세스를 제시함으로써 최종 사용자들이 손쉽게 고도화된 인증 프로세스를 구현할 수 있습니다.
[PLC-OTAC 적용 PoC 성공 사례]
다양한 OT 기기에 적용 가능한 무결점 확장성 제공
PLC OTAC 솔루션은 확장 가능한 다이내믹 인증 기술을 제공하여 PLC 보안뿐만 아니라 다른 OT 기기들을 보호하는 데에도 유용합니다. 일회용 단방향 다이내믹 코드는 원격 터미널 장치(RTU), 감시 제어 및 데이터 수집(SCADA) 시스템, 인간-기계 인터페이스(HMI) 등 다양한 OT 기기에 손쉽게 적용되어, 오직 인가된 사용자에게만 접근을 허용합니다. 이러한 보안 접근 방식은 광범위한 인프라 변경이나 복잡한 설정 없이 실시간 보호망을 구현함으로써, OT 생태계를 무단 접근 및 사이버 위협으로부터 효과적으로 보호합니다.
Benefits
센스톤의 PLC-OTAC는 PLC 제조사와 운영사가 최소한의 컴퓨팅 리소스만으로도 비밀번호 기반의 취약성을 제거하여 보안성을 높이는 것은 물론, 원활한 시스템 적용을 통해 시스템 중단을 최소화할 수 있도록 지원합니다. ICS 및 OT 시스템의 중요한 구성 요소인 생산성과 효율성 증가는 생산 및 서비스 자동화가 요구되는 조직, 기업 및 기관들의 경쟁력 향상으로 이어집니다.
유의미한 인력 및 비용 절감
PLC-OTAC는 PLC 하드웨어 사양을 높이거나 기존에 사용 중인 네트워크 환경을 바꿀 필요 없이 기존 인프라를 유지한 채 사용자 인증 과정만 고도화할 수 있어 인증 보안 시스템 구축에 따른 비용과 시간 절감이 가능합니다. 실제로 타 인증 솔루션과 비교해 유의미한 비용 절감 효과를 기대할 수 있습니다.
생산성 및 효율성 제고
PLC-OTAC는 스마트폰, 디스플레이 카드 등 다양한 형태로 코드 생성기 구현이 가능할 정도로 초소형 알고리즘 코드 사이즈를 자랑합니다. 타 인증 및 암호화 수단 대비 낮은 CPU 오버헤드를 요구하기 때문에 중앙 백엔드 서버 또는 PLC 자체 경량 모듈에 적용이 가능합니다. 최소한의 UI 변경만으로 구축 가능한 탄력적인 코드 패러미터(code parameter)를 제공하며, 기존 인프라에 적용할 수 있어 고비용의 대규모 인프라 변경이 필요하지 않습니다.
기술 장벽 없는 손쉬운 관리
PLC 관리자의 스마트폰을 비롯한 인증 코드 생성기에서 만드는 OTAC 코드만으로 PLC 접근이 가능하며, 사용자별로 접근 가능한 PLC 및 PC 기기를 제한할 수 있어 관리의 효율성을 높일 수 있습니다. 특히 기기 인증 및 사용자 인증 설정 과정이 매우 간결하기 때문에 숙련된 기술 및 교육 과정 없이도 관리가 가능합니다.
Why OTAC
센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.
-
OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.
-
통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.
-
OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.
-
OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.
알고리즘 분석 및 검증
글로벌 사이버 보안 분야에서 손꼽히는 영국의 써리대학교(University of Surrey)는 센스톤의 OTAC 알고리즘 분석 및 학술적 검증을 진행했습니다.
NET 신기술 인증
센스톤은 '단방향 다이내믹 인증(OTAC)을 통한 개별 IoT 디바이스 기기 인증 및 전송 데이터 보안 기술'로 산업통상자원부의 'NET' 신기술 인증을 획득했습니다.
국제 CC인증
세계 최초의 단방향 다이내믹 인증 기술(OTAC) 기반의 간편인증솔루션 'OTACTokenV1.0' 이 국제 공통평가기준(CC) 인증을 획득했습니다.
IR52 장영실상
센스톤의 'OTAC for Phygital'이 과학기술정보통신부가 주최하는 2024년 40주차 ‘IR52 장영실상'을 수상하였습니다.
Insights
Contact Us
보안 걱정없이 신뢰 할 수 있는 서비스를 구현하세요!
지금 바로 문의하세요. 빠른 답변 드리겠습니다.
서울특별시 동대문구 천호대로 329, 5층 (우02622)
급한 업무는 아래로 연락주시면 빠르게 대응하겠습니다.
Korea Office (SSenStone)
서울특별시 동대문구 천호대로 329, 5층 (우02622)
Tel : 02-569-9668 | Fax : 02-6455-9668
im@ssenstone.com
UK Office (swIDch)
Office 158, 1st Floor, 3 More London Riverside, London, England, SE1 2RE
Tel : 020-3283-4081
info@swidch.com