산업용 로봇Industrial Robot의 확산은 계속 이어지고 있다. IFRInternational Federation of Robotics에 따르면, 2018년에는 130만여대의 산업용 로봇이 전세계 제조 라인에서 활용될 것으로 전망된다. 로봇 기반의 자동화를 통하여 효율성과 생산성 극적인 향상을 위해서다. 그런데 문제는 보안이다. 연결이 확대되면서 이들 산업용 로봇 또한 사이버 공격에 휩쓸릴 수 있는 것. 트렌드마이크로가 제시한 다섯 가지 산업용 로봇 공격 시나리오를 살펴본다.
그런데 로봇은 물리적 세계와 긴밀하게 상호 작용하는 아주 복잡한 자동화 장치이다. 기계적 액추에이터와 컨트롤러, 센서, 그리고 인간과 상호 작용하는 여러 하드웨어와 제어 로직, 펌웨어 등 소프트웨어 구성 요소 등이 어우러져 작동하는 복잡한 기계인 것이다. 즉 산업용 로봇이 의도한 결과를 이뤄내기 위해서는 매우 정교한 기술이 요구된다.
만약 산업용 로봇이 마구잡이의 움직임을 보인다면 어떻게 될까? 산업의 곳곳에서, 사람과 어우러져 작동하고 있다는 사실을 생각하면, 이는 재앙과도 같은 일이다. 안전 로직이 해제되어 사람에 부딪쳐도 멈추지 않는다면 작업자의 생명까지 위협할 수 있고, 값비싼 제조 라인에도 큰 손상을 입혀 막대한 재정적 피해를 불러 올 것이 분명하다.
로봇 확산, 공격자에게도 기회
오늘날 사물인터넷IoT으로 인하여 기업의 IT 네트워크와 제조 현장의 연결은 한층 긴밀해지고 있다. 이는 제조 현장에서 확산되는 산업용 로봇 시스템의 연결도 한층 깊어지고 있음을 의미한다.
안전성, 효율성의 향상과 함께 복잡성과 상호연결성의 증가는 사이버 공격자에게도 새로운 기회를 준다고 지적된다. 제어 시스템이나 생산 체인을 공격해 경쟁 업체의 비즈니스에 차질을 입히거나 브랜드 인지도와 신뢰성이 타격을 입힐 수 있으며, 혹은 국가간 사이버 전쟁의 연장선상에서 상대국의 주요 제조 공장이 공격받을 수 있는 가능성도 높다.
문제는 산업 현장에 대한 다양한 사이버 공격 시나리오가 제기되고 있음에도 불구하고, 보안에 대한 인식이 낮은 수준에 멈춰 있다는 점이다. 폴리테크니코 디 밀라노Politecnico di Milano와 트렌드마이크로Trend Micro가 공동으로 실시한 조사에 따르면, 산업용 로봇 실무진의 약 50%는 사이버 공격을 현실적인 위협으로 생각하지 않았으며, 사이버 보안 평가를 수행하지 않는 기업도 76%에 달했다. 또 대부분이 로봇 프로그램의 코드 변경에 대해 어느 누구도 책임지지 않았다.
더욱 큰 문제는 이런 상황임에도 30%가 인터넷을 통해 로봇 시스템에 접근하여 제어할 수 있도록 운영되고 있었다는 점이다. 실제로 폴리테크니코 디 밀라노와 트렌드마이크로는 인터넷에 직접 노출된 28대의 로봇 시스템을 찾아냈으며, 공인 IP 주소에서 수만 개의 산업용 장치를 발견했다.
폴리테크니코 디 밀라노와 트렌드마이크로가 공동으로 진행한 산업용 로봇의 보안성 연구에 따르면, 다섯 가지의 공격이 가능하다. 이들 공격은 공격자가 산업용 로봇을 제어함으로써 산업용 로봇의 안전성과 정확성, 무결성에 오류를 발생시킨다.
첫 번째 공격 유형은 컨트롤러의 제어 루프 매개 변수를 악의적으로 변경해 감행하는 공격이다. 서보 수준을 목표로 하는 이 공격은 공격자가 제어 시스템을 변경함으로써 로봇이 예기치 않게, 혹은 부정확하게 움직이게 되어 피해를 입힌다.
일반적으로 산업용 로봇 아키텍처에서 유연성과 코드 재사용성을 위해 구성 매개 변수가 파일에서 읽히거나 런타임에 동적으로 정의된다는 점을 활용해 공격자가 구성 파일에 액세스할 수 있는 권한을 얻고, 임의로 매개 변수를 수정함으로써 공격이 이뤄지게 된다. 만약 극단적인 매개 변수 수정이 이뤄진 경우, 산업용 로봇의 기능은 물론 안전 요구 사항까지 완전히 위반하도록 만들 수 있다.
이 공격은 로봇이 움직이지 않을 때 공격자가 컨트롤러의 보정 매개 변수를 조작하여 실제 구동이 시작될 때 제어기가 알고 있는 오차와 다른 환경을 만들어 오동작과 장비 이상을 발생시킨다. 예를 들어 조인트 위치 등에 대한 측정된 신호와 실제 오차가 제어기가 인지한 것과 다르게 만들면, 서보 모터가 불규칙하게 움직이게 되며, 이로 인해 시스템이 손상되는 결과를 낳을 수 있다.
최근 확산되는 협동로봇Cobot에서 쉽게 확인할 수 있듯 오늘날의 산업용 로봇에서는 기계식 버튼보다 소프트웨어 방식의 사용자 인터페이스(UI)가 더 널리 활용되고 있다. 디지털 기술을 통해 더 많은 정보를 쉽고 간단하게 확인할 수 있기 때문이다. 하지만 소프트웨어 기반의 UI 확산은 반대로 사이버 공격자에게도 기회가 된다. 단순한 UI 변조 공격으로 인해 산업용 로봇의 상태가 잘못 정보를 전달됨으로써 산업용 로봇의 위험 평가가 제대로 이뤄지지 않고, 작업자의 안전에 심각한 위험을 초래할 수 있는 것이다.
예를 들어 컨트롤러조차 알아차릴 수 없게 공작물이 변경될 수도 있다. 이처럼 실제 로봇의 상태가 인지되지 않은 상태로 공격자에게 조작되면 현장의 통제력이 상실돼 작업자의 상해로 이어질 수 있다.
이러한 공격 유형들을 사용하면 제품에 오작동을 일으키는 결함이 숨겨져 제작되어 제품의 오작동을 일으키고, 작업자의 안전을 위협하는 사고로 연결될 수 있다. 막대한 재정적 손실을 가져오는 생산 지연이나 생산 라인의 손상이 발생할 수 있음도 물론이다.
이 뿐만이 아니다. 산업용 로봇 내에 저장되거나 로봇 운영 과정에서 접근해야 하는 기밀 데이터(제품의 설계 도면이나 소스코드, 생산 일정)가 노출될 수 있는 위험도 존재하며, 유행하는 랜섬웨어(공격자가 암호화를 진행하고, 복호화에 대한 대가를 요구하는 공격)에 노출되어 생산 시스템이 멈출 수도 있다.
산업용 로봇에 대한 공격이 가능한 원인은 실행 소프트웨어가 과거 수준에 머물러 있기 때문이다. 산업 제어 시스템은 지금까지 비교적 폐쇄적 환경에서 사용되었기에 사이버 보안을 거의 고려하지 않았으며, 이에 오래된 암호 라이브러리, 보안 측면에서 시대에 뒤떨어진 취약한 OS를 기반으로 하는 경우가 많다. 또 사이버 공격을 받을 가능성이 비교적 적었기에 기본 인증서 기반의 약한 인증 시스템이 사용됐다.
트렌드마이크로는 사이버 공격에 대응하기 위해 산업용 로봇의 표준에서 보안 위협을 고려해야 한다고 조언했다. 이미 ICS 및 자동차 분야의 표준들은 사이버 보안을 염두에 두면서 개선을 진행하고 있는 것과 마찬가지로 산업용 로봇의 표준에서도 사이버 보안 방안이 추가되어야 한다는 것이다.
또한 산업용 로봇의 수명은 매우 길기 때문에 벤더가 배포된 모든 버전에 보안 업데이트를 제공할 수 있는 방안도 마련되어야 한다. 사이버 공격은 고정된 형태가 아니라 공격자의 이익을 위해 보안이 허술한 부분을 계속 찾으면서 새로운 방법이 개발되는 생명체와 같은 성격을 지니기 때문이다.
