<특집: 제어 시스템 사이버 보안 대책의 현황과 과제>제어 시스템 보안의 동향과 전망 > 전체기사

전체기사
Monthly Magazine of Automatic Control Instrumentation

기획특집 <특집: 제어 시스템 사이버 보안 대책의 현황과 과제>제어 시스템 보안의 동향과 전망

페이지 정보

작성자 댓글 0건 조회 5,361회 작성일 21-02-04 15:25

본문

그림 11)Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon

(Kim Zetter, 2014년 Crown 발간표지 



서론

본고에서는 사이버 공격을 중심으로 한 관점에서 산업용 제어 시스템(이하 ICS라고 함)의 보안에 대한 현황과 향후 전망을 대략적으로 살펴보도록 한다.


내용의 주요 골자는 JPCERT 코디네이션 센터가 개최하는 올해의 제어 시스템 보안 컨퍼런스에서 필자가 강연했던 내용을 기반으로 작성한 것이다. 강연에서 출판까지 시간이 흐르면서 내용에 오래된 부분이 없도록 하기 위한 목적도 있으며 중장기적인 동향으로서 주목해야 할 사항에 초점을 두고 설명한다.


아래에서는 2020년에 ICS 보안 동향 상 고비를 맞이하였다는 역사적인 위치에 대한 확인을 비롯하여 2019년에 공개된 ICS 관련 주요한 사이버 사고 및 취약성의 동향, ICS 보안에 관한 표준화와 인증제도 전개의 순서로 대략적으로 살펴보도록 한다. 또한 보안 피해의 심각화에 따라 관심이 높아지고 있는 사이버 보험의 상황도 소개한다.

 

고비의 해를 맞이한 ‘2020

예정대로 개최되었다면 다양한 사이버 공격의 대상이 될 가능성이 있어서 이에 대한 대책이 추진되었던 도쿄 올림픽패럴림픽은 결국 코로나 19의 유행으로 인해 연기되었으며, 2020년은 다양한 의미에서 ICS 보안에 대한 고비의 해에 해당한다고 할 수 있을 것이다.


ICS에 대한 사이버 공격은 물리적 측면을 포함하여 심각한 피해가 발생할 수 있음을 실험실이 아닌 실제 세계에서 처음으로 보여준 것이 이란의 우라늄 농축 시설에서 발생한 Stuxnet라는 멀웨어 감염이었다. 20207월로 Stuxnet이 발견된 지 10년째가 되었다. StuxnetICS를 공격하기 위해 만들어져 실제로 사용된 최초의 멀웨어이다. 당시 Windows 환경에서의 파격적인 감염력은 물론이고 목표로 한 시설의 설비에서만 공격 동작을 발현하며, 제어 알고리즘을 변경하여 감염을 알아차릴 수 없도록 상당히 오랫동안 장치를 계속해서 파괴시킨 설계의 정교함에 놀랐었다. 일부에서 이전부터 이야기되어 왔던 ICS 보안 대책의 안이함을 Stuxnet이 구체적인 예를 가지고 드러냈다는 점에서 ICS 관계자에 대하여 충격을 주었으며 ICS 보안 대책에 대해 본격적으로 착수하게 만든 계기가 되었다. 그 후 10년 사이에 많은 대책이 추진되었지만 공격 측의 수법도 계속해서 다양해지고 발전되어 현재도 낙관할 수 있는 상황은 아니다. 예를 들면 Stuxnet이 노린 PLC를 제조한 Siemens사에서는 보안을 강화하여 Stuxnet와 같은 공격에 대항할 수 있도록 하였지만 다른 벤더의 PLC에서는 개조한 Stuxnet가 공격할 가능성이 있다는 연구자의 보고가 20201월에 있었다.

 

10년이라는 시간이 지나고 Stuxnet이라는 이름은 들어본 적이 있긴 해도 자세한 내용은 모르는 분들도 많을 것이라 생각된다. 대부분의 정보가 공개되어 있기 때문에 이 고비의 해에 Stuxnet의 공격 수법에 대하여 기술적인 부분에 대해서는 다시 한 번 공부해보시기를 추천 드리고 싶다(그림 1 참조).

 

인터넷에서 컴퓨터를 검색할 수 있는 서비스 Shodan이 개설된 지 10년이 지났다. 구글 검색과 같은 인터넷 검색 서비스에서는 정보 콘텐츠를 찾아낼 수 있는데 비해 Shodan에서는 인터넷에 연결되어 있는 컴퓨터와 컨트롤러를 검색할 수 있다. 예를 들면 벤더와 제품 이름을 키워드로 입력하면 해당 컨트롤러에서 인터넷에 연결되어 있는 것을 볼 수 있다. 미국에 사는 프로그래머 John Matherly가 개인적으로 개발하여 200911월부터 공개한 서비스이다. 공개 직후부터 인터넷에 연결된 ICS에 위협을 가져올 것이라며 미국 국토보안성(이하 DHS)에서 우려를 나타내기도 했다. 그 후에도 특수한 telnet 프로토콜 네고시에이션에 대한 지원과 BACnetModbus, CODESYS IP 프로토콜 상에서 동작하는 ICS용 프로토콜을 지원한 크롤링을 확충하는 등, ICS용 컨트롤러 등에 대한 검색 기능이 강화되어 오늘에 이르렀다(그림 2). 또한 검색된 제품에 대하여 공표된 취약성 목록을 나타내기 위한 인터페이스도 마련되었다. 자신의 시스템에서 보안에 대한 구멍은 없는지 자산 소유자가 확인하는 수단이 되기도 하지만 공격을 위한 힌트를 주는 측면도 함께 가진다. 실제로 상당한 수의 ICS용 기기가 인터넷에 직접 연결되어 있다. 그 중에는 영업 판촉이 목적인 데모 기기나 허니팟도 포함되어 있으며 실제 ICS가 노출되어 버린 경우도 적지 않다. 특히 지리적으로 넓은 지역으로 분산될 수밖에 없는 상하수도나 환경 감시용 ICS 등은 인터넷을 통해 실현되는 경우도 적지 않다고 추측된다. Shodan에서 검색할 수 있게 되어 있지는 않은지 확인하고 VPN 등에 의한 보호 대책이 취해져 있는지 확인하기를 바란다.


최근 몇 년 사이에 생겨난 변화로 군사 전략적인 맥락에서 사이버 공격을 공공연하게 논의할 수 있게 되었다는 점을 들 수 있다. 미국 국방부에서는 2018년 사이버 전략 개정 시에 자유롭게 열린 인터넷의 원칙을 유지하면서도 전면 방어(Defending Forward)와 지속성(Persistence)의 개념을 도입하였다. 이들 개념에 대하여 명확한 정의가 내려져 있지는 않지만, 사이버 공격 시작을 발견한 후에는 실효적인 방어가 어렵다는 점을 감안하여 언제든지 실효적인 사이버 공격이 가능한 상태에 대하여 대비해두어야 하는 억제력에 기대할 수밖에 없다는 개념이다. 이 때문에 사이버 공간의 방어 전략은 공격의 한치 앞에 있도록 앞에 서 있을 뿐이다. 진위는 불분명하지만 러시아의 전력망이나 이란의 병기 시스템에 대하여 미국이 사이버 공격을 한다는 등의 내용이 20196월에 잇달아 보도되었다. 긴박함의 정도는 지정학적인 사정에 의한 지역적인 차이도 크긴 하지만 세계 기업의 27%(미국 기업 36%)2019년에 국가에 의한 사이버 공격을 받았다고 답변했다는 보고서도 있다. 일반적으로 이야기하면 이것이 국제적인 현실이 되고 있다고 할 수 있다. IT 시스템에 비해 ICS에 대한 사이버 공격은 기술적인 문턱이 높기 때문에 실제로 공격할 수 있는 능력을 가진 이는 한정적이긴 하지만, 미국 MITRE가 공표한 사이버 공격에 관한 용어집 ATT&CKICS판에서는 ICS를 노리고 공격 활동을 하고 있는 10개 그룹을 특정하고 각각의 수법과 대상을 설명하였다(그림 3). 물리적인 전쟁과 달리 사이버전쟁의 주요 전장은 중요 인프라와 기간적인 제조 플랜트이며, 기업이나 지방공공단체가 방어의 최전선에 놓여있다는 인식이 중요하다. 2020년은 이러한 사이버 공간에서의 군사적 움직임이 드러나기 시작한 고비의 해라고 할 수 있을 것이다.


49648412021d50a5392e39b93fdb3681_1612419976_94.jpg

그림 2. SHODAN의 ICS용 홈페이지


 

49648412021d50a5392e39b93fdb3681_1612420013_63.jpg

그림 3. ATT&CK for ICS에 열거된 세계 공격 집단



 1) ‘Stuxnet은 미국 정부가 이란의 핵계획에 대하여 만든 디지털 병기였다.’라는 내용이 있다멀웨어로서의 구조에 대해서는 Symantec사 보고서 W32.Stuxnet Dossier에 자세한 내용이 있다.

(https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf) 또한 10주년을 맞아 발견자인 Ralph Langner가 Stuxnet에 대한 언급을 했다.

(https://www.langner.com/2020/07/ the-stuxnet-story/)


..(후략)


宮地 利雄 /(일사)JPCERT코디네이션센터

  본 기사는 2021년 2월호에 게재되었습니다. 

  

-------------------------------------------------------------------------------------------------------------------------

본 기사는 월간지[計側技術] (일본일본공업출판주식회사 발행)로부터 번역·전재한 것입니다.

전체 기사를 보기 원하시는 분께서는 아래 메일 주소로 문의 주시기 바랍니.

autocontrol5@autocontrol5.co.kr / 031-873-5686


제어계측사     대표자  이윤성     사업자등록번호  107-19-58315     TEL  031-873-5686     FAX  031-873-5685
ADD  경기도 의정부시 신흥로258번길 25 해태프라자 1501호      E-mail  autocontrol5@autocontrol5.co.kr
Copyrights ⓒ 2020 제어계측사 All rights reserved.