일본산업뉴스요약

Nikkei X-TECH_2020.5.22

스마트 공장으로의 사이버 공격에 대비한다
주의해야 할 3가지 시나리오

IT기술을 활용해 생산성 향상이나 불량률 저하를 실현하는 "공장의 스마트화"가 주목을 받고 있다. IT 시스템과 OT(제어·운용 기술) 시스템을 네트워크로 접속해, 공장이나 설비를 소프트웨어에 의해 제어한다. 그리고 데이터를 분석해 생산 공정을 유연하게 변경하거나 기기 고장을 방지한다.

자동화나 고속화를 목표로 하는 공장에 있어서 향후 스마트화는 필수이다. 그러나 스마트화는 장점만 있는 것은 아니다. 네트워크 접속을 통해 "새로운 잠재적 리스크에 눈을 돌릴 필요가 있다"(트랜드마이크로의 이시하라 글로벌 IoT 마케팅실 시큐러티 에반젤리스트). 그 대표적인 것이 사이버 공격의 리스크이다. 스마트 공장은 외부와 네트워크 접속을 하기 때문에 침입 경로의 증가가 예상된다. 따라서 지켜야 할 디지털 자산도 늘어난다.

그렇다면 스마트 공장에는 어떠한 사이버 리스크가 존재할까? ---. 이것을 확인하기 위해 트랜드마이크로는 2019년 초여름부터 약 반년에 걸쳐 이탈리아의 밀라노 공과대학과 실증 실험을 실시했다. 실제로 스마트 공장을 본뜬 OT 시스템을 구축해 상정되는 사이버 공격의 시나리오 등을 조사했다.

-- 판명된 3가지 공격 시나리오 --
트랜드마이크로의 실증 실험으로 판명된 것은, 스마트 공장에 대해 "크게 3개의 공격 시나리오가 있다"(이시하라 시큐리티 에반젤리스트)는 것이다. 그것은 ‘산업용 어플리케이션 스토어의 취약성을 악용한 EWS(엔지니어링 워크스테이션)의 침해’ ‘MES(제조 실행 시스템) 데이터베이스의 조작에 의한 제조 불량’ ‘악의적인 오픈소스 라이브러리에 의한 산업용 IoT(인터넷·오브·싱스) 디바이스의 침해’의 3가지이다.

산업용 기기를 제조·판매하는 제조사 중에는 독자적으로 앱 스토어를 설치하고 있는 기업이 있다. 이는 스마트폰에 앱을 설치하는 것과 마찬가지로 보수·진단을 위한 컴퓨터인 EWS 등에 앱을 설치할 수 있는 구조다. 간편하게 추가할 수 있으므로 공장의 스마트화에는 빠질 수 없다.

그러나 산업기기의 제조사가 제공하는 앱 스토어 중에는 "취약성이 포함되어 있는 것이 있었다"(이시하라 시큐리티 에반젤리스트)고 한다. 예를 들면 산업용 로봇을 제조하는 ABB의 앱 스토어는, 미승인 앱을 다운로드 할 수 있는 상태였다고 한다. 실제로 트랜드마이크로가 앱 스토어에 무해한 앱을 업로드 한 결과, 실제로 18명의 사용자가 다운로드 했다.

현재, 이 취약성은 수정이 끝난 상태이지만, EWS는 공장의 플로어 네트워크에 접속되어 있기 때문에 침입을 허락하게 되면 피해가 공장 전체로 확산될 가능성이 있다. "앱을 경유해 EWS가 악성코드에 감염될 위험성이 있다. 공장에 관련된 개발자는 염두에 두어야 할 침입 경로이다"(이시하라 시큐리티 에반젤리스트)라고 한다.

-- ERP를 경유하여 제조 데이터 조작, 부정 라이브러리에 주의 --
MES의 데이터베이스가 조작되어 제조 불량이 될 리스크가 있다. 이것이 두 번째 공격 시나리오다. MES는 제조에 있어서의 프로세스를 관리하고 작업자에게 지시 등을 내리는 시스템이다. ERP 등의 데이터를 반영해 실행함으로써 제조 프로세스를 효율화한다.

이시하라 시큐리티 에반젤리스트는 "대부분의 공장은 전송되어 오는 데이터를 올바르다고 하는 전제로 설계되어 있다"라고 지적한다. 다시 말해, 데이터가 올바른지 체크하는 기능이 없으므로 공격자가 MES 데이터베이스 내의 값을 변경하면 그대로 제조 프로세스가 바뀌게 된다. 그 결과, 의도하지 않은 생산물이 제조되어 버린다고 한다.

공격 시나리오의 세 번째는, 오픈소스의 라이브러리가 조작되어 산업용의 IoT 디바이스가 침해되는 것이다. 스마트 공장에서는 산업용 IoT 디바이스의 도입이 진행되고 있다고 한다. 예를 들면 카드형 컴퓨터의 Raspberry Pi등의 활용이다.

그러나 IoT 디바이스에는 오픈소스 라이브러리가 많이 포함된다. 실제로 약 20명의 개발자를 인터뷰한 결과, 많은 사람이 오픈소스를 활용한 소프트웨어를 개발 및 사용하고 있는 것이 밝혀졌다고 한다. 이 소프트웨어로 "불법적인 라이브러리가 이용될 가능성이 있다"(이시하라 시큐리티 에반젤리스트).

불법적인 라이브러리는 정규 라이브러리와 같은 이름일 수도 있다. 실수로 이용하게 되면 악성코드를 다운로드 해 실행해 버릴 우려가 있다. IoT 디바이스에서 가동하는 소프트웨어를 개발할 때는 라이브러리의 출처나 안전성을 의식해야 한다. 이시하라 시큐리티 에반젤리스트는 "IoT 디바이스의 도입에서는 소프트웨어의 서플라이체인(supply-chain)을 의식할 필요가 있다"라고 설명한다.

-- 요구되는 대책이란 --
구현 실험을 통해 사이버 공격에 대한 스마트 공장의 리스크가 드러났다. 그렇다면 어떻게 대책을 세워야 할까? 이시하라 시큐리티 에반젤리스트는 제품이 악용되는 것을 고려한 "시큐리티 바이 디자인"과 악성코드의 침입을 전제로 한 시큐리티 대책을 실시하는 "제로 트러스트"의 사고방식이 중요하다고 강조한다.

산업용 기기 제조사는 자사 제품이 악용될 가능성을 고려한다. 유저도 악의 있는 소프트웨어가 인스톨 될 가능성이 있다고 생각하고, "어떠한 리스크에 대비해야 할지를 분석하는 것이 중요하다"(이시하라 씨). 그러기 위해서는 보안에 관련되는 인재를 확보해야할 뿐만 아니라, 보안을 경영 과제로 인식해 지속적으로 보안 대책을 세워 구현해 나가야 한다.

향후, 스마트 공장이 보급이 진전됨에 따라 공장에서도 취약성에 대한 대책이 더욱 중요해 질 것이라고 한다. 취약성을 발견했을 때의 사내 프로세스 정비나 시스템 전체를 부감(俯瞰)할 수 있는 인재 육성 등이 급선무라고 할 수 있다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.