[산업제어시스템 보안]망분리했는데..."60~70%에서 외부 접점 발견"

인터넷 망과 제어망을 완벽하게 분리해 사이버 공격 위험을 제거했다고 믿는 조직 60~70%가 외부와 접점이 있었다. 망분리만으로 산업제어시스템을 노린 사이버 공격을 막는 건 한계가 있다.

전자신문은 지난 18일 양재동 엘타워에서 '2017 산업제어시스템 보안 콘퍼런스'를 개최했다. 이날 보안전문가들은 “산업제어시스템 운영기관이나 기업은 '망분리 맹신'이 강하다”면서 “망분리 이외의 보안 대책을 강구해야 한다”고 입을 모았다. ICS를 노린 랜섬웨어도 나타나 대책마련이 시급하다.

18일 서울 양재동 엘타워에서 전자신문 주최로 열린 '2017 산업제어시스템 보안 콘퍼런스'에서 참석자들이 4차 산업혁명시대를 앞두고 산업제어시스템 보안 방안 발표에 집중하고 있다.
윤성혁기자 shyoon@etnews.com
<18일 서울 양재동 엘타워에서 전자신문 주최로 열린 '2017 산업제어시스템 보안 콘퍼런스'에서 참석자들이 4차 산업혁명시대를 앞두고 산업제어시스템 보안 방안 발표에 집중하고 있다. 윤성혁기자 shyoon@etnews.com>

◇취약점 급증한 산업제어시스템

파이어아이는 2000년 이후 15년간 주요 기반시설 ICS에서 1600개에 달하는 보안 취약점을 발견했다. 이중 3분의 1은 보안 패치가 없다. 윤삼수 파이어아이 전무는 “ICS 취약점 연구는 2010년 이란서 스턱스넷 악성코드가 발견된 후 활발하게 진행됐다”면서 “그동안 몰랐던 ICS 취약점을 찾아내 기하급수적으로 증가했다”고 설명했다.

파이어아이 아이사이트 인텔리전스 집계에 의하면, 2000년 1월부터 2010년 12월까지 공개된 취약점은 149건이었는데 2016년 4월 취약점은 1552건으로 늘어났다. 윤 전무는 “ICS 취약점 절반 이상(58%)이 ICS 아키텍처 중 두 번째 구역(SCADA Zone)에서 발견됐다”면서 “두 번째 구역 취약점은 실제 공격에 이용되면 심각한 침해를 초래한다”고 덧붙였다. 인간기계인터페이스(HMI)와 엔지니어링워크스테이션(EWS)과 같이 프로세스를 직접 제어하는 장비가 ICS 두 번째 구역에 위치한다. 이들 장비 중 하나라도 공격자에게 권한이 넘어가면 모든 프로세스를 통제할 수 있다. 실제로 2014년 12월 우크라이나 전력 회사 공격에서 해커는 HMI에 접근해 스위치와 액추에이터를 제어했다.

윤 전무는 “ICS 취약점이 악용된 실제 공격 5건은 국가지원 해커 조직과 연관이 있다”면서 “공격은 지능화하는데 ICS는 출하시 설정된 허술한 ID와 비밀번호를 쓰고 보안이 취약한 낙후한 소프트웨어와 하드웨어에 의존한다”고 지적했다.

윤삼수 파이어아이 코리아 전무가 '플랜트 현장은 어떻습니까? 산업 환경에 대한 여섯가지 파괴적인 문제'에 대해 발표했다.
윤성혁기자 shyoon@etnews.com
<윤삼수 파이어아이 코리아 전무가 '플랜트 현장은 어떻습니까? 산업 환경에 대한 여섯가지 파괴적인 문제'에 대해 발표했다. 윤성혁기자 shyoon@etnews.com>
[산업제어시스템 보안]망분리했는데..."60~70%에서 외부 접점 발견"

◇ICS 표적 랜섬웨어 공격 거세

ICS를 노린 랜섬웨어도 증가추세다. 지난 6월 우크라이나 발전소와 주요 시설이 '페트야' 랜섬웨어에 감염됐다. 페트야는 랜섬웨어 모습을 했지만 데이터 파괴가 목적이다.

NSHC는 ICS에서 주로 사용하는 프로그램 가능 논리 제어 장치(PLC)를 탈취하고 암호화하는 랜섬웨어를 경고했다. 공격자는 인터넷에 연결된 주요기반시설을 찾아낸 후 PLC 랜섬웨어를 감염시킨다. PLC 랜섬웨어는 피해자가 감염사실을 알고 복구하는 것을 방지하기 위해 암호설정을 바꿔 접근을 차단한다.

이승준 NSHC 팀장은 “PLC 랜섬웨어는 본래 PLC에 있는 기본 보안 기능을 이용해 잠금 암호를 공격자가 지정한 것으로 바꾼다”면서 “PLC에 설정된 IP주소와 포트 번호를 변경한다”고 설명했다. 이렇게 하면 기존에 설정한 시스템이 서로 연결되지 않아 잠금과 비슷한 효과를 얻을 수 있다. PLC 프로그램이나 데이터를 암호화하거나 데이터를 무작위로 변경한다.

◇ICS 설계부터 보안 고려해야

급증하는 사이버 위협에서 ICS를 보호하려면 신규 구축 시점부터 보안을 고려해야 한다. 기존에 운용 중인 ICS는 보안을 적용하기 힘들다. 4차 산업혁명 시대를 앞두고 새로 구축되는 ICS는 보안을 먼저 고려한 후 운영해야 사이버 침해사고를 최소화한다. 미국은 정부 주도로 운용 중 ICS 취약점 분석과 컨설팅을 수행한다. 국제표준단체(ISA) 산하 협회(ISCI)가 주도해 제어시스템 인증 프로그램을 운영한다. 민간에서도 인증 프로그램을 마련했다. 일본은 2012년 제어시스템보안센터(CSSC)를 설립하고 인증 프로그램을 시작했다.

국가보안기술연구소는 ICS 보안 요구사항을 △제어관련기기와 △운용보안대책으로 구분했다.

이종후 국가보안기술연구소 박사는 “제어 하드웨어와 소프트웨어, 스마트 현장장치, 제어용 보안장치와 네트워크 장비 등의 보안 기능과 취약점을 점검해야 한다”면서 “ICS 안전 운용을 위한 기술, 관리, 물리적 대책도 포함된다”고 말했다.

[산업제어시스템 보안]망분리했는데..."60~70%에서 외부 접점 발견"

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

위방향 화살표