[정보보호/시큐리티톱뷰]<111>우병기 포지티브테크놀로지스 대표

“수도와 전등을 켜고, 기차를 타고, 신호등이 운영되는 모든 곳에 산업제어시스템(ICS)이 있습니다. 이렇게 중요한 작업을 컴퓨터에 의존하려면 절대적으로 신뢰할 수 있는 보안이 필수입니다. ICS 보안은 선택이 아니라 생존 문제 입니다.”

우병기 포지티브테크놀로지스코리아 대표는 기업은 보안에 많은 비용을 투자하지만 실제 보호 수준은 미약하다고 강조했다. 포지티브테크놀로지스는 대규모 네트워크에 대한 보안연구와 침투테스트, 위협, 취약점을 분석하는 글로벌 기업이다. 2012년 IDC가 선정한 가장 빠르게 성장하는 보안 취약점 관리 기업에 꼽혔다. 본사는 미국과 영국에 연구센터는 러시아에 있다.

그는 과거와 달리 대부분 ICS 기업이 솔루션에 표준 정보기술(IT)을 적용하는 데 주목했다. 기업은 ICS 구성 요소를 내부 네트워크나 전사자원관리(ERP) 등에 연동하기 시작했다.

“기술이 통합되면서 생산성과 수익성은 높아졌지만 해커가 공격할 수 있는 새로운 루트를 만들었습니다.”

우 대표는 “포지티브테크놀로지스는 매년 200여개에 이르는 ICS 제로데이 취약점 등 다양한 연구 결과를 제공한다”며 “ABB와 허니웰, 지멘스 등 다양한 시스템에서 수십 회에 걸쳐 ICS 감사와 보안진단으로 쌓은 노하우”라고 강조했다.

“제어시스템은 몇 분만이라고 가동을 멈추면 큰 문제가 발생합니다. 기관은 최소한의 ICS 패치나 업데이트를 발표하는 데 몇 개월이나 심지어 몇 년씩 걸리기도 합니다.”

그는 “ICS를 그저 다른 PC나 비즈니스 애플리케이션으로 취급하면 안 된다”며 “능동적으로 취약점과 잠재적 공격 벡터를 파악하고 위협 진단과 우선순위를 설정해야 한다”고 설명했다.

우 대표는 “프로그램 가능 논리 제어장치(PLC) 같은 ICS 구성요소를 오용하면 시스템에 주요 취약점과 설정상 변경이 발생한다”며 “해커는 이런 취약점을 더 잘 이용하는 사실을 인지해야 한다”고 덧붙였다.

그는 “사이버범죄자 입장에서 시스템을 바라봐야 한다”며 “침입자처럼 행동하며 각 기업의 기술적 방어체제에 대해 우회를 시도해야 한다”고 말했다.

우 대표는 “기업은 자체 보안 수준이 얼마나 취약한지 냉철하게 따져야 한다”며 “진짜 보안은 이론뿐만 아니라 실전에 효과가 있어야 한다”고 설명했다. 그는 사이버 범죄자 작업 방식을 파악해야 그들을 앞지를 수 있다고 강조했다.

김인순기자 insoon@etnews.com