센스톤은 프로그래밍 제어장치(PLC) 사용자인증 취약점을 개선한 솔루션이 LS일렉트릭에 이어 글로벌 PLC 제조기업의 러브콜을 받고 있다고 8일 밝혔다.
글로벌 제조 환경은 수많은 기기와 장비를 효율적으로 관리할 수 있는 운영기술(OT)·정보기술(IT) 통합시스템으로 변화하고 있다. 그러나 사용자·기기 식별을 위한 고도화한 인증 시스템을 갖추지 못해 외부 위협에 취약하다는 우려가 있다.
이스라엘 수처리 시스템은 PLC 공격으로 수처리 공정이 마비되고 수질이 오염되는 사고가 발생했다. 또 미국 플로리다주 수처리 시설도 PLC 공격으로 화학물질 농도가 급속히 늘어 실제 피해로 이어질 뻔한 사건이 있었다.
대부분 기업·기관이 아이디(ID)·패스워트(PW) 방식의 고정값 기반 사용자인증을 통해 PLC 장비에 접속한다. PLC별 ID·PW 설정으로 불편한 것은 물론 여러 사람이 공유하다 보니 보안성이 떨어진다. 다중요소인증(MFA) 등 새로운 기술을 적용하려면 소프트웨어와 하드웨어를 대거 교체해야 하는 등 부담이 크다.
센스톤은 네트워크 연결 없이 사용자 단말 기기에 생성된 인증코드만으로 사용자를 식별하는 'OTAC(One-Time Authentication Code)' 기술을 통해 PLC 보안성을 강화했다. 기존 하드웨어·네트워크 환경을 사실상 거의 그대로 유지한 채 사용자인증 과정만 고도화할 수 있는 게 강점이다.
양방향 다이내믹 토큰 기술이 아니라 단방향 다이내믹 토큰 인증 과정을 거치기 때문에 단방향 통신만 허용하는 폐쇄망에서도 자유롭게 이용할 수 있다. PLC 하드웨어 사양을 높이거나 이미 사용 중인 네트워크 환경을 업그레이드할 필요가 없고, 기존 사용자경험(UX)을 그대로 유지한 채 다이내믹 값으로 사용자인증이 가능하다.
앞서 센스톤은 LS일렉트릭과 성공적으로 개념증명(PoC)을 마치고 OTAC 기술을 적용한 PLC 생산 계약을 체결한 상태다. LS일렉트릭은 가벼우면서도 강력한 접근 제어 목록(ACL)이 적용된 PLC 제품을 앞세워 제조·산업 설비 시장을 우선적으로 공략한다는 계획이다. PLC 장비는 물론 다른 공장자동화 장비에도 OTAC를 확대 적용하는 방안도 고려하고 있다.
글로벌 PLC 제조기업과 협업도 이어지고 있다. 한 PLC 제조기업과 OTAC 적용 모델에 대한 PoC를 마치고 현장 적용에 나서고 있다. 또 다른 PLC 제조기업과는 마켓플레이스 상용화 등을 진행하고 있다.
유창훈 센스톤 대표는 “OTAC는 금융산업의 사용자·기기인증에 이어 OT 영역에서도 새로운 기회를 발굴했으며 라이선스 공급 모델인 AaaS(Algorithm as a Service)를 성공적으로 안착했다”며 “기세를 몰아 내년 말 기업공개(IPO)를 추진하겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
