[이슈분석] '산업제어시스템(ICS)' 보안 위험수위..."국가 근간 흔든다"

Photo Image

# 베네수엘라가 일주일간 암흑에 빠졌다. 국가 전력 4분의 3을 공급하는 동부 볼리바르주 구리수력발전소 설비가 고장을 일으켰다. 전국 23개주 가운데 19개주는 전기 없는 과거로 돌아갔다. 정전, 통신 중단은 단순히 암흑으로 돌아가는 그 이상이었다. 병원 전력이 끊겨 응급환자는 생사기로에 놓였고, 냉장식품은 모두 버려야 했다. 베네수엘라 제2 도시 마라카이보에서는 정전 기간 동안 500여상점이 5000만달러 규모 약탈을 당했다는 현지 보도도 나왔다.

일주일간 지속된 정전으로 민간 피해액은 4억달러에 달할 것이라는 주장도 나왔다. 마두로 정권은 정전사태 원인을 사이버 공격으로 지목했다.

베네수엘라 정전사태로 산업제어시스템(ICS)보안위협이 화두에 올랐다. 정전사태가 노후된 전력시스템 때문이라는 주장도 나오지만 이번 사태는 국가 기반 시설망 전력망 소실이 어떻게 사회 혼란으로 이어지는지 명확하게 보여줬다. ICS 위협은 비단 개발도상국 등 일부 국가에만 한정된 위협이 아니다.

ICS를 목표로한 악성코드 발견뿐 아니라 치밀해지는 공격으로 시만텍, 파이어아이 등 해외 주요 보안기업뿐 아니라 SK인포섹, 안랩 등도 ICS보안 위협을 우려한다.

Photo Image

◇ICS는 폐쇄망인데 사이버공격을 받을까?

일반적으로 제조업뿐 아니라 발전소, 공항, 항만 등 국가 기반 산업시설은 가장 아랫단에 생산 등 운용을 위한 로봇, 머신, 컨베이어 벨트 등 기기·센서와 이를 제어하는 컨트롤러가 위치한다. 이들 컨트롤러는 운용체계(OS)를 담고 있으며 공장 등 설비 두뇌 역할을 한다. 컨트롤러는 내부 시스템 통제를 위해 네트워크로 연결되어 있으며 외부 인터넷 등과 연결된 외부망과 이론적으로 분리된다. 사이버 공격 영향을 받지 않는다.

문제는 기업의 관리, 운영상 문제 등으로 망분리가 제대로 실현되지 않는다. 규모가 작은 중소기업은 편의 등 문제로 보안규정을 제대로 지키지 않는다. 시설 내 어딘가 인터넷에 연결된 시스템이 존재하고 이를 통해 피해가 발생한다. 외부와 연결되지 않아야 하는 중요 시스템이 인터넷을 연결해 사용하거나 추가 랜(LAN) 카드를 설치, 테더링을 통한 인터넷 접속도 문제가 된다. 물리적 망분리가 되어 있더라도 업무 상 인터넷용 컴퓨터에서 다운로드한 파일을 업무용 컴퓨터로 옮길 수 있다는 얘기다. 게다가 일부는 제대로 된 망분리가 아니라 단순히 시스템 인터넷 접속을 차단하기도 한다.

이동식디스크(USB)를 통한 감염 위협도 높다. 망분리 된 환경으로 시스템 업데이트, 패치 등은 USB를 활용하는 과정에서 위험에 노출된다. 실제 2016년 4월 독일 바이에른주 원자력 발전소가 악성코드에 감염돼 가동이 중지됐다. 원전 근무자가 USB를 사용하던 과정에서 감염됐다. 같은해 1월 일본 후쿠이현 몬주 원자력 발전소가 악성코드에 감염돼 닷새 동안 이메일과 작업 기록, 직원 개인정보 등 4만여개의 문서가 유출됐다. 작업자가 컴퓨터 동영상 재생 프로그램을 업데이트하면서 감염됐다.

조성윤 시만텍코리아 부장은 “네트워크 분리가 제대로 구현됐다고 가정할 때 가장 큰 위협은 USB”라면서 “USB를 다루는 사람, 기기 등 절차를 만들고 철저하게 관리해야 한다”고 말했다.

구형시스템도 사이버 공격 허점을 만든다. 여전히 구형 시스템이 사회기반시설, 산업 시설에서 사용 중이다. 미국에서는 1980년대 생산된 구형 컴퓨터를 이용해 난방 제어 시스템을 운영해 문제가 되기도 했다. 상당수 구형 시스템은 보안을 고려하지 않고 제작됐거나 이미 알려진 보안 취약점조차 해결 하지 못해 공격에 취약하다.

Photo Image

◇ICS를 노린 '악성코드'...최근 랜섬웨어까지 다양해져

ICS를 공격할 목적으로 만들어진 악성코드는 스턱스넷, 인더스트로이어, 트리톤 등 다양하다. 최근 침투 악성코드 뿐 아니라 류크 랜섬웨어도 등장했다.

스턱스넷은 2010년 이란 나탄즈 핵 시설에 침투해 원심분리기를 오작동하게 만들어 핵무기 개발을 지연시켰다. 마이크로소프트(MS) 윈도 OS 제로데이 취약점을 통해 PC에 감염된다. 감염된 PC에 연결된 USB 등을 통해 추가감염이 이뤄지는 형태다. 모든 시스템을 대상으로 하는 것이 아닌 산업시설 전반적인 현황을 감시하고 제어하는 스카다(SCADA) 시스템만을 노린다. 게다가 컴퓨터 한대만 감염시키면, 네트워크에 연결된 모든 컴퓨터에 침투 가능하다. 웜(Worm) 바이러스 형태로 자기복제 한다.

인더스트로이어는 전력 공급 인프라에 공격 가하도록 설계된 악성코드다. 2016년 12월 발생한 우크라이나 수도 키예프 전력 공급 중단 사태에 사용된 것으로 추정한다. 해당 악성코드는 모듈화 형태로 공격자가 공격을 관리하는데 사용하는 백도어다. C&C 서버와 연결돼 다른 모듈을 설치·제어하고, 결과를 공격자에게 보고한다.

인더스트로이어는 변전소에서 스위치와 회로 차단기를 직접 제어하도록 설계됐다. 전력 공급 인프라, 교통 통제 체계 등에 사용되는 산업통신용 프로토콜을 사용한다. 다양한 산업용 제어 시스템에 대한 동격에도 활용 가능하다.

트리톤은 2017년 사우디아라비아 석유화학 공장 시설 중단 원인을 조사하던 중 발견된 악성코드다. 트리톤은 스턱스넷, 인더스토리어 등과 마찬가지로 산업시설을 물리적으로 파괴한다. 최근 트립톤이 독가스 누출 등 비상사태 때 최후 방어막 역할 하는 비상안전장치까지 제어하려 한 정황을 발견하기도 했다.

이외에도 지난해 미국을 중심으로 정부기관, 대규모 산업시설을 노린 류크 랜섬웨어까지 등장했다. 류크 랜섬웨어는 지난해 8월 처음등장해 12월까지 370만달러가 넘는 피해를 입혔다.

Photo Image

◇제로트러스트 정책 필요

전문가는 ICS보안에도 모든 것을 신뢰하지 않는 '제로 트러스트' 정책을 적용하는 것이 필요하다고 조언한다. 망분리를 통해 모든 보안을 구비했다고 생각하는 것이 아닌 각 영역별로 보안정책을 만들고 실행에 옮겨야 한다는 설명이다. 폐쇄망도 외부와 연결된 고리가 있는 만큼 이를 관리할 체계가 필요하다.

최근 엔드포인트로 다양한 공격이 시도된다. 일부 공격은 특정 목표를 정하지 않기도 한다. 엔드포인트로 내부 정보 유출 가능한 악성코드를 심어 데이터를 탈취하거나 필요에 따라 사용자 아이디, 비밀번호, 신용카드 정보, 혹은 일반 시스템에 대한 운영권을 획득하기도 한다. 해커는 이익에 따라 상황을 진단하고 공격 방법을 진화시킨다. 특정 공격을 막는 시스템구축, 보안정책 구현은 도움되지 않는다. 공격자는 더 치밀하고 교묘해졌다.

김봉환 시만텍 상무는 “보안 운영 과정·방식 모두 믿기 어렵기 때문에 어디까지 경계를 나누지 말고 검증하는 '제로트러스트' 개념을 도입하는 것이 중요하다”면서 “산업, 영역에 따라 어떤 분야는 안전하고 어떤 분야는 안전하지 않다가 아닌 각 산업 모두에 검증하는 과정을 넣고 사용자에게 이를 전파해야 한다”고 조언했다.

이재우 SK인포섹 이큐스트(EQST) 그룹장은 “일부 기업은 전체 망분리가 아닌 구간 망분리 하기도 하는 등 제대로 된 폐쇄망 구현이 안 된 곳이 있다”면서 “접근통제, 모니터링 강화 등 보안대책 마련이 필요하다”고 설명했다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸