보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

블록버스터급 사이버 공격, 그 실체와 보안 대책은?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-01-04

2010년 9월, 이란 핵 시설을 마비시키기 위한 미국의 스턱스넷 공격이 있었다. 이에 대한 반격으로 2013년 이란이 미국 뉴욕 인근의 댐 관리 시스템에 침입한 사실이 2015년 12월 뒤늦게 밝혀졌다. 이를 계기로 산업제어시스템의 보안에 대한 문제가 전세계적인 화두가 되고 있다.

 

악성 소프트웨어 역사상 최대의 기술적 블록버스터라고 불리는 이 문제를 해결하기 위해 산업제어시스템이란 무엇이며 어떠한 공격이 있고, 신뢰할만한 보안 대책은 무엇인지 살펴보자.

 

산업제어시스템 개요 및 공격 사례

산업제어시스템(ICS: Industrial Control System)은 해저 시추, 가스 및 전기 분배, 하수 처리, 정유, 수도, 교통 등의 국가 주요 기반 시설 및 산업 분야에서 원거리에 산재된 시스템의 효과적인 원격 모니터링 및 제어를 위해 필수적으로 사용되는 컴퓨터 기반의 시스템을 말한다.

 

산업제어시스템은 안전 및 보안상의 이유로 인터넷에 연결되지 않은 분리된 망에 중요 시스템을 위치시키는 형태로 구성한다. 따라서 인터넷에 존재하는 다양한 사이버 보안 위협들의 영향에서 벗어나 있다고 오랜 세월 생각해되었지만 시스템 유지보수를 위한 제한적인 네트워크 연결, 원격 접속, 취약점을 갖고 있는 물리적 장치와의 접촉 등으로 인해 사이버 공격에 더 이상 예외일 수 없게 됐다.

 

  

 [그림1] 대표적인 산업제어시스템 사이버공격 사례

 

산업제어시스템을 타깃으로 한 대표적인 공격 사례는 다음과 같다.

 

-2000년, 퇴사한 직원이 무선 네트워크를 이용하여 호주 퀸즈랜드의 폐수처리 제어 시스템을 해킹하여 오작동 유발, 세 달 동안 총 46차례 해킹하여 80만 리터의 폐수 무단 방출

-2003년, 미국 오하이오 주 데이비스-베시(Davis-Besse) 원자력발전소가 내부는 방화벽으로 보호되고 있었지만 설계사의 회사 네트워크에서 발전소로 원격 접속이 가능한 허점을 이용하여 슬래머 웜(Slammer Worm)에 감염. 원전 비안전 계통 신호 이상이 발생하여 원자력발전소 가동 중지

-2004년, 슬래머 웜에 의한 스카다(SCADA) 시스템 감염으로 8시간 동안 해양 설비 플랫폼(Offshore Production Platform) 가동 중단. 생산 중단 및 재가동으로 약 1,200만 달러의 손실 발생

-2005년, 다임러크라이슬러(DaimlerChrysler)의 미국 공장 시스템에서 사용 중인 마이크로소프트(Microsoft)의 Windows 2000 서버와 XP가 조톱 웜(Zotob Worm)에 감염되어 자동차 제조 공장 13곳 모두 1시간 가량 운영 중단.

-2010년, 이란 나탄즈(Natanz) 우라늄 농축시설 시스템의 유지보수를 위한 데스크톱이 유지보수 업체 직원의 실수로 스턱스넷에 감염되면서 IR-1 타입 원심 분리기 1,000여개 고장 및 교체

-2011년, 미국 일리노이주 스프링필드 외곽의 상수도 시설에 원격 접속이 가능한 점을 악용한 해킹으로 제어 펌프에 장애 발생

-2012년, 사우디아라비아의 정유회사인 아람코(Aramco)가 샤문(Shamoon)이라는 이름의 악성코드 감염으로 네트워크 마비

-2012년, 카타르에서 두 번째로 큰 LNG 생산 시설인 라스가스(RasGas)가 알 수 없는 악성코드 공격에 의해 네트워크 마비

-2012년, 스카다 시스템 업체 텔벤트(Telvent) 제품에 악성코드가 삽입

-2013년, 마약 및 총기 밀수에 악용할 목적으로 벨기에 앤트워트항 콘테이너 관리 시스템 해킹

-2013년, 전쟁 대피소로 사용되는 이스라엘 카멜(Carmel) 터널 개폐 장치 해킹으로 악성코드 감염, 이틀간 엄청난 교통 혼잡 발생

-2014년, 일본 몬주 원자력발전소 내부 작업자가 동영상 재생 프로그램을 업데이트하던 도중 악성코드에 감염, 42,000개 이상의 직원 개인 정보 노출

 

산업제어시스템의 특성

산업제어시스템에 대한 사이버 공격을 막으려면 어떻게 해야 할까? 우선 산업제어시스템이 일반 IT 시스템과 다르다는 것을 알아야 한다. 차이점을 인지한 후에는 산업제어시스템만의 특화된 보안 체계를 수립해야 한다. 

 


[표1] 산업제어시스템과 IT 시스템의 차이점

 

산업제어시스템의 보안

산업제어시스템도 결국은 컴퓨터를 사용하여 정보를 처리한다는 점에서 정보시스템(IT)과 다르지 않다. 다만 일반적인 IT 시스템은 정보를 효율적∙효과적으로 처리하기 위해 물리적인 설비(컴퓨터 하드웨어)를 이용하지만 산업제어시스템은 물리적인 설비를 효율적∙효과적으로 처리하기 위해 정보를 이용한다는 것이 가장 큰 차이점이라 할 수 있다.

 

산업제어시스템의 보안을 효과적으로 이행하려면 이러한 목적과 위험이 미칠 수 있는 영향 수준의 차이를 고려해야 한다. 목적의 차이를 고려하여 기밀성, 무결성, 가용성을 보호하는 IT 환경에서의 보안 패러다임과는 달리, 안전성(Safety), 신뢰성(Reliability), 가용성(Availability)을 우선적으로 고려하는 보안 패러다임의 전환이 필요하다.

 

또한, 산업제어시스템의 경우 이를 통하여 제어되는 설비가 실제 환경에 미치는 경제적∙환경적인 영향이 매우 광범위하기 때문에 보안에 대한 보증 수준 역시 매우 높게 요구된다는 것을 고려해야 한다. 현재에도 산업제어시스템을 구성하는 소프트웨어 및 하드웨어를 설계, 구현할 때 철저한 V&V(Verification & Validation)를 통하도록 요구되고 있는 것처럼, 보안에 대한 요구 수준 또한 높아야 할 것이다.

 

이처럼 산업제어시스템의 특성과 고유의 위험에 대해 식별하고 이해를 한다고 해도 실무적인 관점에서 보안을 계획할 때에는 고민이 될 수밖에 없다. 소프트웨어 공학에서와 마찬가지로 정보보호 활동 역시 모범 규준(Best Practice)을 기반으로 계획을 수립하는 것이 유효하기 때문에, 잘 정리되어 있는 국내외의 표준 및 규제를 참조 할 수 있다. 특히, 우리나라보다 앞서 이러한 문제에 직면한 미국이나 유럽의 경우 기존 IT 시스템과 다른 단말 환경 및 보안 목표 등의 특성을 고려한 별도의 표준이나 강제력 있는 규제를 제정하여 관리하고 있어 이를 참조하는 것을 권고한다. 「NIST, SP 800-82 Guide to Industrial Control Systems (ICS) Security」, 「NERC(North American Electric Reliability Corporation), CIP(Critical Infrastructure Protection)」, 「AGA(American Gas Association), Report No.12」, 「IAEA(International Atomic Energy Agency), NSS(Nuclear Security Series) No.17」 등 산업제어시스템에 특화된 규제 및 표준을 그 예로 들 수 있다.

 

최근 수력 원자력 해킹 사건 등을 겪으며 우리나라에도 산업제어시스템에 대한 강제력 있는 규제와 가이드라인, 전용 보안 백신에 대한 필요성이 대두되고 있다. 이런 흐름에 발맞춰 지난 해 11월, KINS/RG-N08.22(디지털 계측 및 제어장치의 사이버보안)가 개정되어 실무적으로 활용 가능한 수준으로 요건이 구체화됐다. 이는 국내의 원자력안전법에 따라 규제기관인 KINS(원자력안전기술원)에서 관리하고 있는 규제 지침이다. 지침은 “사이버보안 조직의 구성, 필수디지털장치의 식별 및 분석, 심층방어 보호전략, 사이버 침해행위의 발생 가능성과 계측 및 제어장치의 기능적 중요도를 고려한 사이버보안 수준, 사이버 침해행위의 탐지•방어•지연•완화 및 복구를 포함하는 보안 통제수단”을 비롯한 사이버 보안 대책의 이행 및 유지를 요구하고 있다. 또한, 2015년 12월 1일, 일부 개정되어 2016년 6월 2일 시행이 예정된 「원자력시설 등의 방호 및 방사능 방재 대책법」에서는 법률에 "전자적 침해 행위", "원자력 시설 컴퓨터 및 정보 시스템"의 정의를 신설하고, 정부 및 원자력사업자가 각각 원자력시설 컴퓨터 및 정보시스템 보안을 강화하기 위한 시책 및 규정을 마련하도록 하는 등 사이버 보안에 대한 제도적인 강화가 이뤄지고 있다.

 

이러한 제도 아래 관리적 관점과 기술적 관점에서의 보안 계획 수립이 필요하다. 관리적 관점에서는 산업제어시스템의 사이버 보안에 대한 명확한 역할과 책임의 정의, 시스템별 관리, 사전 보안 정책 수립, 사전 교육의 수행 등이 있다. 특히, 기존 인원들에 대한 보안 인식 제고를 위하여 사이버 보안 인식 교육 및 훈련 프로그램을 수립하고 운영하는 것이 무엇보다 중요하다고 할 수 있다. 계획 수립 시 「NIST 800-50 Building an Information Technology Security Awareness and Training Program」 등을 참조할 수 있다.

 

기술적 관점에서는 침입 탐지 시스템의 설치 및 사고 모니터링 실시, 외부 연결 접점에 대한 식별 및 보호, 매체 통제, 제어 시스템에 제공되는 보안 기능 적용, 보안 프로토콜 적용 등을 고려할 수 있다.

 

특히 기술적 관점의 보안 대책은 산업제어시스템만의 특화된 구현이 필요하다. 앞서 살펴본 것처럼 IT 시스템과는 달리 안전성, 신뢰성, 가용성을 보호 목표로 하는 대책을 구현할 필요가 있으며, 기존의 보호 대책보다 효과적인 대책 구현이 필요하다. 다행스럽게도 산업 제어 시스템은 다양한 기능을 수행하는 IT 시스템과 달리 정해진 기능을 수행하는 것에 맞춰져 있기 때문에 화이트리스트 기반의 보안 기술(Positive Security Model) 적용이 가능하여 블랙리스트 기반의 보호(Negative Security Model) 기반보다 효과적으로 보호 대책의 구현이 가능하다는 것이 전문가들의 견해다.

 

화이트리스트 기반의 보안 기술은 제어 시스템 대상의 악성코드와 같은 특화된 위협에 효과적인 대응 방안으로 주목 받고 있는 기술이다. 기존 블랙리스트 기반의 보안 솔루션이 모든 프로그램을 허용하고 블랙리스트에 속한 악성코드 등에 대응하는 솔루션인 반면에 화이트리스트 기반의 보안 기술은 허용된 프로그램만 실행 가능하도록 한다. 따라서 신∙변종 악성코드나 운영 담당자의 오남용(불필요한 프로그램 설치, 운영체제의 안전하지 않은 설정 등) 등 시스템에 침해를 줄 수 있는 행위 차단이 가능하다. 또한 화이트리스트 기반의 보안 기술은 많은 종류의 제로데이 공격을 방지할 수 있다. 그리고 산업 제어 시스템의 위협은 IT 시스템과의 연계가 증가하면 할수록 증가하므로 IT 시스템과 연계에 승인된 이동 매체와 승인된 IP/포트만 사용을 허가하도록 한다. 특히 USB를 통한 악성코드 감염을 방지하기 위해 USB 사용 시 자동적으로 저장 데이터에 대한 악성코드 감염 여부를 확인할 수 있도록 하는 보호 대책의 구현 또한 가능하다.

 

국내에서도 화이트리스트 기반의 보안 제품이 효과적인 대안으로 주목 받고 있다. 화이트리스트 기반 보안 제품 중에 하나인 AhnLab EPS 역시 지속적인 연구 개발과 검증을 통해 다양한 기반 시설에 도입되면서 긍정적인 효과를 보이고 있다.  

 


[2] 화이트리스트 기반의 AhnLab EPS 도입 효과 

산업제어시스템이 사용되는 기반 시설이나 시스템이 미치는 영향력은 광범위하다. 만약 사이버 공격으로 정상적인 기능 수행에 문제가 발생하면 수많은 사람들의 안전에 큰 타격을 입힐 수 있다. 뿐만 아니라 생산성 손실에 따른 경제적 타격으로 국가 경제에 부정적인 영향을 미칠 수도 있다. 따라서 산업 제어 시스템 환경에 적합한 보안 기술에 대한 끊임없는 연구와 개발로 취약점을 최소화하여 불의의 사고가 발생하지 않도록 항상 주의해야 할 것이다.

 

 

 

[참고 문헌

[1] 박선필, 박경용/AhnLab, CERT Report, 2015.06 

 

  • AhnLab 로고
  • 제품기획팀 이지훈 차장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.