김동철 유비케어 사외이사
[기고] IT의 경계를 벗어나면

IBM으로 대표되는 대형 컴퓨터의 시대는 지났다. HP와 SUN으로 대표되던 UNIX의 시대도 저물고있다. 이에 따른 소프트웨어의 지형도 오픈소스 소프트웨어를 필두로 급속한 변화의 진통을 겪고 있는 중이다. 4차 산업혁명이라는 틀이 기존 IT의 경계를 허무는 일들이 일어나고 있다. IT는 전산실의 유리벽을 깨고 개인들의 손안으로 들어온 지 오래다. IT는 영역을 확대하기 위해서 표준화를 통한 범용화를 전략으로 삼았고 통했다. IT는 지구가 자전과 공전을 하듯 보이는 것보다 빨리 진화하고 있으며 한번 뒤처지면 따라잡기 힘들 정도로 공격적으로 스스로의 범위를 넓혀가고 있다.

세상에는 IT이전에 존재해오던 지금도 스스로를 개방하지 않은 채로 존재의 가치를 유지하고 있는 부분들이 있는데, 바로 스마트팩토리로 대변된다. 여기에서 사용되는 용어들은 일반 IT인들이 생소하게 느끼는 부분들이 존재한다. PLC, MMI, MES, SCADA, PLM 등의 공장 용어들은 실제로 다뤄보지 않았다면 외국어 같이 다가올 것이다. 이러한 스마트팩토리에서 활약하고 있는 업체들은 지멘스, 미쯔비시, GE 같은 기업들이다. 생산 공정에서도 IT에서와 마찬가지로 장비들 간에 명령과 데이터를 주고 받으며, 장비들을 통제하고 사전에 주문된 제품을 생산해 낸다. 공장을 방문할 가회가 생긴다면 이러한 프로세스와 장비들이 어디에 있는지 눈여겨보기 바란다. 작동하고는 있지만 실은 잘 보이지 않는다. 이러한 현업과 공정상의 기술을 IT와 별개로 OT(Operational Technology)라고 부른다.

IT와 OT는 영역이 다르다. 이웃한 나라일 수도 있고 경쟁을 하고 있기도 하다. IT의 영역에서는 제조 설비 장치를 만들지 못하지만 OT에서 다루고 있는 데이터는 함께 포함해서 다룰 수 있다. 그것이 4차산업 혁명에서 말하는 전형적인 IoT이다. 기업이 공장을 건설할 때 도입되는 장비에는 컴퓨터들이 내장되어 있다. 노트북이 내장되어 있는 경우, 틀림없이 이름도 생소한 설비의 전문용어로 되어 있으며 통상 노트북을 따로 사는 경우보다 수십 수백배의 금액을 내고 있을 것이다. 수백만원짜리 슈퍼컴의 모니터 화면이 수천만원으로 견적되는 것을 직접 경험한 바도 있다.

기업에서는 IT와 OT를 함께 보려는 시도가 진행중이다. 수십년 전에 지어진 제조 공장은 사람이 바뀌면서 관리의 틈이 생기기 시작했다. 은행의 메인프레임 컴퓨터에 아직도 어셈블리어나 코볼 언어로 프로그래밍되어 있는 프로그램들이 존재하고 있지만 이젠 누구도 손대지 못하는 상태이다. 특히 우리나라처럼 처음 도입이후에 유지보수에 들어가는 돈을 극도로 인색하게 아끼는 경우라면, 기술의 단절과 인력의 변화로 인한 위험을 논의하길 꺼린다. 공장에서는 이제 특정 장비가 어느 위치에 있는지 주고 받는 데이터는 어떠한 속성인지 알 수 없는 지경에 있을 수도 있다. 최근에 생긴 CDO(Chief Data Officer)는 IT와 OT를 결합해서 CIO의 직무적 한계를 뛰어 넘는다. 일례로 예지정비의 대상은 IT보다 OT쪽에 더 많이 존재한다. 제조 공장의 현장은 사무실 환경과 비교해 보면 열대우림의 환경과 비슷하다. 먼지, 습기, 자기장, 진동, 무중단 운영시간 등등으로 장비들의 피로도가 극심하다. IT적인 잘 짜여진 관리의 필요성이 강하게 대두되고 있는 것은 늦었지만 자연스런 현상이다.

IT에서의 보안은 일단 사고가 나면 회사 전체에 치명적인 영향을 미친다. 그러나 OT에서의 보안 사고가 어떠할지는 이제서야 인지를 시작한 듯하다. 보안 사고는 참으로 머리가 좋고 공부도 많이 한 사람들이 영화 같은 스토리를 짜서 실행한다. IT분야에서 암호화되지 않은 이메일은 손쉬운 먹이감이다. 메일 내용 중에 있는 계좌번호를 살짝 바꾸는 것 만으로 목적을 달성할 수 있다. 그러나 OT의 보안 사고는 형사사건을 유발 한다. 공장을 멈추게 하거나 첨가물의 배합을 바꿀 수도 있다. 제약회사에서 이런 일이 일어난다면 살인행위나 다름 없다. 그러나 OT에서의 장비들이나 데이터 프로토콜 같은 분야의 표준화가 IT와는 다르므로 빠르게 진보하는 IT쪽에서 그러한 약점을 보완해 나가야 한다.

코로나 바이러스의 백신을 만들고 치료제를 만드는 과정에는, 식약처의 허가를 득하는 절차를 마무리하기까지 수조원이 들어간다고 한다. 설령 돈이 있더라도 자료를 제공하는 환자나 정부의 지원이 필수적이다. 아마도 IT와 OT를 불문하고 백신과 치료제를 만드는 기술을 해킹을 통해 빼내거나 적국의 백신 생산을 무력화시키려는 시도들이 난무하고 있을지도 모른다. OT적인 보안은 이제 투자를 아끼지 말아야 하는 새로운 분야로 태어났다.

공장에서 맞물려 회전하는 톱니바퀴가 마모되어 진동이 발생한다면 정밀한 제조 공정에서는 치명적인 결함을 가져오게 된다. 이런 류의 장애는 말단의 센서 데이터를 분석하는 예지정비로 대처가 가능하다. 그러나 누군가가 시스템에 접근하여 용광로에 첨가하는 화학약품의 용량을 맘대로 조작하였다면 되돌리기 어렵다. OT측면에서도 파이어 월, 접근제어, 침입탐지, 망분리와 같은 IT적인 보안은 물론 물리적인 특성이 가질 수 있는 모든 위험을 사전에 조치할 수 있도록 해야 한다.

한국에 세계의 백신 수탁 공장을 만들자는 논의가 한창이다. 전세계 모든 해커들의 이목을 집중시키는 뉴스가 되기에 충분하다. 한국이 모든 공격을 막아내기에 충분한 OT적인 제반 환경을 갖추고 있는지 다시한번 돌아보아야 할 것이다. 평소에 준비된 자에게 기회의 여신은 화살을 쏜다.

ⓒ 한경닷컴, 무단전재 및 재배포 금지