센스톤(대표 유창훈)은 전 세계 PLC 선도기업 중 하나인 독일 PLC 기업 피닉스컨택트(Phoenix Contact)의 디지털 소프트웨어 마켓플레이스 PLC넥스트스토어(PLCnext Store)에 모듈형 사용자 인증 고도화 솔루션 ‘OTAC auth - MFA for PLCnext’를 정식 출시했다고 밝혔다.

현재 피닉스컨택트 PLC를 사용하는 고객이라면 누구나 손쉽게 가장 고도화된 OTAC(One-Time Authentication Code) 기반 사용자 인증 시스템으로 업그레이드할 수 있게 됐다. 이미 세계 5대 PLC 제조사 중 2개사와 개념검증(PoC), 최소기능제품(MVP) 등 제품화를 위한 협업을 추진해 온 센스톤은 이번 피닉스컨택트 전용 솔루션 출시를 계기로 전 세계 PLC 사용자 인증 고도화 시장을 본격적으로 공략한다는 계획이다.

산업자동화의 핵심인 운영기술(OT)은 보안 문제로 인해 주로 폐쇄망으로 관리되거나 사물인터넷(IoT), 인공지능(AI)과 같은 신기술 도입에도 보수적이었던 게 사실이다. OT 자동화를 위한 필수 요소인 PLC 기기들이 여전히 ID와 패스워드만으로 관리되고 있는 상황이라, 폐쇄망이라 하더라도 여전히 잠재적 해킹에 무방비 상태이다.

더욱이 PLC 인프라 환경이 유무선 네트워크 환경으로 바뀔 경우 보안위협에 치명적으로 노출되게 된다. 실제 이러한 취약점을 이용해 발생한 몇 사례들은 단순한 물질적 피해를 넘어, 사회 혼란을 야기하기도 했다.

2015년 전력망의 PLC를 해킹해 전국적으로 정전 피해를 입힌 우크라이나 사태와 2021년 플로리다 수처리 시설을 해킹해 화학물질의 농도를 높이는 수질 오염 테러 위협 사례가 대표적이다. 최근까지도 미국 펜실베니아 설비 시설의 인증체계 허점에 대한 공격이 있었으며, 이는 전쟁 중인 이스라엘 기업의 PLC 제품을 타겟으로 한 공격으로 확인이 되기도 했다.

이번에 센스톤이 선보인 PLC인증 솔루션 ‘OTAC auth - MFA for PLCnext’는 그동안 OT 및 PLC 기기의 취약점 중 하나로 계속 지적돼 온 기기 및 사용자 인증 보안 위협을 사전에 완벽하게 차단할 수 있는 유일한 기술로 주목받고 있다.

이미 글로벌 PLC 선도기업들과의 PoC, MVP 등을 통해 검증받은 바와 같이, PLC인증 솔루션은 ID/PW와 같은 고정값 기반의 로그인에서 벗어나 복제가 아예 불가능한 일회성 인증코드를 사용하기 때문에 외부 위협으로부터 완전히 자유롭다. 게다가 양방향 통신망 연결 없이 단방향 통신환경에서도 다이내믹 토큰을 사용할 수 있어 내부 보안을 강화하고자 하는 인프라에도 적합하다.

하드웨어에 특정 소프트웨어가 임베드된 상태로 제공되어 각 제조 환경에 맞게 커스터마이징하기 어려웠던 타 PLC 제품과 달리, 피닉스컨택트 PLC 제품은 사용자가 개별 디바이스 및 소프트웨어를 구매하여 용도에 맞게 직접 커스텀이 가능하다는 점에서 하드웨어에 의존하지 않은 시장 진입 기회로 의미가 있다.

‘OTAC auth - MFA for PLCnext’는 사용자 인증코드 생성용 모바일 앱과 관리자용 앱으로 구성된다. 인증코드 생성용 모바일 앱은 안드로이드용 구글 플레이와 iOS용 앱스토어에서, 관리자용 앱은 피닉스컨택트의 PLCnext Store에서 각각 다운로드 받을 수 있다. 전산 관리자에 의해 공식 등록된 사용자는 앱을 통해 생성된 OTAC를 로그인 화면에 입력하는 것만으로 액세스가 가능하다. 한 번 생성된 OTAC는 지정된 시간 동안에만 유효하고 액세스 이후 바로 파기되므로 해킹에 따른 재사용 위험이 없다.

특히, 그동안 많은 시간과 인력, 그리고 비용이 요구돼 온 PLC 사용자 인증 고도화 작업을 한층 간결하고 편리하게 표준화시켰다는 점에서 시사하는 바가 크다. 생산자동화를 위한 OT 영역에서 통합운영 및 제어를 위한 핵심 장비인 PLC는 각 기업마다 내부 인프라 및 운영 정책에 따라 인증 과정이 다르게 운영돼 왔지만, 센스톤의 PLC인증 솔루션은 기존 PLC인증방식의 UI/UX를 변경없이 그대로 활용하고 기존 환경에 맞춰 적용할 수 있도록 설계되어 손쉽게 적용이 가능하다.

센스톤은 글로벌 환경에 맞추어진 PLC인증 솔루션 출시를 발판 삼아, 사용자의 기술 진입 장벽은 더욱 낮추고 산업 자동화 소프트웨어에 익숙한 기존 고객들을 대상으로 현장의 요구와 사양에 맞는 기술을 제공함으로써 PLC 생태계에 더욱 적극적으로 참여할 계획이다. 피닉스컨택트는 물론 다양한 PLC를 사용하는 실사용자들의 피드백을 바탕으로 PLC 사용자 인증 과정을 더욱 고도화한다는 계획이다.

센스톤 유창훈 대표이사는 “현재의 인프라를 그대로 유지하면서 패스워드의 위험성과 관리상의 한계를 극복한 PLC 인증 고도화 솔루션을 글로벌 산업 자동화 영역의 선두주자인 독일 피닉스컨택트사와 함께 글로벌 시장에 출시하게 된 것은 OTAC 기술에 대한 시장의 니즈를 한번 더 확인한 것이다”라며 “센스톤의 PLC인증 솔루션은 현재 OT산업 영역에서 해결하지 못했던 보안 위협을 극복하고, 인증 인프라 변경에 따른 시간과 비용을 획기적으로 절감함으로써 산업 자동화에 따른 보안 위협에 대한 기업들의 고민 해결에 큰 도움을 줄 수 있을 것이라 확신한다”라고 말했다.

한편, 센스톤과 피닉스컨택트는 PLC 보안 위협을 사전에 차단하여 보다 안전한 OT 자동화 환경을 조성하기 위해 공동 마케팅을 비롯해 긴밀한 협력 관계를 계속 이어 나간다는 방침이다.

---

◆국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 K-CTI 2024(2월 6일 개최 / 7시간 보안교육 이수 / 사전등록 필수)

-행사명: 제11회 2024 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스

-부제: 최신 국내외 사이버위협 동향 및 방어 전략 공유

-일시: 2024년 2월 6일 수요일 오전 9시~5시 30분

-장소: 더케이호텔서울 2층 가야금홀

-후원: 한국인터넷진흥원 / 한국정보보호산업협회

-참석인원: 정부, 공공, 금융, 대기업 등 CISO, CPO 정보보안 실무자 600여 명

-강연내용: 최신 사이버위협 동향 분석 및 대응 방안 공유 / 관련 국내·외 솔루션 소개

-사전등록: 클릭

(현업 보안실무자만 참석 가능, 보안과 관련 없는 등록자는 참석 불가)

-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★