주요정보통신기반시설(CII) 전용 통합테스트 환경 구축이 시급하다.
미래창조과학부와 국가정보원은 25일 더케이호텔에서 `주요정보통신기반시설 정보보안 콘퍼런스`를 개최했다. 홍만표 아주대 교수는 주요정보통신기반시설 보호를 위해 국가 차원 통합테스트 환경 개발을 제안했다.
주요정보통신기반시설은 전력망과 원자력, 철도, 상하수도, 가스 등을 포함해 향후 항공과 해운, 자동차, 도로까지 늘어난다. 주요정보통신기반시설은 사이버와 물리 시스템이 연동된다. 대부부 아날로그 속성을 지닌 무중단 시스템이다. 사이버 공격이 실제 공간에서 물리적 피해로 나타난다.
홍 교수는 “주요정보통신기반시설 보호는 시스템 오류나 환경 변수에 의한 중단이나 물리적 침입통제와 감시 등에 집중됐다”면서 “사이버 위협에 대응했다고 하더라도 인프라 속성을 제대로 이해하지 못하고 기존 IT 보안 제품이나 기능을 끼워넣은 수준에 불과하다”고 말했다. 주요정보통신기반시설에 대한 종합 사이버 보안 체계가 없다.
그는 “대규모 사회 혼란을 초래하는 주요정보통신기반시설을 보호하려면 국가가 나서 통합테스트 환경을 마련해야 한다”면서 “맞춤형 소량 생산되는 주요정보통신기반시설 관련 시스템은 특정 기업이나 기관이 테스팅 환경을 만들기 어렵다”고 설명했다.
이미 미국은 2003년 에너지국(DOE) 산하에 사이버 시큐리티 통합연구기관을 발족하고 에너지 전달 분야 산업제어시스템(SCADA/ICS) 테스트 환경을 제공한다. 미국은 2015년 11월 국토안보부(DHS) 주요 인프라 보안과 복원(CISR) 연구개발 계획을 세웠다. 이를 통해 연간 지표를 만들고 주요 인프라 보안과 복원을 고려했다.
주요정보통신기반시설을 노린 사이버 위협은 계속 증가했다. 미국 ICS-침해사고대응팀(CERT) 보고서에 따르면 지난해 총 295건 사고가 발생했다. 전년 대비 20% 증가했다. 지난해 가장 많은 공격을 받은 곳은 주요 제조업(97건)이었다. 에너지(46건), 상하수도 시설(25건), 교통시스템(23건), 정부 시설(18건) 순이었다.
ICS 보안 취약점도 급증했다. 2010년 20개에 불과했던 취약점은 2011년 178개, 2012년 208개, 2013년 186개, 2014년 231개에서 2015년 486개로 폭증했다. 취약점 해결에 걸린 시간은 평균 55일로 2014년 108일에 비해 절반으로 줄었다.
송정수 미래창조과학부 정보보호정책국장은 “최근 미국에서 사물인터넷(IoT) 기기가 악성코드에 감염돼 분산서비스거부(DDoS) 공격을 발생했다”며 “제어시스템 역시 IoT 기기를 활용해 원격에서 제어 효율성을 높이고 있어 대책 마련이 필요하다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
