Contents
see List이번 영상은 2017년 사우디아라비아 석유화학 시설에서 발견된 TRITON/TRISIS 악성코드 사례를 짧게 정리한 보안 콘텐츠입니다. 일반적인 해킹이 계정 정보나 파일을 훔치는 데 집중했다면, 이 사건은 공장 안전 시스템을 직접 겨냥했다는 점에서 훨씬 위험했습니다.
TRITON은 Schneider Electric의 Triconex 안전 컨트롤러를 표적으로 삼은 것으로 알려져 있습니다. 이런 SIS(Safety Instrumented System)는 온도, 압력, 유량 같은 공정 값이 위험 범위로 올라가면 설비를 정지시키는 마지막 보호 장치입니다. 쉽게 말해 공장 안의 브레이크 역할을 하는 시스템입니다.
무서운 지점은 공격 목표가 “데이터 유출”이 아니라 “안전장치 무력화”였다는 것입니다. 만약 안전 시스템이 정상적으로 멈추지 못하면, 사이버 공격이 실제 설비 손상이나 인명 피해로 이어질 수 있습니다. 그래서 TRITON은 산업 제어 보안 분야에서 매우 상징적인 사건으로 다뤄집니다.
다행히 이 공격은 완벽하게 성공한 사례로 끝나지 않았습니다. 공격 코드가 동작하는 과정에서 오류가 발생했고, 그 결과 시설의 안전 정지가 일어나면서 이상 징후가 드러났습니다. 공격자가 들키지 않았다면 피해 규모가 훨씬 커질 수 있었다는 점이 핵심입니다.
이 사건이 남긴 교훈은 분명합니다. 공장, 발전소, 병원, 물류 시설처럼 실제 장비가 연결된 환경에서는 IT 보안만으로 충분하지 않습니다. 운영 기술을 뜻하는 OT 보안, 네트워크 분리, 접근 권한 관리, 변경 감시, 비상 정지 절차 검증이 함께 필요합니다.
사용자 관점에서도 의미가 있습니다. 우리가 쓰는 전기, 연료, 물류, 의료 서비스 뒤에는 수많은 제어 시스템이 연결되어 있습니다. 해킹은 더 이상 화면 안에서만 끝나는 문제가 아니라, 현실의 장비와 안전까지 흔들 수 있는 문제입니다.
특히 산업 현장의 장비는 오래 운영되는 경우가 많고, 한 번 멈추면 생산 손실이 크기 때문에 업데이트나 점검을 미루기 쉽습니다. 하지만 바로 그 특성이 공격자에게는 좋은 표적이 됩니다. 사무실 PC처럼 단순히 백신을 설치하는 수준을 넘어, 어떤 장비가 연결되어 있는지 자산 목록을 만들고, 비인가 변경이 생겼을 때 바로 알 수 있는 체계가 필요합니다.
또 하나 중요한 점은 ‘분리되어 있으니 안전하다’는 믿음이 항상 맞지는 않다는 것입니다. 유지보수 노트북, 원격 접속, USB, 협력사 계정처럼 현장에는 현실적인 연결 통로가 많습니다. TRITON 사례는 이런 통로가 안전 시스템까지 이어졌을 때 얼마나 위험해질 수 있는지 보여줍니다.
결국 핵심은 보안을 비용이 아니라 안전 장치로 보는 관점입니다. 공장 자동화가 고도화될수록 사이버 보안팀과 현장 엔지니어가 따로 움직이면 안 됩니다. 로그 감시, 접근 통제, 백업, 복구 훈련, 비상 정지 절차를 함께 점검해야 실제 사고를 줄일 수 있습니다.