MDS테크놀로지(대표 이상헌)가 산업제어시스템(SCADA) 보안 시장에 진출한다. 우리나라에서는 지난해 말 한국수력원자력 원전 도면 유출사고 등으로 SCADA 보안에 관심이 높아졌다.

SCADA는 송전과 배전, 물 처리 분배, 공항·방공·방송 시스템 등 공공기관이나 기업의 대규모 국가 기반시설을 관리하는 시스템이다. 국가 기반시설은 여러 제조사가 공급한 다양한 부품으로 구성돼 있고 외부망과 단절된 폐쇄망에서 비공개 프로토콜로 동작하는 사례가 많다.

하지만 2000년 호주에서 발생한 오·폐수처리 제어시스템 해킹 사건을 시작으로 2003년 미국 원전 슬래머웜 침투, 2010년 이란 핵시설 스턱스넷 공격 등으로 SCADA 보안 취약성과 사고 위험이 화두로 떠올랐다.

산업시스템 보안 컴플라이언스협회(ISCI)는 SCADA를 구성하는 장치와 운영시스템 보안을 향상하고자 ISASecure 인증 프로그램을 만들었다. 인증은 △임베디드 장치 △시스템 보안 △개발 라이프 사이클 세 부분으로 구성됐다. 인증마다 차이는 있지만 통신의 보안 견고성(robustness)과 기능별 보안, 소프트웨어 개발 방식 등을 시험한다.

MDS테크놀로지는 ISASecure 인증 프로그램에서 통신 보안 견고성 시험에 사용하는 ‘디펜직스(Defensics)’를 도입, 한국 시장에 선보인다. 디펜직스는 네트워크 장치의 통신 보안성을 시험하는 퍼징 솔루션이다. 의도적으로 타당하지 않은 데이터를 보내서 시스템 오류를 검출하는 기술이다. 국내 점유율이 높은 PLC 제조사 제품을 시험한 결과 100여개의 오류가 발견됐고 이 중에는 제로데이 취약점도 다수 포함됐다.

나가진 MDS테크놀로지 과장은 “SCADA를 구성하는 제품이나 시스템 보안인증 도입이 시급하다”며 “설계와 개발 단계부터 정적 도구를 사용해 안전한 코딩을 하고 검증단계에서 퍼징이나 동적도구를 이용해 실제로 발생할 수 있는 취약점을 사전에 탐지하고 수정해야 한다”고 설명했다.

김인순기자 insoon@etnews.com