관련 통계자료 다운로드 제어시스템 활동 악성코드 발전·철도·의료·난방 등 산업제어시스템 보안 위협이 급증해 대책 마련이 시급하다.
산업제어시스템을 노리는 악성코드가 증가하고 있으며 마이크로소프트 윈도 PC와 TCP/IP, 무선 AP 등 일반 정보시스템과 동일한 운용환경이 사용되고 있기 때문이다.
한국인터넷진흥원(KISA)은 최근 4개월간 국내외 사업제어 분야에서 널리 쓰이는 지멘스 ‘인간-기계 간 제어시스템(HMI)’ 소프트웨어만 공격하는 악성코드를 집중 분석했다. 산업현장 내 장비 감시·제어 소프트웨어 ‘WinCC’와 논리제어기(PLC) 프로그래밍용 소프트웨어 ‘스텝7’을 공격하는 악성코드가 빠르게 증가한 것으로 나타났다.
제어시스템은 폐쇄망에 있고 알려지지 않은 프로토콜과 시스템을 사용하는 특수성 때문에 사이버 보안과 무관하다는 인식이 높다. 하지만 업무 PC에서 제어시설을 모니터링하거나 실시간 정보수집을 위해 인터넷에 연결하는 경우가 많은 것으로 드러났다.
일부기관은 운용 편의성 때문에 HMI 관리자 아이디와 비밀번호를 작업자 모두가 공유하거나 시스템에 자동 로그인하게 하는 보안의식 부재를 보여줬다.
KISA가 제어시스템 테스트베드 환경에서 악성코드를 감염시켜 영향력을 조사한 결과, 악성코드는 취약한 비밀번호가 설정된 공유폴더나 윈도 RPC 취약점을 찾았다. 이 과정에서 네트워크 트래픽이 발생하고 감염된 시스템이 증가할수록 양이 급증했다. 악성코드는 익스플로러(explorer.exe) 같은 정상 프로세서에 악성모듈을 숨기고 실행할 때 특정 윈도 API를 호출한다. 이때 윈도 내부에 충돌이 발생하면서 시스템이 다운되는 현상이 발생한다. 이 문제는 최근 서비스가 종료된 윈도XP 이하 버전에 영향을 끼친다. 일부 보안 소프트웨어는 악성코드 때문에 구동되지 않았다.
KISA는 제어시스템 관리 담당자들 보안인식 확립과 지속적인 감시를 조언했다. 제어시스템은 물리적으로 네트워크가 완벽하게 분리된 환경에서도 USB 사용 등 부주의로 악성코드가 침투한 전례가 있다.
우선 관리시스템을 최신 운용체계(OS)를 업그레이드하고 HMI 등 응용프로그램 보안 취약점을 패치한다. 제어시스템 호환성 문제로 업그레이드가 힘들 때는 화이트리스트 애플리케이션 컨트롤 보안제품을 설치하는 추가적 대책이 요구된다.
유지보수와 시스템 관리 편의를 위해 기관도 모르는 사이 외부 인터넷 연결 접점을 개방해 둔 경우가 있다. 내부나 외주 인력이 인가되지 않은 모뎀이나 무선랜을 설치했는지 점검하고 즉시 차단한다.
<제어시스템 활동 악성코드 / 자료:바이러스토털>
김인순기자 insoon@etnews.com
