"한국 제조업 시스템, 해킹에 무방비 노출"

“2022년 제약사를 비롯한 다수 국내 기업이 랜섬웨어에 감염되며 운영기술(OT) 보안 문제가 화두로 떠올랐습니다. 2023년 러시아 해킹 조직이 국내 스마트팜의 OT 시스템을 연이어 마비시켰죠. 1년 전 큰 피해를 보고도 국내 기업들이 전혀 준비가 되지 않았던 겁니다.”

한 글로벌 보안기업 최고기술책임자(CTO)는 한국 OT 시스템 보안의 현실을 이렇게 진단했다. 랜섬웨어 감염, 운영체제 탈취 등 OT 시스템을 향한 공격이 다양한 산업에 피해를 주고 있지만 국내 기업들이 대응하는 방식이 안일하다는 것이다. 최근 보안 전문 기업에 OT 시스템 공격 대응 방법이나 해결 방안을 자문하는 국내 기업이 3배 이상 늘었다고 그는 설명했다.

OT 시스템은 상품과 서비스의 생산에 관여하는 물리적 장치를 관리하고 제어하는 하드웨어(HW)와 소프트웨어(SW)를 뜻한다. 원격감시제어시스템(SCADA), 산업제어시스템(ICS), 사물인터넷(IoT) 등이 포함된다. OT 시스템은 한번 구축한 뒤로는 변경이 어렵기 때문에 취약점을 발견하더라도 대응하기 어렵다.

서민석 한국인터넷진흥원(KISA) 디지털제품보안팀장은 “기업 오피스 업무용 정보기술(IT)과 OT는 상호 연결을 고려해 설계하지 않는다”며 “OT 시스템은 정기적 보안 패치나 업데이트가 어려운 경우가 대다수”라고 말했다.

KISA에 따르면 최근 OT를 대상으로 한 공격은 랜섬웨어, 제어망 침투, OT 설비 변조, 내부계정 탈취 및 접근 권한 변경 등으로 이뤄진다. 글로벌 보안기업 팰로앨토네트웍스는 한 기업의 OT 시스템이 공격당했다는 것이 알려지면 또 다른 해킹 조직이 연이어 이 기업의 시스템을 공격하는 경우가 늘어나고 있다고 경고했다.

AI가 산업 현장에 확대되면서 해커들의 공격 형태가 진화했고 즉각적인 대응 또한 어려워지고 있다. 장용민 삼성SDS 보안사업담당 상무는 “사이버 공격에 AI를 악용하는 사례가 급증하고 있다”며 “사이버 공격을 위해 학습된 AI는 100개 이상의 악성 코드를 순식간에 만들어낼 수 있을 만큼 기존 공격보다 효율적”이라고 설명했다.

구글 등 글로벌 기업들은 AI 기반 피싱에 대응하기 위해 자사 IT와 OT 시스템에 생체인증 등 추가 인증 절차를 도입한 것으로 알려졌다.

전문가들은 국내 기업들의 ‘낮은 보안 감수성’을 가장 큰 문제로 꼽았다. 과학기술정보통신부 조사에 따르면 지난해 정보보호 관련 예산을 책정한 기업 중 75.8%가 500만원 미만을 집행하는 데 그쳤다.

침해사고를 당한 기업 중 77.7%가 후속 대응을 위해 별다른 활동을 하지 않고 있다고 답하기도 했다.

OT 시스템 공격은 국내 산업계만의 문제가 아니다. 지난달 24일 글로벌 보안기업 카스퍼스키가 발표한 ‘OT 사이버보안 현황 보고서’에 따르면 글로벌 제조 기업의 25%가 사이버 공격으로 500만달러가 넘는 피해를 본 것으로 드러났다.

2017년 덴마크의 한 해운기업은 랜섬웨어 공격으로 선사 IT시스템이 마비돼 물류 운송이 중단되는 등 약 3000억원의 피해를 봤다. 2020년 독일에서는 대학병원 IT시스템이 랜섬웨어 공격으로 마비돼 환자가 사망하는 사고가 발생했다.

제조업은 시스템 중단 시 시간당 손실액이 크다는 점에서 해커 조직의 공격 대상이 되기도 한다. 랜섬웨어에 감염되거나 OT 시스템 운영 권한을 탈취당할 경우 이를 해제하는 조건으로 거액의 보상을 지급할 가능성이 높아서다. KISA 관계자는 “최근 들어 반도체, 자동차 등 대형 제조기업을 대상으로 한 OT 시스템 공격이 늘어나고 있다”며 “AI 도입으로 공격 양상이 다변화됨에 따라 이런 OT 공격은 더 증가할 것으로 보인다”고 밝혔다.

최지희 기자 mymasaki@hankyung.com