미래기술 / 보안

‘쌍둥이 악마’를 경계하라…디지털 트윈 확산에 따른 새로운 보안 우려 4가지

Mary K. Pratt | CSO 2023.05.15
최근 디지털 트윈 사용이 증가하고 있다. 디지털 트윈은 용도가 광범위하고 매우 유용하다. 문제가 발생할 때, 또는 발생하기도 전에 파악하는 데 도움을 주는 물리적 자산이나 사람 또는 생물학적 시스템의 실시간 모델을 제공한다. 시장조사 기관 그랜드 뷰 리서치(Grand View Research)는 2022년 111억 달러 규모인 글로벌 디지털 트윈 시장이 2023년부터 2030년까지 연평균 37.5%로 성장해 1,558억 3,000만 달러에 이를 것으로 예측했다.
 
ⓒ Getty Images Bank

그러나 디지털 트윈 사용이 증가하고 새로운 디지털 트윈이 만들어지면서 사이버보안 노출도 함께 증가하고 있다는 우려도 있다. 디지털 트윈은 모델링하는 대상의 정확한 표현을 위해 데이터에 의존한다는 면에서 보안에 취약하다. 데이터가 손상되거나 더 나쁜 경우 도난당해 원래의 용도가 아닌 악의적인 용도로 사용된다면 어떻게 될까?

미국 회계감사원의 STAA(Science, Technology Assessment, and Analytics)팀 이사이자 디지털 트윈에 관한 2023년 2월 GOA(US Government Accountability Office) 보고서를 작성한 브라이언 보스웰은 “디지털 트윈은 또 다른 툴이다. 유익한 툴이지만 여전히 강화할 필요가 있고 사이버보안을 적용해야 하고 인터넷 연결과 데이터를 보호해야 한다”라고 말했다.


디지털 트윈이 위험한 이유

기술 전문가와 보안 리더는 디지털 트윈이 일반적인 IT 및 OT(Operational Technology) 환경과 똑같이 기존 위협에 취약할 수 있다고 말한다. 일부는 디지털 트윈은 새로운 공격 진입점을 생성할 뿐 아니라 새로운 공격 유형이 발생할 여지도 제공한다고 주장한다. 보스웰 역시 “이런 종류의 기술에는 사이버보안 및 잠재적인 해커의 침투 기회가 많다”라고 지적했다.

디지털 트윈의 장점은 시스템 자체의 데이터를 사용해서 실제 시스템의 테스트 및 행동 분석이 가능하다는 데 있다. 디지털 트윈으로 표현되는 개체에는 항공기와 같은 물리적 요소, 건물 또는 제조 공장과 같은 환경, 이미 존재하는 환경이나 기술 시스템의 가상 복제본(모든 현실 세계의 프로세스가 디지털 트윈에 복제된 기술에 의해 시뮬레이션됨), 또는 이런 개체에 대한 계획의 복제본 등이 포함된다. 

일부는 직원, 또는 페르소나(고객 또는 회사와 같은 개별 주체의 디지털 표현)처럼 사람의 복제본도 디지털 트윈이 될 수 있다고 한다.

디지털 트윈은 고정된 것이 아니다. 상응하는 실제 트윈과 동일한(많은 경우 실시간으로 제공되는) 데이터를 취하고 그에 따라 적절히 변화한다. 이와 같은 모델링은 제조, 항공우주, 수송, 에너지, 유틸리티, 의료, 생명과학, 소매 및 부동산 업계에 매우 유용한 것으로 입증됐다.

업계를 불문하고 기업은 디지털 트윈을 사용해서 더 빠르고 쉽고 저렴하며 실제 환경보다 위험이 낮은 시뮬레이션을 실행한다. 이런 시뮬레이션은 기업이 다양한 시나리오의 결과를 이해하는 데 유용하고 계획, 예측 정비, 설계 강화 등에 도움이 된다. 기업은 시뮬레이션에서 얻은 결과를 디지털 트윈에서 실행하고 실제 개체에 적용할 수 있다. 보스웰은 “디지털 트윈은 매우 유익하다. 예를 들어, 시스템을 실시간으로 모니터링하고 디지털 트윈을 사용해서 특정 상황에서 어떤 일이 발생할 수 있는지를 예측할 수 있다”라고 설명했다.

그러나 위험과 우려도 있다. 보스웰은 보고서에서 “많은 업계에서 디지털 트윈을 사용해 비용을 낮추고 엔지니어링 설계와 생산을 개선하고 공급망을 테스트한다. 그러나 사람의 디지털 트윈 생성과 같은 일부 응용 사례는 기술, 개인정보 보호, 보안, 윤리적 측면의 문제로 이어진다”라고 지적했다.


광범위한 공격 표면 발생 위험

기술 현대화 업체인 SPR의 수석 설계자인 마하데바 비사파는 디지털 트윈에는 현실 세계를 이루는 것과 동일한 복잡한 기술 집합과 구성이 사용된다고 말했다. 즉, 시스템, 컴퓨팅 성능(일반적으로 클라우드에 위치), 네트워킹, 데이터 흐름의 복잡한 구조가 디지털 트윈에도 동일하게 존재한다.

비사파는 “모든 엔드포인트와 클라우드 플랫폼(어느 제품을 사용하든)을 보호해야 한다. 또한 디지털 트윈으로 공급되는 모든 데이터도 보호해야 한다”라고 말했다. 비사파는 디지털 트윈이 해커가 악용할 수 있는 공격 표면을 더 확대한다는 입장이다. 이어 “디지털 트윈은 또 다른 인터넷 연결 애플리케이션이므로 똑같은 종류의 보안 문제가 발생한다”라고 지적했다.

비영리 전문가 협회인 전기전자학회(IEEE)의 선임 회원이며 하이퍼프루프(Hyperproof)의 CISO인 케인 맥글래드리는 디지털 트윈의 사용 증가에 따른 추가적인 우려 사항도 있다면서, 우선 CISO가 기업의 디지털 트윈 사용에 대한 시야를 확보하지 못할 수 있다고 말했다.


인지의 문제

맥글래드리는 “CISO가 디지털 트윈이 사용된다는 것을 인지하고는 있는가?”라고 물으며, 각 사업부에서 보안 부서와 상의하지 않고 독단적으로 디지털 트윈을 구현하는 사례를 봐왔다고 언급했다. 이어 “존재 여부조차 모르는 것에 효과적인 통제 수단을 적용하기는 어렵다”라고 지적했다.

법률 및 규정문제도 있다. 주요 우려 사항은 디지털 트윈에 사용되는 데이터가 개인정보 보호, 기밀성 및 데이터의 지리적 위치와 관련된 규정 요건을 준수하는 방식으로 처리된다는 것을 디지털 트윈 운영자가 보장할 수 있는지다. 특히 기업이 다른 주체와 파트너 관계를 맺고 디지털 트윈을 운영하는 경우에는 데이터 소유권도 문제가 될 수 있다.

맥글래드리는 일부 기업에서는 디지털 트윈을 사용하는 비즈니스 및 엔지니어 팀이 특정한, 또는 너무 많은 보안 통제 수단을 추가할 경우 디지털 트윈 성능이 저하될 것을 우려하고 이로 인해 보안 및 위험 고려 사항에 제대로 대처하지 못할 수 있다고 덧붙였다.


더 많은 새로운 위험의 등장

디지털 트윈의 속성상 더 많은 위험이 발생할 것으로 보는 시각도 있다. 메릴랜드 대학 글로벌 캠퍼스(UMGC)의 사이버보안 및 정보 기술 학부 교수인 제이슨 M. 피트맨도 그중 한 명이다.

피트맨은 이른바 “사악한 디지털 트윈(evil digital twin)”과 관련된 보안 위험을 강조했다. 최근 UMGC 블로그에서 피트맨은 “내년에는 사악한 디지털 트윈이 본격적으로 부상할 것이다. 이 악의적 가상 소프트웨어 모델은 랜섬웨어, 피싱, 고도의 표적화된 사이버 전쟁과 같은 사이버 범죄 활동을 강화하는 데 사용될 것이다. 사악한 디지털 트윈을 통해 제공되는 특수성으로 인해 이런 공격은 전통적인 방법보다 훨씬 효과적일 것”이라고 예측했다.

피트맨은 CSO와의 인터뷰에서 “해커는 기존 페르소나의 디지털 트윈을 만들어서 기업 환경에 집어넣을 수 있다. 이후 기업을 감시하고 활동에 참여하면서 생태계에 맬웨어를 주입할 수 있다. 해커에게는 또 다른 공격 경로지만, 이에 대비한 방어는 갖춰져 있지 않은 경우가 많을 것”이라고 말했다.


시뮬레이션 결과 왜곡

피트맨은 디지털 트윈 사용에서 비롯되는 다른 새로운 공격 시나리오도 있다고 말했다. 예를 들어, 해커가 디지털 트윈 환경에 침투할 수 있는 경우 데이터를 훔치거나 동기에 따라서는 디지털 트윈에 사용되는 데이터를 조작해서 의도적으로 시뮬레이션 결과를 왜곡할 수 있다.

피트맨은 이런 시나리오가 가진 잠재적 영향과 관련해 “디지털 트윈은 그것이 어떤 영향을 미칠지에 대한 고민 없이 기술을 전파하는 또 다른 사례에 해당된다. 디지털 트윈이 좋거나 나쁘다는 이야기가 아니라 사람들이 늘 그렇게 한다. 재앙에 가까운 일까지는 일어나지 않겠지만 심각한 사태는 발생할 것”이라고 우려했다.

디지털 트윈에서 발생하는 새로운 보안 위협의 가능성을 우려하는 사람은 피트맨뿐만이 아니다. 보스웰 역시 디지털 트윈을 연구하는 과정에서 적대적 세력이 디지털 트윈 내의 데이터를 조작할 가능성에 관한 우려를 접했다. 보스웰은 “이번 보고서에서 구체적으로 살펴보지는 않았지만 제기된 문제 중 하나”이며, 머신러닝 알고리즘에 사용되는 학습 데이터와 관련하여 자주 언급되는 데이터 중독(Data Poisoning)으로 불리는 공격 유형에 대한 우려라고 덧붙였다.

사이버보안 업체 인튜이투스(Intuitus)의 CEO 데인비드 쇼 역시 디지털 트윈에 내재된 위험이 있다고 경고했다. 비영리 기구인 디지털 트윈 컨소시엄(Digital Twin Consortium)의 핀테크, 보안 및 신뢰성, 항공우주, 방위 워킹그룹 공동 의장이기도 한 쇼는 일부 업계에서는 몇 년 전부터 디지털 트윈이 사용되고 있지만, 더 많은 기술에 사용되면서 위험도 증가하고 있다고 강조했다.


해결책은 “시작부터 보안 구현하기”

AR/VR 기술이 디지털 트윈 기술 환경의 일부가 되면서 또 다른 잠재적 취약성 계층이 더해지고 부가적인 보안 고려 사항이 필요하게 됐다. 그러나 쇼는 디지털 트윈을 구축하면서 보안을 반영하지 않고 나중에 보안을 덧붙이는 경우가 많으며, 보안 통제가 일반적으로 허술하다는 의미라고 지적했다.

쇼는 “보안은 구축 중인 디지털 트윈의 핵심에 내장돼야 한다. 시작부터 디지털 트윈을 보호하기 위해 보안을 구현해야 한다”라면서, “그러나 디지털 트윈을 구축하는 엔지니어와 사이버보안 담당자들이 함께 일하는 법을 익히려면 아직 갈 길이 멀다”라고 말했다.

피트맨과 마찬가지로 쇼는 새로운 공격 시나리오가 등장할 가능성이 있다면서, 예전에 연구원들이 테스트 베드에서 새로운 명령어 기법을 발견했음을 언급하며 새로운 공격 시나리오의 가능성을 시사했다. 또한 쇼는 해커가 새로운 공격 유형을 고안했을 때 기업이 이를 감지할 수 있을지 의문이라며, 철저한 경계와 선제적 보안의 필요성을 강조했다.

쇼는 “계속 자세히 주시해야 하며, 비정상적인 행동을 식별하기 위한 가드레일을 구축할 방법을 찾아야 한다”라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.