올 3월 세계 4위 규모인 노르웨이 알루미늄 제조회사 노르스크 하이드로(Norsk Hydro)가 랜섬웨어 공격을 당했다. 랜섬웨어는 해커가 컴퓨터 시스템에 몰래 침투해 정작 소유자가 사용하지 못하게 잠그거나 데이터를 암호화한 뒤 돈을 요구하는 사이버 공격이다. 회사 측은 피해 확산을 막기 위해 금속 압출 공정을 중단하고, 일부 자동화 공정도 수동으로 바꿨다. 알루미늄 생산 공정이 마비되면서 글로벌 알루미늄 가격은 그전보다 1.2% 상승했다. 기업 내 컴퓨터 한 대에서 감염된 랜섬웨어가 전체 시스템을 마비시키고 글로벌 경제에 영향을 미친 것이다.
공장 내 모든 설비가 네트워크로 연결되는 스마트 팩토리가 활발히 도입되면서 대규모 사이버 보안 사고가 빈번하게 발생하고 있다. 산업 보안 업체들은 이러한 사이버 공격을 막기 위해 인공지능을 활용한 대책을 마련 중이다.
◇USB 하나 잘못 꽂았다가 전 생산 공정 스톱… 3000억원 손실
발전소나 통신 등 기반 시설이나 반도체·제철소와 같은 산업 현장에는 각종 장비와 설비를 일괄 제어하는 '산업제어시스템(ICS·Industrial Control System)'이 있다. 이곳이 해킹당하면 모든 설비가 정지된다. 따라서 이런 핵심 제어 설비는 아예 인터넷 연결을 끊고 폐쇄망으로 운영해왔다.
그런데 최근 보급되는 스마트 팩토리는 전(全) 공정이 무선으로 연결되면서 이런 제어 설비도 직·간접적으로 외부 인터넷망과 연결될 수밖에 없고 곧바로 사이버 공격의 타깃이 됐다. 러시아 보안 업체인 카스퍼스키가 작년 하반기에 자사 보안 소프트웨어를 채택한 제어 설비를 대상으로 조사한 결과, 사이버 공격 시도가 탐지된 비중이 전체의 40.8%에 달했다.
작년 8월 전체 생산 라인이 멈춰선 TSMC가 대표적 사례다. 세계 최대 반도체 위탁 생산 기업인 TSMC는 사이버 공격에 노출됐고 3000억원 규모의 손실을 입었다. 생산 설비 소프트웨어를 업그레이드하는 과정에서 악성 코드가 들어 있는 USB를 연결했는데, 이 악성 코드가 제어 설비를 장악했고 전 공정이 멈춘 것이다. 올 3월 베네수엘라에서 발생한 대규모 정전 사태도 랜섬웨어의 영향인 것으로 조사됐다. 보안업계 관계자는 "제어 설비를 타깃으로 한 사이버 공격은 주로 돈을 버는 게 목적으로 최근 급증하는 추세"라고 말했다.
◇인공지능 스스로 해킹 탐지해 방어
이러한 사이버 공격을 막기 위해 여러 국가와 기업들은 비정상적인 네트워크 활동을 감시하는 보안 형태를 적용 중이다. 정상적으로 주고받는 제어 명령을 설정하고, 관리자가 이와 다른 네트워크 행위를 탐지해 사고를 방지하는 것이다. GE는 전 세계 발전소와 석유·가스 관련 시설에 이러한 보안 시스템인 '옵쉴드(Opsheild)'를 적용 중이다. 이스라엘 전문 보안업체인 사이버비트도 내부 네트워크 상태를 분석해 보안 규칙을 탐지하는 '스카다쉴드'를 개발해 공급하고 있다.
최근에는 인공지능과 머신러닝을 결합해 해킹 시도를 차단하는 보안 시스템도 나왔다. 포스코ICT는 스스로 시스템 제어 명령 패턴을 학습하고 비정상적인 명령이 감지되면 관리자에게 즉시 알리는 AI 기반 보안 시스템을 개발했다. 포스코ICT는 이 시스템을 올 3월부터 통신 장비 업체인 시스코의 네트워크 장비에 탑재하고 있다.