‘사악한 무엇’이 온다··· 디지털 트윈이 초래할 새로운 보안 문제

디지털 트윈은 다양한 산업에서 몹시 유용한 도구일 수 있다. 그러나 새로운 비즈니스 위험성을 동반하는 측면에 유의해야 한다. 특히 처음부터 보안을 고려할 필요가 있다. 
 

실제 또는 구상 중인 사물을 가상으로 표현하는 디지털 트윈의 사용이 증가하고 있다. 디지털 트윈의 용도는 다양하다. 이를 사용하면 문제가 발생하기 전이나 발생하고 있는 상태에서 문제를 식별하도록 돕는다.  물리적 자산 또는 사람 또는 생물학적 시스템에서도 활용된다.

그랜드 뷰 리서치는 2022년 111억달러 규모였던 글로벌 디지털 트윈 시장이 2023년부터 2030년까지 연평균 37.5%의 복합성장률을 기록해 결국 1,558억3,000만 달러를 기록할 것으로 전망했다.

하지만 디지털 트윈의 사용이 증가하고 새로운 솔루션이 등장하면서 사이버 보안 노출도 증가하고 있다고 전문가들은 지적하고 있다. 디지털 트윈은 무엇을 모델로 하든 정확한 표현을 만들기 위해 데이터에 사용하기 때문에 취약성을 지닌다. 데이터가 손상되었거나, 도용된다면 어떻게 해야 할까?

브라이언 보스웰은 “사이버 보안이 적용되어야 하며, 인터넷 연결은 안전해야 하고, 데이터는 보호되어야 한다”라고 말했다. 그는 미국 정부책임처(GAO)의 과학, 기술평가 및 애널리틱스(STAA) 팀의 책임자이자 디지털 트윈에 대한 2023년 2월 GOA 보고서를 작성했다.

디지털 트윈은 위협에 취약하다
기술 전문가들과 보안 리더들은 디지털 트윈이 기존 정보기술(IT) 및 운영기술(OT) 환경만큼 기존 위협에 취약할 수 있다고 지적한다. 한 보안 전문가는 ‘사악한 디지털 트윈’(evil digital twin)이라는 표현을 이용하기도 했다.

보스웰은 “이러한 종류의 기술에는 사이버 보안과 해커가 침투할 수 있는 기회가 많이 있다”라고 말했다.

디지털 트윈의 장점 중 하나는 시스템 자체의 데이터를 사용해 실제 시스템의 테스트와 행동 분석이 가능해진다는 것이다. 디지털 트윈으로 표시되는 객체는 항공기와 같은 물리적인 항목일 수도 있고, 건물이나 제조 공장과 같은 환경일 수도 있다. 기술 시스템의 가상 복제품일 수도 있고, 디지털 트윈에서 복제된 기술에 의해 시뮬레이션 된 모든 실제 프로세스를 갖춘 이미 존재하는 환경일 수도 있다. 또는 해당 객체에 대한 계획의 복제본일 수도 있다.

경우에 따라서는 디지털 트윈은 직원이나 페르소나 같은 사람의 복제품이 될 수도 있다. 즉, 고객이나 회사와 같은 개별 실체의 디지털 표현이다.

디지털 트윈은 원본과 일치하도록 실시간으로 바뀐다
디지털 트윈은 정적이지 않다. 실시간으로 제공되는 경우가 많으며 실제 트윈과 동일한 데이터를 사용하고 그에 따라 변경된다. 이러한 종류의 모델링은 제조, 항공우주, 운송, 에너지, 유틸리티, 의료, 생명과학, 소매 및 부동산 산업에 매우 유용한 것으로 입증됐다.

조직은 디지털 트윈을 사용하여 실제 환경보다 디지털 트윈에서 더 빠르고, 더 쉽고, 더 저렴하고, 더 낮은 위험으로 시뮬레이션을 수행할 수 있다. 이러한 시뮬레이션은 조직이 다양한 시나리오의 결과를 이해하는 데 도움이 되며, 이는 계획, 예측 유지보수, 설계 개선 등에 도움이 된다. 조직은 디지털 트윈에서 실행된 시뮬레이션에서 얻은 결과를 실제 객체에 적용할 수 있다.

보스웰은 “실시간으로 시스템을 모니터링할 수 있는 능력을 가지고 있고 특정 상황에서 무슨 일이 일어날지 예측하기 위해 디지털 트윈을 사용하는 것과 같은 디지털 트윈에는 커다란 이점이 있다”라고 말했다. 그러나 보스웰은 자신의 보고서에서 위험과 우려가 있다고 강조하면서 “많은 산업이 비용을 절감하고 엔지니어링 설계 및 생산을 개선하며 공급망을 테스트하기 위해 그것들을 사용한다. 그러나 한 사람의 디지털 트윈을 만드는 것과 같은 일부 애플리케이션은 기술, 개인 정보 보호, 보안 및 윤리적 문제를 제기한다”라고 말했다.

디지털 트윈은 공격 표면을 늘릴 수 있다
기술 현대화 업체인 SPR의 수석 설계자인 마하데바 비사파는 디지털 트윈이 실제 트윈을 구성하는 동일한 복잡한 기술 모음 및 구성과 관련이 있다고 설명했다. 즉, 동일한 시스템, (일반적으로 클라우드에서의) 컴퓨팅 성능, 네트워킹 및 데이터 흐름으로 구성된다.

이 과정에 사용 중인 제품에 관계없이 모든 엔드포인트인 클라우드 플랫폼이 보호되어야 한다. 그리고 어떤 데이터가 제공되든 안전해야 한다. 비사파는 디지털 트윈이 해커들이 악용할 수 있는 공격 표면을 더욱 확장한다고 지적했다. 그는 “디지털 트윈은 인터넷에 연결된 또 다른 애플리케이션이므로 동일한 보안 문제를 전부 갖고 있다”라고 말했다.

특히 디지털 트윈의 사용이 증가함에 따라 추가적인 우려가 있다고 케인 맥글라드리는 말했다. 그는 비영리 전문가 협회인 전기전자학회(IEEE)의 선임 회원이면서 하이퍼프루프의 현장 CISO이기도 하다. 우선, CISO가 자신들의 조직이 디지털 트윈을 사용하는 것에 대한 가시성을 갖지 못할 수도 있다고 그는 말했다.

CISO는 디지털 트윈이 사용되는 시기를 알아야 한다
맥그라드리는 현업 부서가 보안에 대한 상의 없이 디지털 트윈 구현에 앞장서는 것을 본 적이 있다면서 “이런 일이 일어나고 있다는 것을 CISO가 알기는 하는가?”라고 반문했다. “존재하는지조차 알지 못하는 것에 효과적인 제어를 적용하기는 어렵다”라고 그는 덧붙였다.

또 법적 문제와 규제적 문제는 디지털 트윈에서도 작용한다. 디지털 트윈 운영자가 디지털 트윈에서 사용되는 데이터가 개인 정보 보호, 기밀성 및 데이터를 보관할 수 있는 지역에 대한 규제 요건을 충족하는 방식으로 처리되도록 보장할 수 있는지를 감안해야 한다.

특히 조직이 디지털 트윈을 실행하기 위해 다른 조직과 협력 관계를 맺고 있는 경우 해결되지 않으면 데이터 소유권도 문제가 될 수 있다고 맥글라드리는 전했다.

디지털 트윈을 사용하는 비즈니스 및 엔지니어 팀이 특정 또는 너무 많은 보안 제어를 추가하면 디지털 트윈 성능이 저하될 수 있다고 우려하곤 한다. 이로 인해 일부 조직에서는 이러한 보안 및 위험 고려 사항을 해결하지 못할 수 있다고 맥글래드리는 말했다.

새로운 위험과 위협의 가능성
어떤 사람들은 디지털 트윈 자체의 특성에서 비롯되는 위험이 더 많다고 본다. 메릴랜드 대학 글로벌 캠퍼스(UMGC)의 사이버 보안 및 정보 기술 대학의 제이슨 M. 피트먼 교수도 그 중 한 명이다.

그는 ‘사악한 디지털 트윈’이라는 표현을 사용하며 보안 위험을 강조해 왔다. 최근 UMGC 블로그에서 피트먼은 “내년이면 사악한 디지털 트윈의 출현을 보게 될 것이다. 이 악성의 가상 소프트웨어 모델은 랜섬웨어, 피싱, 고도로 표적화 된 사이버전과 같은 사이버 범죄 활동을 강화하는 데 사용될 것이다. 이러한 공격은 사악한 디지털 트윈 모델을 통해 제공되는 특수성 때문에 기존 방법에 비해 효과가 클 것”이라고 예측했다.

피트먼은 해커가 기존 페르소나의 디지털 트윈을 만들어서 “환경에 삽입한 다음 공격 대상을 지켜보고 개입하고, 그리고 나서는 생태계에 맬웨어를 주입할 수 있다. 이것은 해커들에게 또 다른 길을 제공하며, 이를 위한 방어책이 있을 것 같지 않다”라고 CSO에 밝혔다.

사악한 디지털 트윈은 시뮬레이션 결과를 왜곡할 수 있다
피트먼은 디지털 트윈의 사용에서 발생하는 다른 새로운 공격 시나리오도 알고 있다고 말했다. 예를 들어 해커가 디지털 트윈 환경에 침입할 수 있다면, 데이터를 도용하거나 동기에 따라 디지털 트윈이 사용하는 데이터를 조작하여 시뮬레이션 결과를 고의로 왜곡할 수 있다.

피트먼은 “그러한 시나리오의 가능성을 고려할 때, 디지털 트윈은 미래의 영향에 대해 생각하지 않고 활용을 늘리는 또 다른 사례일 수 있다. 디지털 트윈이 좋거나 나쁘다고 말하는 것이 아니다. 재앙까지는 아닐지라도 중대한 무언가를 보게 될 것이라고 볼 뿐이다”라고 말했다.

피트먼만이 디지털 트윈으로 인해 발생하는 새로운 보안 위협 가능성에 대해 우려의 목소리를 내는 것은 아니다. 디지털 트윈에 대한 주제를 연구하는 동안 보스웰도 공격자가 디지털 트윈 내에서 데이터를 조작할 수 있다는 우려를 제기했다. 그는 “보고서를 위해 특별히 검토하지는 않았지만, 제기된 문제 중 하나다”고 말하며, 머신러닝 알고리즘에 사용되는 교육 데이터와 관련하여 자주 언급되는 우려 사항(‘데이터 포이즈닝’이라고 알려진 공격 유형)이라고 덧붙였다. 

사이버 보안 업체인 인튜이투스의 CEO인 데이비드 쇼도 디지털 트윈 작업에 본래적인 위험이 있다고 경고했다. 비영리 단체인 디지털 트윈 컨소시엄의 핀테크, 보안 및 신뢰할 수 있는 항공우주 및 방어 실무 그룹의 공동 의장이기도 한 쇼는 디지털 트윈이 일부 산업에서 수년 동안 사용되어 왔지만 점점 더 많은 기술에서 사용됨에 따라 위험도 증가하고 있다고 지적했다.

보안은 디지털 트윈의 등장부터 시작해야 한다
예를 들어, 증강현실 기술 및 가상현실 기술은 디지털 트윈 환경의 일부가 되어 잠재적인 취약성의 또 다른 계층을 더하면서 추가적인 보안 고려 사항이 필요하게 만든다. 그러나 쇼는 보안이 항상 디지털 트윈 구축의 일부는 아니며 대신 나중에 프로세스에 도입되곤 한다고 지적했다. 이는 일반적으로 보안 통제 수준에 미치지 못한다는 뜻이라고 그는 말했다.

그는 “보안은 구축 중인 디지털 트윈의 핵심에 바로 구현되어야 한다. 그것을 보호하기 위해서는 처음부터 바로 그곳에 있어야 한다. 하지만 [디지털 트윈을 구축하는] 엔지니어들과 사이버 보안은 협력하는 법을 배우기 위해 해야 할 일이 아직 많다”라고 덧붙였다.

그리고 피트먼과 마찬가지로 쇼는 새로운 공격 시나리오가 등장할 가능성을 인정하면서 과거 연구자들이 테스트 베드에서 새로운 명령 기술을 확인했으며, 이는 그것이 가능하다는 것을 나타낸다고 강조했다.

만약 해커들이 새로운 공격 유형을 발전시킨다면, 조직들이 그것을 탐지할 수 있을지도 의문이라고 쇼는 지적했다. 쇼는 “경계를 게을리해서는 안되며, 비정상적인 행동을 식별하기 위해 안전하게 실행하는 방법을 찾아야 한다”라고 말했다. ciokr@idg.co.kr