“제조운영(OT) 보안은 IT(정보기술) 보안과 달리 즉각적인 공격이나 방어가 어렵습니다. 침투에 평균 8개월이 걸리는데, 공격이 시작돼도 시설 가동을 중단할 수 없기 때문입니다.”
리오 데리 사이버X 일본·아태지역 이사는 최근 한국 제조업 시설을 겨냥한 사이버공격을 포착했다며 이 같이 경고했다. 공격이 진행되고 있다면 피해 최소화를 위해 서둘러 대비하는 것 외 대안이 없다.
사이버X는 2013년 출범한 산업보안 솔루션 전문업체다. 산업제어시스템(ICS) 위협 탐지·분석 기술로 특허를 보유했다. 국가 기반시설 보안을 담당하던 이스라엘 군 소속 블루팀 출신 오메르 슈나이더와 너르 길러가 공동 설립했다. 설립 당시 퀄컴 등으로부터 4800만달러(약 570억원)를 유치했으며 미국, 영국, 프랑스, 독일, 일본, 이스라엘 등지에 지사를 두고 있다.
데리 이사는 “한국은 제조업에서 가장 앞서 있을 뿐만 아니라 이스라엘처럼 사이버전쟁이 생존 문제라는 점도 같다”고 설명했다. 사이버X는 미국 회사지만, 연구개발(R&D) 뿌리는 이스라엘에서 나온다. 이스라엘은 가자지구를 중심으로 전쟁이, 한국은 남북 대치가 이어지는 긴박한 상황이라는 점도 양국 간 유사점이다.
사이버X는 공격자가 ICS 내 '크라운 주얼'(가장 가치있는 자산)에 도달하는 시간을 평균 8개월로 추산한다. 크라운 주얼에는 ICS 가동에 핵심적인 온도, 센서, 엘리베이터, 생산라인 로봇 등이 포함된다. ICS 공격자는 시설 가동을 중단시키고 최대 피해를 가할 '크라운 주얼'을 찾기 위해 매우 영리하고 천천히 움직인다.
데리 이사는 “사이버X는 모든 가능성을 종합해 시설 보안 수준을 올리는 것이 목표”라면서 “각 시설에 가장 최적화한 솔루션을 조합한다”고 말했다. 예컨대 자사에서 개발한 방화벽으로 타사 솔루션을 대체하는 것이 아니라, OT 네트워크에서 수집한 데이터를 바탕으로 전체 인프라 솔루션 조합을 새로 짜 공격에 대응하는 최선의 방안을 제시한다. 기존 보안 솔루션과 장치를 최적화하는 방법을 찾는다는 점에서 다른 보안업체와 상생하는 방안이기도 하다. 이를 두고 데리 이사는 “사이버X는 벤더를 조직하는 벤더”라고 정의했다.
구체적으로 △제어 네트워크에 영향을 끼치지 않으면서 네트워크 상세정보를 파악 △학습한 기본 통신과 괴리된 이상 통신을 탐지한 후 원인 분석 △취약점 보고서를 비롯한 다양한 리포팅 기능으로 필요 정보를 추출 △다양한 통신 프로토콜 지원 △직관적인 화면을 통해 시스템 관리자뿐 아니라 현장 작업자 간 정보 공유가 용이하다는 특징이 있다. 특히 소프트웨어개발키트(SDK)를 제공해 설비 공급 파트너사와 고객사가 직접 고유 프로토콜에 적용하게 한다.
주요 고객으로는 2017년 랜섬웨어 공격으로 공장 가동이 중단된 혼다, 사우디아라비아 전력시설 등이 있다. 한국에선 현재 초기 고객을 식별 중이며 국가 기반시설과 제조사, 반도체사를 우선적으로 고려한다.
오다인기자 ohdain@etnews.com