[디지털데일리 채성오기자] 프로그래밍 제어장치(PLC)는 기계나 프로세스를 자동으로 제어하기 위해 사용하는 시스템의 핵심 부품으로, 최근 보안 이슈가 대두되고 있는 영역이다. 기계를 자동으로 제어하기 위해 센서나 액츄에이터를 연결해 데이터를 수집·분석한 후 명령을 내리다 보니 외부 온라인 환경에서 비롯되는 보안 취약점이 발생한다.

자동화 생산 환경에서 수 천대의 장비를 운영하는 공장들은 일일히 PLC 패스워드를 설정하지 않은 채 운영돼 왔는데 '코로나19 바이러스 대유행' 시기엔 폐쇄망을 주로 사용했기에 보안 취약점이 크지 않았으나, 산업용 IoT나 서드파티로 연결되는 형태가 일반화됨에 따라 네트워크 환경을 공략하는 공격자들이 늘어난 셈이다. PLC가 사용되는 제조 공장, 발전소, 전력망 등에서 아이디와 패스워드 형태의 고정값을 기반으로 인한 사용자 인증 과정을 거치다 보니 공격을 받으면 인증 관련 소프트웨어(SW)는 물론 기계까지 교체해야 하는 대형 손실로 이어지기 마련이다.

특히 운영기술(OT) 환경에서 PLC 보안 취약점을 파고든 공격자들은 시스템에 혼란을 주기 때문에 관련 기업의 생산성을 현저히 저하시킬 수 있다. 국내 인증 보안기업인 '센스톤'은 이런 PLC 보안 취약점을 단방향 네트워크 통신 환경에서 일회용 다이내믹 인증코드를 생성할 수 있는 OTAC 기술로 대응할 수 있다고 강조했다.

유창훈 센스톤 대표는 20일 서울 소공동 롯데호텔 사파이어볼룸에서 제2회 차세대 보안혁신 서밋 'NSIS(Next Security Innovation Summit) 2025' 현장에서 'OT의 End Point 보안! IEC62443 '식별 및 인증' 실적용 사례'를 주제로 발표를 진행했다.

센스톤은 기존 고정 인증값으로 인해 발생하는 보안 문제를 동적 인증값으로 해결하는 신 인증 기술을 전면에 내세웠다. 고정된 인증정보의 경우, 정보유출에 취약하며 기존 '일회용 비밀번호(OTP)' 코드만으론 사용자 식별이 불가능한 단점이 있다. 이를 극복하기 위해 센스톤은 단방향 다이내믹 토큰만으로 고유 인증을 가능케 한 '일회성 인증 코드(OTAC)'를 개발했다.

OTAC는 기존 인프라를 그대로 활용하면서도 PLC 기기의 인증 취약점을 근본적으로 차단한다는 장점이 있다. 다이내믹 코드만으로 중복없이 사용자 식별이 가능하며 서버와 통신이 필요없는 환경에서 다이내믹 코드를 생성하기 때문에 네트워크의 제약도 받지 않는다. 해당 인증과정을 적용하면 휴대폰 등 다이나믹 토근을 생성하는 디바이스(기기)에서 사용자 인증을 통해 생성되는 OTAC 코드를 받아 직업 입력하기 때문에, 등록자가 아닐 경우 접근이 제한된다.

다양한 기업의 장비를 이용하는 환경에선 PLC 제조사 지원 없이도 인증 가능한 'OTAC 트러스티드 엑세스 게이트웨이(TAG)'로 관리할 수 있다. PLC 포트에 꽂혀있는 랜선을 빼서 게이트웨이에 꽂고 연결하는 형태로 인증을 완료할 수 있다.

유 대표는 "OTAC 기술이 OTP와 다른 점은 코드만 가지고 식별을 할 수 있다는 점과 중복되는 코드가 절대 나오지 않는 구조를 가지고 있다는 것"이라며 "이 기술은 우리나라에서 NET 신기술 인증도 받아 공공기관 수의 계약도 가능하게 됐고 국제표준 CC 인증에 장영실상까지 받은 대한민국 원천 기술"이라고 말했다.

한편, 이날 NSIS 2025에서는 국내외 보안 현장에서 활약하고 있는 정부 및 보안 전문가들이 참여해 위협 현주소와 향후 전략을 공유하는 시간이 마련됐다.