센스톤이 한국수자원공사(K-water)와 함께 수도시설 감시제어설비를 대상으로 사용자 인증 기반 OT 보안 체계를 검증했다. 이번 과제는 국가 기반시설 운영 환경에서 기존 비밀번호 기반 인증 방식의 한계를 보완하고, 실제 현장 적용 가능성을 확인했다는 데 의미가 있다.

센스톤은 11일 한국수자원공사와 공동 수행한 ‘수도시설 감시제어설비 보안 강화를 위한 사용자 인증 시스템 개발’ 과제가 성과공유제 최종 심의에서 적합 판정을 받았다고 밝혔다.

이번 과제는 수도시설 감시제어설비 운영 환경에서 사용되는 고정값 비밀번호와 공유 계정 방식의 보안 취약점을 개선하기 위해 추진됐다. 양사는 사용자 식별, 인증, 접근통제, 감사 로그 관리 기능을 실제 운영 환경에 적용하는 방식으로 검증을 진행했다.

센스톤은 OTAC Trusted Access Gateway(TAG)를 기반으로 기존 감시제어장비의 변경 없이 사용자 인증 체계를 구현하는 데 중점을 뒀다. OTAC TAG는 OT 엔드포인트 접근 이전 단계에서 사용자를 식별·인증하고, 권한에 따라 접근을 제어하는 산업제어 환경 특화 보안 솔루션이다.

실증 과정에서는 현장 실사, 테스트베드 검증, 공인시험 등이 진행됐다. 한국수자원공사는 테스트 환경과 현장 요구사항을 제공했으며, 기후테크혁신처와 정보보안처가 과제 운영 및 기술 검토 과정에 참여했다.

이번 과제를 통해 센스톤은 기존 OT 환경에서 지적돼 온 사용자 식별 부재, 고정 비밀번호 기반 인증, 접속 이력 관리 미흡 등의 문제를 개선할 수 있음을 확인했다. 사용자별 인증과 감사 로그 체계를 통해 비인가 접근을 줄이고, 사고 발생 시 접근 이력을 추적할 수 있는 기반도 마련했다.

센스톤은 이번 사업이 IEC 62443-4-2 및 IEC 62443-3-3의 FR1 사용자 식별·인증 요구사항 대응을 지원한다고 설명했다. 또 국가정보원의 제어시스템 보안 모니터링 구축 가이드라인 실증 사례와의 연계 가능성도 기대하고 있다.

향후 센스톤은 한국수자원공사와 공동 특허 출원을 추진하고, 적용 대상을 PLC에서 RTU, DCS, HMI 등 다양한 OT 엔드포인트로 확대할 계획이다.

유창훈 센스톤 대표는 “이번 성과는 실제 국가 기반시설 현장에서 끝까지 함께 검증한 한국수자원공사의 신뢰가 있었기에 가능했다”며 “앞으로도 산업 및 국가 기반시설 환경에서 작동하는 실질적인 OT 보안 기술을 만들어가겠다”고 말했다.