보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
도시의 문명이 사라진다면? 산업제어시스템 보안이 중요한 이유
2017.08.23
8,989
도시의 문명이 사라진다면 인류는 무엇을 할 수 있을까? 어느 겨울 밤, ‘조지아 독감’ 보균자를 실은 비행기 한 대가 뉴욕에 도착한다. 치명적인 전염병이었던 ‘조지아 독감’은 빠르게 확산되어 인류 99.9%의 생명을 앗아간다. 핵심 시스템을 관리하던 사람들 대다수가 죽음을 맞이하자, 도시의 문명은 한 순간에 허물어져버린다. 남은 0.1%의 생존자들은 문명의 흔적을 찾아 유랑하며, 버튼 하나만 누르면 시원한 바람을 쐴 수 있었고 지구 반대편의 사람과 이야기를 할 수 있었던 그 시절을 그리워한다.
위 내용은 21세기 첨단 도시의 문명이 한 순간에 붕괴되는 미래상을 그린 소설 ‘스테이션 일레븐’의 줄거리이다. 에너지, 교통, 통신, 상하수도 등 평소에는 특별히 인지하지 못했던 여러 공공시설과 주요 인프라들이 우리 삶에서 빼 놓을 수 없는 필수 요소가 되었으며, 어떠한 이유로든 주요 기반시설의 근간인 산업제어시스템(Industrial Control System, ICS)들이 제 역할을 하지 못할 시에는 우리 삶에 엄청난 혼란이 야기될 수 있음을 실감할 수 있는 내용이다.
더 나아가, 우리는 소설 속에 등장한 가상의 전염병인 ‘조지아 독감’이 ‘사이버 공격’이란 형태로 언제든지 발병할 수 있다는 가능성에 주목할 필요가 있다. 최근 도시 행정에 활용되는 산업제어시스템이 급속히 디지털화됨에 따라 광범위한 연결성을 갖게 되었고, 이를 노리는 보안 위협 역시 빠르게 증가하고 있기 때문이다. 발전소, 공항, 철도 등 이란 대규모 산업 시설 제어 시스템의 오작동을 유발한 ‘스턱스넷’ 공격(2010년), 한국수력원자력의 원전도면 유출 사고(2014년)가 대표적인 예이다.
산업제어시스템을 노린 사이버 공격
IT 시스템이 아닌 산업제어시스템(ICS)을 노린 사이버 공격은 2010년 대 이후 눈에 띄게 증가하고 있는 추세다. 파이어아이를 비롯한 주요 보안 기업들은 전력망, 상수도 등 주요 산업 기반 시설의 기술적 근간인 산업제어시스템을 노린 표적 공격이 점차 잦아지고 고도화되고 있지만, 아직 많은 기관·기업들이 산업제어시스템 해킹에 따른 위협과 피해를 제대로 인지하지 못하고 이에 맞서기 위한 준비를 충분히 하지 못하고 있다고 강조하고 있다.
공격 발생 시기 |
공격 대상 |
공격 형태/피해 |
2001년 |
호주 하수 처리 시스템 |
해고된 전 직원이 외부 원격 접속을 이용해 시스템을 조작, 해양 하수 무단 방출로 인한 피해 발생. |
2003년 |
미국 철도 사내 철도 시스템 |
사내 정보 시스템이 멀웨어에 감염되어 신호 시스템이 정지됨. 6시간에 걸쳐 복구 작업을 진행하는 동안 열차 운행이 중지됨. |
2009년 |
미 병원 HVAC시스템 |
청정도, 온도, 습도를 자동으로 조절하는 HVAC(Heating, Ventilation, Air Conditioning) 시스템이 해킹됨. |
2010년 6월 |
이란 나탄즈(Natanz) 핵 시설 |
원격제어시스템을 타깃으로 하는 악성코드 ‘스턱스넷’이 발견됨. 스턱스넷은 이란 나탄즈 핵 시설에 침투해 원심분리기를 오작동하게 만들어 핵무기 개발을 지연시킴. |
2012년 |
회사 내 컴퓨터 3만5천대가 마비되어, 모든 작업을 문서를 통해 수동 처리함. 결제 시스템까지 마비된 아람코는 일시적인 석유 판매 중단 조치를 취했지만, 자국의 석유 공급 흐름을 위해 사건 17일 후 석유 무료 제공을 실시함. | |
2014년 12월 |
한국수력원자력 |
원전도면이 유출됨. |
2015년 12월 |
우크라이나 전력망 마비 |
20만명이 약 6시간 동안 전기를 사용하지 못하는 광범위한 정전 사태가 발생함. |
2016년 3월 |
서울 코레일 철도교통관제센터 |
철도운영기관 직원들을 대상으로 메일 계정과 비밀번호를 빼내려는 피싱 메일이 유포되는 사건이 발생함. 철도교통관제시스템에 사이버테러를 하기 위한 사전 준비단계로 해킹을 시도한 것으로 분석됨. |
2016년 4월 |
미 미시간 발전소 수자원 시설 |
랜섬웨어가 첨부된 이메일을 통한 스피어 피싱 공격이 발생함. 내부 네트워크까지 감염이 확산되자 추가 피해 발생을 막기 위해, 회사 시스템을 일시 중단함. |
2016년 11월 |
미 샌프란시스코 시영철도(MUNI) 시스템 |
결제시스템이HDD크립토의 변종인 맘바(Mamba) 랜섬웨어에 감염되어 2천 대 이상의 무인발급기가 마비됨. |
2017년 6월 |
일 혼다자동차 사야마 공장 |
워너크라이 랜섬웨어에 감염되어, 약 48시간 동안 엔진 생산과 조립이 중단됨. |
<산업제어시스템을 노린 사이버 공격 사례>
올해 3월 포네몬 연구소가 전 세계 에너지 기관·기업 1,092 곳을 대상으로 진행한 조사에 따르면, 응답자의 66%가 산업제어시스템이 디지털화됨에 따라 효용성은 높아졌지만 보안성은 더 떨어졌다고 대답했고, 68%는 보안 분석에 대한 필요성을 느끼고 있으나 활용에 어려움이 있다고 답했다. 또한, 응답자의 55%는 기관·기업 내부에 사이버 위협을 관리 할 전문가가 없다고 답변해 산업제어시스템을 노린 사이버 공격에 대한 대처 능력이 부족한 것으로 나타났다.
반면, 공격자들은 산업제어시스템을 노리는 강력한 악성코드를 지속적으로 선보이며, 점점 지능화된 공격을 감행하고 있다. 올해 6월 초 발견된Industroyer 악성코드가 대표적이다. 이셋코리아에 따르면, Industroyer 악성코드는 변전소 스위치와 회로 차단기를 실제로 통제할 수 있으며, 전력 공급 인프라, 교통 통제 체계 및 다른 중요한 인프라에서 사용되는 산업 통신용 프로토콜을 사용하기 때문에 다양한 산업제어시스템의 동작에도 영향을 줄 수 있는 것으로 나타났다.
많은 보안전문가들은 아직도 상당수의 기관·기업들이 산업제어시스템이 폐쇄 시스템으로 구축되어 있어 공격에서 안전할 것이라는 막연한 기대감을 가지고 있지만, 이미 많은 부분에서 폐쇄망이 인터넷에 연결되어 있고, 공격자들이 인터넷에 연결된 외부 시스템과 폐쇄된 내부 망의 접점에서 발생할 수 있는 보안상 허점을 이용해 폐쇄망을 공격한 사례가 수 없이 발견되고 있다며, 산업제어시스템을 노린 사이버 위협에 대한 경각심을 가져야 한다고 강조하고 있다.
산업제어시스템은 보통 외부와 연결되지 않은 폐쇄망에서 운영되지만, 시스템 업그레이드나 원격제어를 위해 인터넷 환경에서 파일 전송 시 사용되는 TCP/IP 프로토콜을 사용하는 경우가 적지 않다. 또한, 시스템에서 생성되는 데이터를 실시간으로 확인하여 운영 편리성과 민첩성을 높이기 위해, 인터넷에 연결하는 상황도 늘어나고 있다. 즉, 산업제어시스템 환경이 점점 개방적으로 변화하고 있기에 기존의 폐쇄형 보안 정책으로는 산업제어시스템의 안전을 보장할 수 없다는 것이다.
특히, 최근에는 랜섬웨어 위협이 산업제어시스템까지 확산되고 있어 이에 대비해야 한다는 목소리도 높아지고 있다. 포티넷에 따르면, 공격자들은 ICS/SCADA 네트워크와 동일한 테스트 환경을 제공해주는 서비스를 통해 탐지되지 않는 특정 랜섬웨어를 제작하는데 몰두하고 있다. 주요 사회기반 시설과 밀접히 관련되어 있어 공격 발생 시 국가 시스템을 뒤흔드는 혼란이 일어날 수 있는 산업제어시스템의 특성 상, 기존 랜섬웨어 공격에 비해 더 높은 몸값을 요구할 수 있기 때문이다.
산업제어시스템 초기 설계 당시 보안성을 고려하지 않았기에 수 많은 취약점이 존재할뿐더러, 취약점에 대한 패치가 빨리 나오지 않는다는 사실 역시 큰 문제로 지적되고 있다. 미국 국토안보부가 발간한 ICS-CERT 보고서에 따르면, 2010년부터 2015년까지 발견된 산업제어시스템(ICS) 취약점 수는 1천400개 이상이었다. 또한, 파이어아이 조사에 의하면, 2000년 이후 발견된 ICS 취약점의 1/3은 보안 패치도 없는 것으로 나타났다.
또한, 트렌드마이크로와 제로데이이니셔티브가 2015년부터 2016년까지 나온 취약점을 분석한 ‘스카다 HMI 보안 취약점 동향 보고서’에 따르면, 산업제어시스템보안 취약점 패치가 나오는 데 무려 143일이라는 시간이 걸리며, 패치가 나와도 설치를 하지 않아 취약점이 그대로 노출된 경우가 적지 않은 것으로 드러났다. 트렌드마이크로는 모든 제조사가 패치를 늦게 내놓는 것은 아니지만, 대기업인 ABB, GE조차 패치를 내 놓는 데 평균 220일이 걸리는 등 빠른 대응이 이뤄지지 않다고 지적했다.
공격자들이 산업제어시스템의 취약점과 함께 사람의 허점을 노려 공격을 감행하고 있다는 사실 역시 주목할 만하다. 업무 편의를 위해 인터넷 망에서 다운로드 받은 파일을 USB를 이용해 폐쇄망 PC에 옮기거나, 외주 인력에게도 망간 자료 전송 권한을 부여하는 등 내부자의 부주의나 실수, 명확한 보안 지침 부재로 인한 사고가 실제로 빈번하게 일어나고 있다. 이란 원자력 발전소를 마비시킨 ‘스턱스넷’ 악성코드 역시 감염된 USB를 이용한 한 직원의 실수에 의해 유입된 사실이 밝혀진바 있다.
산업제어시스템을 노린 사이버 공격, 어떻게 대처할까
산업제어시스템을 노린 공격에 유연히 맞서기 위해서는 어떠한 노력이 요구될까? 많은 보안전문가들은 산업제어시스템 보안의 기술적인 요소를 따져보면, 악성코드 침입을 차단하고 외부 C&C 공격을 제어하며 의심스러운 접근이나 정보유출을 감시한다는 점에서 기존 IT 시스템과 큰 차이는 없지만, 서비스 연속성이 중요시되고 시스템 변경이 매우 어려운 산업제어시스템의 특성을 고려할 때, 산업제어시스템에 최적화된 보안관리체계 구축이 우선적으로 이루어져야 한다고 강조하고 있다.
SK인포섹의 김계근 이사는 각각의 산업제어시스템마다 특징이 있기 때문에 단일한 표준을 적용하는 것은 불가능하다며 대신 산업별 특성을 반영한 보안 방법론을 마련할 것을 강조한다. 예를 들어, 화학 공장에서 보안 패치를 하기 위해 시스템을 잠시 중단했을 시 원료가 굳어 파이프에 붙어버린다면 이를 분해하고 청소해 재가동시키기까지 일주일 이상의 시간이 걸릴 수 있는데, 일주일 동안 시스템이 중단되면 엄청난 손실이 일어날 수 있기 때문에 기존의 보안 방법론을 적용해서는 안 된다는 것이다.
취약점을 발견하고 패치하는 선순환이 이뤄지지 않는 구조적인 문제점을 따져보아야 한다는 목소리도 높아지고 있다. 보안 업체 클래로티 창업자 갈리나 안토바는 산업제어시스템을 패치하는 것은 일반 PC의 윈도우를 패치하는 것만큼 간단하지 않으며, 단 한 순간이라도 시스템이 멈추거나 패치 후 오류가 발생하면 큰 문제가 발생할 수 있기 때문에, 패치를 위해 시스템 가동을 멈추기보다는 운이 좋으면 일어나지 않을 사이버 공격에 대한 위험을 감수하고 있는 운영자들이 많다고 설명한다.
◉ 산업제어시스템에 의해 통제되는 기기 및 자산 상당수가 매우 오래 전에 보안 패치를 전혀 염두에 두지 않고 만들어졌다. 아직도 XP와 NT 버전 윈도우를 사용하는 기계들이 많다. ◉ 2-30년 전 기계 설계 분야에는 디지털 보안이란 개념이 아예 존재하지 않기 때문에, 패치 시스템은 물론 아예 사용자 인증, 비밀번호 입력 등의 보안 기능 자체가 없는 산업제어시스템이 상당수이다. ◉ 특정 장소에 위치하는 것이 아닌 산업제어시스템도 존재한다. 예를 들어, 석유 탐사정의 경우 3-5년에 한번 항구에 정착하는데, 이는 즉 3-5년에 한 번, 중요한 패치부터, 서로 충돌하지 않게 해야 한다는 것을 의미한다. |
<산업제어시스템 취약점 패치를 어렵게 만드는 장애물들>
안토바는 산업제어시스템 취약점 패치를 어렵게 만드는 장애물들이 존재하는 만큼, 장기적인 취약점 패치 계획에 기반해 산업제어시스템의 보안 수준을 차근차근 높여나갈 것을 권고하고 있다. 안토바는 모든 장비를 새로 교체하거나 한번에 여러 취약점을 패치하는 것은 현실적으로 어려운 것이 사실이라며, 특정 취약점을 패치하거나 장치를 업그레이드했을 때 전체 보안 수준이 얼마나 높아질 수 있는지를 측정해, 위협 수준을 많이 낮출 수 있고 패치가 가능한 취약점부터 먼저 패치하라고 설명한다.
◉ 산업 별 보안 표준을 기준으로 잘못 구축되거나 환경 설정이 잘못된 부분은 없는 지 주기적으로 점검해 ‘보안의 위생 수준(cybersecurity hygiene)’을 높여라. ◉ 산업제어시스템 내의 모든 자산을 파악하고 취약점을 분석해 가장 치명적이고 위험한 취약점부터 패치를 시작하라. 이후 서서히 덜 위험한 취약점들을 차례대로 패치하라. ◉ 단, 패치로 모든 보안 문제를 해결할 수 있다는 생각을 가져서는 안 된다. 지속적으로 산업제어시스템의 보안성을 높이는 데 힘을 기울여라. |
<산업제어시스템 취약점, 어떻게 패치할까>
파이어아이 역시 설비자동제어장치(PLC), 전력자료취득장치(RTU) 등 산업·제조 현장에 설치된 상당수의 시스템이 처리 능력 및 메모리가 부족해 이를 노린 사이버 위협에 쉽게 뚫릴 수 있다며, 낙후된 시스템과 네트워크 연결을 최소화하도록 방화벽 규칙을 구성하거나, 하드웨어를 업그레이드해야 한다고 제언한다. 특히, IoT검색엔진 ‘쇼단’에서 쉽게 찾을 수 있을 정도로 인터넷 연결성이 높은 설비자동제어장치(PLC)는 랜섬웨어 공격 대상이 될 가능성이 특히 많아, 보다 깊은 주의가 요구된다.
산업제어시스템에서 발생하는 사이버 보안 사고의 상당수가 사람과 연관되어 있는 만큼, 모든 구성원의 보안 인식 수준을 높여야 한다는 의견도 큰 공감을 얻고 있다. 미국 국토안보부가 발간한 ICS-CERT 보고서에 따르면, 산업제어시스템 환경에서 일어난 사고의 40%는 사람에 의해 발생했다. 샤문 공격을 받아 3만 5천여대의 IT 시스템이 일제히 정지되는 피해를 입었던 세계 최대 석유회사 사우디 아람코 사고(2012년)가 대표적으로, 공격의 최초 발생지는 한 기술자에게 전송된 악성 이메일이었다.
카스퍼스키랩은 안전하지 않은 산업제어시스템 설계와 부족한 보안 인식이 결합하면 최악의 상황이 벌어질 수 있다며, 조직 경영진부터 일반 직원에 이르기까지 모든 구성원들이 사이버 보안 원칙을 준수하는 기업 문화를 조성해야 한다고 강조한다. 산업제어시스템을 노린 사고가 발생하기까지의 경로를 역추적해보면, 사고 전에 보고는 되었지만 시정되지 않았거나 혹은 너무나 사소해 보여 지나쳐버린 허점이 쌓여 사고가 일어나는 사례가 결코 적지 않기 때문이다.
◉ 제어실 서버 또는 워크스테이션에 인터넷을 연결하고 야간근무를 하면서 웹 서핑을 한다. ◉ 확인되지 않은 웹사이트에서 SCADA/HMI 서버로 음악이나 게임을 다운로드한다. ◉ 개인 스마트폰을 필수 시스템에 연결한다. ◉ 기술 웹사이트에 질문을 올리면서 ICS 네트워크 토폴로지를 공유하거나 접근 정책 및 기술 방법과 관련된 중요한 세부 사항을 무심코 누설한다.
|
<산업제어시스템의 보안성을 떨어뜨릴 수 있는 사소하지만 위험한 행위들>
파이어아이는 산업제어시스템의 사용자 인증 체계를 보완해야 한다고 강조한다. 일반적으로 암호를 사용해 사용자 인증이 이뤄지는데, 이 암호들이 공개적으로 사용할 수 있는 하드코딩된 암호이거나, 쉽게 해독·복구 가능한 형태인 까닭에 이 암호들을 쉽게 취득해 시스템 공정을 원격에서 조작하는 것이 가능하다는 설명이다. 일례로 지난해 9월, 한 연구원이 하드코드와 기본 암호를 공개적으로 열람할 수 있도록 관리해, 공격에 노출된 사건이 있었다.
많은 산업제어시스템 프로토콜이 이 데이터가 신뢰할 수 있는 곳에서 온다는 것을 보장하는 인증 없이 작동되고 있다는 점 역시 문제로 지적된다. 파이어아이는 최근 발간한 ‘인프라에 악영향을 미칠 수 있는 산업 현장의 6가지 문제’ 보고서를 통해, 산업제어 프로토콜에 인증 체계가 없다면, 밸브·스위치 등의 설정 값을 바꾸거나 물리적 공정을 변경하는 명령을 보내, 제품을 손상시키고 플랜트 설비를 파괴하며 사람에게 해를 가하는 것이 충분히 가능하다며 그 위험성을 경고했다.
◉ 내부의 산업제어시스템 장치 목록과 하드코딩된 암호가 있다고 알려진 장치 목록을 대조하고, 암호의 취약성을 악용하려는 시도가 있는 지 로그와 트래픽을 모니터링하라. ◉ 공정 제어 네트워크에서 사용 중인 인증되지 않은 프로토콜을 모두 확인해 취약점 수준을 파악하고, 현재 사용 중인 장비가 인증 옵션을 지원할 수 있는지를 평가하라. |
<사용자 인증 및 산업제어시스템 프로토콜 인증 문제, 어떻게 해결할까>
산업제어시스템 제어·관리에 많은 서드파티 소프트웨어가 사용되는 만큼, 이에 대한 철저한 관리가 요구된다는 목소리도 높아지고 있다. 파이어아이의 사이버 공격 분석가인 맥브라이드는 대부분의 산업제어시스템 관리자가 사용하고 있는 서드파티 소프트웨어가 무엇인지 파악하거나 정기적으로 관리하지 않는 경향이 있는데, 이러한 허점을 파악한 공격자가 산업제어시스템에 사용되는 서드파티 소프트웨어를 공격의 경로로 이용할 가능성이 높다고 설명했다.
세상의 모든 것이 디지털화되고 있다…이에 대한 준비는 충분한가?
<‘생존만으로는 충분하지 않습니다. 당신이 가장 그리워할 문명의 흔적은 무엇인가요?’. 소설 ‘스테이션 일레이븐’ 속 생존자들은 한 때 공항 라운지였던 장소에 아이폰, 노트북, 신용카드, 신문, 하이힐 등 더 이상은 누릴 수 없는 문명의 흔적을 전시하는 ‘문명 박물관’을 운영한다>
“고도로 발달한 과학은 마법과 구별이 가지 않는다.” 영국의 저명한 SF작가 아서 C. 클라크(Arthur C. Clarke)는 상상 속에서만 존재했던 과학 기술이 언젠가는 현실화될 수 있다며, 가능과 불가능의 경계를 나누지 말고 무한한 상상력을 펼치라는 얘기를 남긴 바 있다. 실제로 그가 예측했던 미래 기술은 인터넷의 탄생부터 시작해 우주 정거장, 인공위성을 이용한 통신, 핵 연료를 쓰는 우주선 그리고 인간을 능가하는 인공지능까지 몇 십 년에 걸쳐 하나 둘씩 실현되며 우리 삶으로 들어왔다.
이러한 미래 기술들이 장시간에 걸쳐 현실로 이뤄졌다면, 반대로 사라지는 것도 가능하지 않을까? 산업제어시스템을 비롯한 세상의 많은 개체들이 디지털화되고 있는 지금, ‘스테이션 일레이븐’에서 등장한 가상의 전염병인 ‘조지아 독감’은 ‘사이버 위협’이라는 모습으로 출현해 우리 삶과 현대 문명의 근간을 뒤흔들지도 모른다. 유기적으로 연결된 시스템에 대한 의존도가 높아진 만큼, 이를 노리는 사이버 공격이 성공할 시에는 그 피해가 수 많은 사람들에게 급속도로 확산될 수 있기 때문이다.
그리고, 도시 행정에 활용되는 산업제어시스템을 노리는 사이버 위협은 그 무엇보다 위력적이다. 수 많은 사람들의 생활과 밀접히 연관되어 있는 산업제어시스템의 특성상, 아주 사소해 보이는 취약점을 통해 국가 안보와 국민 안전에 영향을 미치는 치명적인 위험이 발생할 수 있기 때문이다. 선제적인 산업제어시스템 보안 체계 구축을 통해, 오늘날 우리가 아무런 의식 없이 향유하고 있는 안전하고 편리한 미래 도시의 혜택을 지속적으로 누릴 수 있었으면 하는 바램이다.