왜 ‘오프라인 시험’은 더 이상 안전하지 않은가: CMC 500과 함께 사이버 보안을 진지하게 바라보기

수년 동안 변전소 보안을 규정해온 하나의 의심 없는 전제가 있었습니다. “오프라인 시험은 안전하다.” 이 믿음은 우리의 절차를 이끌고, 보안에 대한 안도감을 만들어왔습니다. 하지만 오늘날, 그 믿음은 위험한 가정으로 바뀌고 있습니다.

예전의 ‘안전하다는 감각’은 이제 취약점이 되었습니다. 위협 자체가 달라졌기 때문입니다. 더 이상 단순히 방화벽 밖에서 침입을 시도하는 것만이 아닙니다. 위협은 USB 메모리나 손상된 설정 파일을 통해 이미 신뢰 구역 안으로 들어옵니다.

위협이 이미 내부에 있는 상황에서, 인터넷과 단절돼 있다는 사실은 아무런 의미가 없습니다. 시험셋은 더 이상 고립된 존재가 아니며, 오히려 보안 체인의 가장 약한 고리이자 주요 공격 대상이 될 수 있습니다.

이 새로운 현실은 중대한 선택을 요구합니다. 도구 내부에 존재할 수 있는 취약점으로부터 보호하기 위해 단순히 절차에만 의존할 것인가? CMC 500은 바로 그 질문에서 출발해 설계되었습니다. 이것이 실제 현장에서 어떤 의미를 가지는지, 두 사람을 통해 단순화된 예시로 살펴보겠습니다.

현장 속 실제 사이버 위협: John과 Jane의 이야기

John을 소개합니다. John은 절차가 엄격하고 기준이 높은 꼼꼼한 보호 기술자이며, 도구를 전적으로 신뢰합니다. John이 취하는 행동은 그리드의 무결성을 유지하는 데 필수적입니다.

이제 Jane을 소개합니다. Jane은 신뢰와 가정을 악용하는 데 능한 해커입니다.

John의 하루는 Substation Alpha에서의 루틴 업무로 시작됩니다. John은 파일 서버에서 필요한 시험 파일을 다운로드합니다. 현장에서는 고객이 준 USB에 담긴 설정 파일 업데이트를 받습니다. John은 각 절차를 완벽하게 따릅니다. 시험셋에 연결된 것을 제외한 모든 PC의 네트워크 연결(사무실 서버 포함)은 비활성화해 둡니다.

문제가 생길 리 없겠지요?

하지만 Jane은 이미 움직였습니다. 며칠 전 소셜 엔지니어링을 이용해 사무실 파일 서버에 악성 코드를 심어두었습니다. John의 PC에는 최신 보안 패치와 최신 바이러스 백신이 설치되어 있지만, Jane은 제로데이 취약점을 이용합니다.

암호화된 통신으로 중간자 공격 방지

John이 시험을 시작하자 PC에 숨어 있던 악성코드가 활성화됩니다. 첫 번째 목표는 통신 감청입니다. PC와 시험셋 간의 통신을 분석하여 비밀번호, IP 설정, 펌웨어 정보 등을 확인하려고 시도합니다.

결과: CMC 500의 통신은 최초 패킷부터 암호화됩니다. 만약 데이터가 캡처된다 하더라도 해독 불가능한 노이즈에 불과합니다.

악성 코드는 차단되자 공격 수위를 높입니다. 자신을 중간에 위치시켜, John의 PC에는 시험셋으로, 시험셋에는 PC로 가장합니다. 이는 명령을 가로채고 조작하도록 설계된 전형적인 중간자(Man-in-the-Middle) 공격입니다.

CMC 500의 대응 방식: CMC 500은 어떤 가정도 하지 않습니다. 공개키 암호화와 디지털 인증서를 활용해 PC가 CMC 500의 신원을 확인할 수 있도록 합니다. CMC 500의 고유한 개인 키는 하드웨어 기반의 신뢰 플랫폼 모듈(Trusted Platform Module, TPM) 2.0에 저장되어 물리적 보안을 보장합니다. Jane의 악성 코드는 유효한 인증서를 생성할 수 없으므로 연결은 즉시 거부됩니다. 이는 오프라인 시험 시스템에 의존하던 기존 관행과는 명확히 대비됩니다. 기존의 관행에서는 연결을 신뢰하는 것으로 가정하여 이와 같은 사칭 공격을 전혀 감지하지 못했을 것입니다.

인증서가 없으면 연결 불가. 신원 확인 없이는 접근이 허용되지 않습니다.

Wi-Fi 연결 보호: 무단 접근 방지

John은 본시험인 인가 단계로 넘어갑니다. CMC 500 다기능 시험셋을 사용해
1차 전류를 인가합니다. Wi-Fi로 연결해 자유롭게 이동하며 효율적으로 측정을 수행합니다.

하지만 Jane은 포기하지 않았습니다. 첫 시도가 차단된 후 Jane은 전략을 바꾸기로 하고, 변전소로 직접 이동해 Wi-Fi 네트워크에서 시험셋에 연결을 시도합니다. 만약 성공한다면 악성 명령을 주입하거나 위험한 동작을 유발하고, 심지어 변전소 인원에게 피해를 줄 수도 있습니다. 이는 기기 접근 제어에 대한 직접적인 공격입니다.

CMC 500의 대응 방식: 단순한 절차적 보안과 강력한 설계가 만나는 지점입니다. John은 단순히 연결하는 것이 아니라, 보안을 한층 강화하고 있습니다. PC는 기본적으로 CMC 500을 이미 인증했습니다. 여기에 비밀번호를 추가하면 상호 인증이 활성화됩니다. 이제 CMC도 누가 연결을 시도하는지 확인합니다. 정확한 자격 증명이 없거나 이를 초기화할 물리적 권한이 없으면 Jane은 연결할 수 없습니다.

비밀번호 없이는 접근 불가. 방어 공백도 없습니다.

보안 및 계획 부팅으로 펌웨어 무결성 보장

다시 차단되자, Jane은 공격 전략을 가장 근본적인 수준으로 옮깁니다. John이 설정 업데이트를 위해 변전소 네트워크에 연결할 때, Jane은 악성 펌웨어 패키지를 CMC 500에 주입하려 시도합니다. 만약 성공한다면, 이 손상된 펌웨어는 원치 않는 동작을 시작하거나 네트워크의 다른 IED를 공격하거나, 결정적 순간까지 잠복할 수 있습니다.

이것이 사전적 설계와 사후적 정책을 가르는 순간입니다. 다른 시험셋은 먼저 운영 시스템를 로드한 뒤 설치 후 스캔으로 위협을 찾을 수 있지만, 그 시점에는 이미 문이 열려 있는 것입니다.

CMC 500의 대응 방식: CMC 500은 검증되지 않은 코드에 스스로 문을 열지 않습니다. 하드웨어 기반의 TPM 2.0에 근거한 Secure and Measured Boot(보안 및 계획 부팅)를 사용합니다. 설치가 첫 명령을 실행하기 전에 펌웨어의 OMICRON 서명이 이를 검증합니다. 실행 중에는 펌웨어의 각 구성 요소가 암호학적으로 검증되고 측정되며 알려진 체크섬과 비교됩니다.

Jane의 악성 펌웨어에는 서명이 없습니다. 그 결과는 무엇일까요? 설치되지 않습니다. 아무 동작도 하지 않습니다.

검증 없이는 실행되지 않습니다.

단순한 체크박스가 아닌 진정한 약속: 라이프사이클 보안에 대한 접근법

John과 Jane의 이야기는 유일한 사례가 아닙니다. 이 글을 읽는 지금도 Jane과 같은 공격자는 끊임없이 방어를 우회하고 처리되지 않은 취약점을 악용하려고 시도하고 있습니다. 그래서 보안은 단 한 번의 체크박스로 끝나는 것이 아닙니다. 제품의 전체 라이프사이클에 걸쳐 지속적으로 유지되어야 하는 약속입니다.

OMICRON은 투명하고 능동적인 취약점 처리 프로세스를 운영하며, 관련 내용은 OMICRON Magazine 기사에서 확인할 수 있습니다. 내부 팀이 발견하든, 사용자가 신고하든, 모든 잠재적 취약점은 다음과 같이 대응합니다.