공장설비나 발전소 등을 제어하는 내부 시스템은 인터넷과 연결된 외부망과는 분리돼 있기 때문에 안전한다는 인식이 오히려 공격을 부르는 위협이 된다.
2010년 이란 핵발전 시설을 마비시켰던 스턱스넷, 2014년 3월 국내에서 발생한 한국수력원자력 해킹을 통한 내부 자료 유출, 2015년 대규모 정전사태를 초래한 우크라이나 발전시설 해킹 사건 등 기반시설을 노린 공격 등은 모두 국가 차원에서 심각한 혼란을 유발할 수 있는 사이버테러로 손꼽힌다. 한수원 사태에서는 다행히 원전이 가동 중단 되는 일은 발생하지 않았으나 이란, 우크라이나에서는 피해가 심각했다.
기간시설에 해당하는 이런 시스템은 인터넷망과는 분리된 별도의 기간시설망/제어망(폐쇄망)을 통해 운영되기 때문에 원격에서 이뤄지는 해킹 위협으로부터 안전한 편이라는 얘기들이 나온다.
그러나 실제로는 여러 경로를 통해 내부 업무망은 물론 폐쇄망을 해킹하려는 시도들이 여전히 지속되고 있다.
현실적으로 가동이 중단되지 않고 운영되는 것이 가장 중요한 기간시설망은 일반 IT인프라와는 달리 보안패치나 실시간 보안관리가 어려운 것이 현실이다.
24일 서울 양재동 더케이호텔에서 과학기술정보통신부이 주최하고 한국인터넷진흥원(KISA)이 주관한 '주요정보통신기반시설 정보보안 컨퍼런스(CIISCON2017)'에서는 시스코 위협분석조직인 탈로스 소속 위협 인텔리전스 분석가인 안정수 차장, 파이어아이 내 침해사고대응조직 맨디언트에 소속된 윤삼수 전무, 제어시스템에 팔요한 단방향 네트워크 시스템을 구축, 공급하는 보안기업 NNSP 김기현 부사장이 기반시설 보호에 필요한 사항들을 논의하는 자리를 가졌다.
이날 안정수 차장은 "주요 사고들을 분석해 보면 대부분 공격이 임직원들이 사용하는 PC에 들어온 이메일, 악성문서, 상용/무료 소프트웨어, 자주 방문하는 웹사이트에 악성코드를 심어 감염되게 만드는 워터링홀 공격 등으로 시작한다"며 "운영기술(OT)이 적용된 망에서도 이런 공격이 거의 그대로 시도됐다"고 말했다.
정보기술(IT)과 구분되는 OT는 기간시설 내부에서 각종 설비를 운영하기 위해 쓰이는 기술들을 말한다.
때문에 그는 "OT망과 IT망이 얼마나 잘 협업해서 조직이 갖는 잠재적인 위협을 줄일 수 있는가, 내부에서 어떤 자산이 가장 중요한가 등을 파악해야한다"고 설명했다.
일각에서 내부 업무망이나 산업제어시스템과 연결된 폐쇄망은 인터넷과 분리된 망분리 환경을 갖추고 있어 안전하다는 인식은 사실과 다르다는 뜻이다.
윤삼수 전무 역시 "OT 영역은 물리적인 혹은 네트워크 통신을 통한 접근이 어렵기 때문에 안전하다고 맹신하는 경우가 있다"며 "실제로 OT망을 들여다보면 어떤 식으로든 외부 네트워크와 연결돼 있다"고 강조했다.
이 과정에서 공격자들은 기반시설 내 설비에 적용된 센서나 액츄에이터 등을 직접 조작하는 수준까지 가기보다는 우리가 익숙한 키보드와 마우스로 조작하는 내부 PC에 해당하는 L2영역을 노린다.
인증되지 않은 프로토콜을 이용한 내부 통신, 취약한 파일 무결성 검사, 낙후된 하드웨어, 취약한 윈도 운영체제(OS), 사용자 인증, 문서화 되지 않은 제3자 관계 등이 문제를 키운다.
문서화 되지 않은 제3자 관계는 내부에서 사용 중인 시스템에 해킹으로 문제가 됐을 때 제조사는 나와있지만 OEM 형태로 공급된 탓에 관련 외부 책임자를 찾아 대응하기 어려운 문제를 말한다. 더구나 관리적인 이유로 내부 시스템들이 시스템 출하단계에서 설정된 기본 비밀번호를 그대로 쓰고 있다는 점도 IT 영역에서 무선랜, IP카메라 보안문제와 같은 수법을 악용한 공격을 유발한다.
이 같은 공격을 막기 위해서는 어떤 대책이 거론되고 있을까?
안 차장은 "글로벌 해킹 이슈로부터 위협 인텔리전스를 확보해 자사 시스템에 대입해 보려는 노력과 함께 산업제어시스템에 사용되는 각종 프로토콜에 대해 해당 시스템 설계, 공급 업체와 협업해 분석을 거쳐 취약점을 없애는 부분이 중요하다"고 강조했다.
관련기사
- NSHC, 美 기반 시설 국제 해킹 대회 운영2017.11.24
- 산업제어시스템, 스크립트키디 놀이터 될라2017.11.24
- 랜섬웨어 '페트야', 다음 공격목표는 제조·화학 업종2017.11.24
- "국내 산업제어시스템, 쉽게 뚫릴 수 있다" 경고2017.11.24
윤 전무는 "IT와 OT를 별도로 구분할 것이 아니라 통합 보안관제가 필요한 하나의 영역으로 보고 통합 대응할 필요가 있다"고 설명했다. 글로벌 침해사고 현장에서는 설비자동제어장치(PLC) 펌웨어를 업데이트할 때 소스코드에 대한 인증체계를 거치지 않고 바로 악성코드가 심어지는 경우가 그렇다. IT영역에서 발생하는 보안 이슈가 거의 똑같이 OT영역에서도 발생하더라는 것이다.
김 부사장은 "망분리 혹은 망연계 솔루션이 적용된 곳이라고 하더라도 내부에서 양방향 통신이 가능한 부분을 최소한으로 줄이고, 내부 정보가 바깥으로만 전송될 수 있거나 그 반대로만 가능하도록 지원하는 단방향 네트워크 시스템을 구축할 필요가 있다"고 강조했다.
