변화의 폭이 커 ‘제4차 산업혁명’으로 불리우는 제조 혁신의 키는 ICT 기술의 융합이며, 그 중심에는 디지털 데이터가 자리한다. 생성되는 방대한 디지털 데이터를 기반으로 생산 라인이 가장 효율적으로 쉼 없이 운영될 뿐 아니라 다양한 사용자의 요구에 맞춤화된 제품을 생산하고, 소비자와 직접적으로 연결돼 공급하는 비즈니스 프로세스의 혁신까지 이어질 수 있는 것이다.

혹자는 이를 스마트 제조로 표현한다. 더 똑똑하고, 효율적인 제조가 이뤄진다는 의미다. 제4차 산업혁명, 스마트 제조가 의미하는 변화는 ‘생산 → 유통 → 최종 소비자 공급’ 등 제조 산업의 제반 환경을 모두 포괄하지만, 핵심인 생산 단계에 초점을 맞춘다면 데이터를 기반으로 IT와 OT가 융합되는 스마트 팩토리가 자리한다.

스마트 팩토리는 공장 내 다양한 센서와 장비 데이터를 기반으로 판단해 공정 최적화를 구현하는 시스템을 말한다. 완벽한 자동화, 공장 스스로 판단하고 작업을 할 수 있는 똑똑한 공장인 스마트 팩토리는 제조 혁신의 미래로 나아가는 기초다.

IT 융합, 보안 위험도 그대로
그러나 스마트 팩토리가 모두 장밋빛으로 물든 것은 아니다. IT가 융합되면서 기존 IT 환경에서의 제반 위협이 그대로 이어질 수 있는 위험성 또한 내포하고 있다. 3.4 DDoS 대란·7.7 DDoS 대란 등을 기억하는가. 이와 같은 보안 사고가 스마트화된 제조 공정에서도 발생할 수 있는 것이다.

이를 보여주는 사례가 바로 미라이(Mirai) 봇넷이다. 제품 출시 당시 공장에서 설정된 사용자 계정과 비밀번호를 그대로 유지하고 있는 IoT 기기를 감염시키는 점이 미라이 봇넷의 가장 큰 특징이다.

미라이 봇넷은 IoT 기기의 보안 우려를 단적으로 증명한 사례로 꼽힌다. 2016년 9월 유명 보안 전문가가 운영하는 웹사이트를 마비시키면서 이름을 알린 미라이 봇넷은 10월에는 인터넷 도메인 네임 서비스(DNS) 기업 딘(Dyn)에 대한 공격에도 활용돼 미국 동부에 근거지를 둔 아마존·트위터·넷플릭스·뉴욕타임스 등의 수십개 유명 웹사이트 서비스에 장애를 일으키기도 했다.

봇넷은 공격자가 원격 조종할 수 있는 좀비PC를 만들는 악성코드다. 통상적으로 봇넷은 좀비PC를 통해 특정 웹사이트나 서비스에 트래픽을 집중시키는 분산서비스거부(DDoS) 공격을 감행해 피해를 입힌다. 따라서 봇넷 위협은 감염된 좀비PC가 힘의 원천이다. 더 많은 좀비PC의 확보가 더 많은 공격 트래픽을 발생시켜 방어를 무력화시키기 용이한 까닭이다.

CDN(Contents Delivery Network) 및 클라우드 전문기업 아카마이에 따르면, 2016년 3분기 100Gbps 이상의 대형 공격이 138% 증가하는 등 전세계 DDoS 공격이 전년동기 대비 71% 증가를 기록했는데, 특히 500Gbps 이상의 초대형 DDoS 공격 2건에는 모두 미라이 봇넷이 사용됐다. 이들 2건이 기록한 공격 트래픽은 623Gbps와 555Gbps에 달한다.

이와 관련 마틴 맥키(Martin McKeay) 아카마이 수석 보안 전문가는 “미라이 봇넷으로 IoT 디바이스가 DDoS 공격이나 웹 애플리케이션 공격에 악용될 수 있다는 우려가 현실로 드러났다”면서 “디바이스 제조업체들은 앞으로 보안을 한층 강화해야 할 것”이라고 지적했다.

또 봇넷 추적 기관인 멀웨어테크는 미라이 감염 기기가 150만대에 이른다고 추정하고 있다. 이에 근거해 미라이 봇넷이 현재 Tbps급 DDoS 공격까지 가능할 정도로 확산됐다고 평가될 정도로 오히려 더욱 확산되는 모습이다. 이는 IoT 환경에 대한 취약한 보안 의식의 민낯을 보여준다.

범죄화된 사이버 위협 ‘주의 필요’
물론 미라이 봇넷은 직접적으로 IoT 기기에 피해를 입힌 사례도 아니다. 단지 IoT 기기를 공격 수단으로 악용했을 뿐이다. 그러나 제조 공정을 디지털화하고, 자동화하기 위해 IoT 기기 접목이 적극 시도되고 있음을 고려할 때 미라이 봇넷이 주는 시사점은 적지 않다.

우선 지적되는 부분은 취약한 IoT 보안 의식이다. 미라이 봇넷의 경우, 보안과 관련해 출시 설정을 변경하지 않아 발생하게 된다. 다시 말해 팩토리 설정을 사용자가 변경하는 것만으로 쉽게 방지할 수 있다. 하지만 이러한 원인이 밝혀졌음에도 불구하고 미라이 봇넷 감염 기기의 확산세는 멈추지 않고 있다.

더불어 IoT라는 새로운 환경에 대한 공격자들의 관심이 높다는 점도 미라이 봇넷으로 증명되고 있다. 미라이 봇넷 제작자는 대형 공격을 감행한 이후 소스코드를 스스로 인터넷에 공개했는데, 이후 다양한 변종이 등장해 위협의 정도를 한층 높이고 있다. 이는 IoT라는 새로운 환경에 대한 공격자의 높은 관심을 보여준다. 나아가 산업 제어 시스템에서 발견되는 취약점 수는 최근 급격히 증가하고 있다.

오늘날 사이버 공격은 과거처럼 호기심에서 벌이는 활동이 아니다. 금전적 이익을 노리고 전문 조직에 의해 이뤄지는 조직범죄의 모습을 보이고 있다. 실제로 DDoS 공격을 감행해 서비스를 무력화한 후 공격중단의 대가를 요구하거나 악성코드를 감염시켜 기기 내 데이터를 무단으로 암호화해 데이터를 볼모화한 다음 복호화(암호 해제)의 대가를 요구하는 랜섬웨어 등이 사회적 문제로 제기된 바 있다.

이처럼 범죄 조직화된 사이버 공격자들은 금전적 이익이 가시화될 경우, 언제든 IoT 환경으로 눈을 돌릴 수 있다. 아직은 IoT 환경에 대한 공격이 금전적 이익으로 연결되지 않기에 숨 죽이고 있을 뿐이지만, ‘돈이 된다’는 확신을 갖는 순간 IoT 환경에 대한 사이버 범죄 집단의 골든러시가 시작될 것은 분명하다.

이와 관련 글로벌 최대의 보안 전문기업인 시만텍은 “현재 대부분 발견된 IoT 공격은 기술을 오용하거나 홈 네트워크에 지속적으로 앵커를 두는 개념 증명 수준으로, 아직 공격자에게 이익을 주지 못한다. 그렇다고 해서 이것이 공격자가 미래에 IoT 장치를 대상으로 삼지 않는다는 의미는 아니다”라고 단언했다.

IoT 사이버 범죄의 대상은 스마트 팩토리 환경이 될 가능성이 높다. 범죄집단이 된 오늘날 사이버 공격을 감안할 때, 스마트 팩토리의 가용성에 문제를 일으키면서 기업에 금전적 대가를 요구하는 사이버 공격이 등장할 수 있는 것이다. 기업의 입장에서 제조 공정의 중단은 막대한 경제적 손실로 연결되는 최악의 사태로, 실제로 가용성 공격이 발생해 성공하게 되면 범죄자의 요구에 굴복할 가능성이 높다고 예상되기 때문이다.