세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
산업 및 공장 시설의 보안, 이대로는 곤란하다
  |  입력 : 2017-01-11 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
산업 통제 시설, 사물인터넷 기기와 하나로 묶여가는 것이 맞나
사회 인프라서 발생하는 사이버 공격의 ‘후폭풍’ 고려해야


[보안뉴스 문가용 기자] 모든 사이버 보안 리스크의 출처나 기원은 동일하지 않다. 소니 엔터테인먼트가 해킹을 당했을 때는 1) 지적재산이 도난당하고 2) 시스템들은 다 포맷되고 3) 일부 배우들은 이미지에 타격을 입었다. 이런 모든 것들에 더해 각종 복구 및 재판 비용으로 인한 금전적인 손실도 당연히 발생했다.


그런데 비슷한 공격을 정유소가 받았다고 가정해보자. 이 경우, 직접 타격을 입는 건 불안한 정유 과정을 안전하게 관리하는 산업 통제 시스템(ICS)이라고 볼 수 있다. 여기서 불안한 정유 과정이란, 석유를 수백도로 가열해 석유 분자들을 분리 및 추출하고, 휘발유 등 폭발성 높은 여러 생성물을 만들어내는 위태위태한 환경을 말한다. 만약 공격자가 이 ICS에 접근 성공해 가열 온도를 바꾸면, 무슨 일이 일어날까? 여기에 더해 안전장치들도 해제시키면 어떻게 될까? 사람의 목숨을 앗아갈 정도의 일이 터질 수 있다.

2014년, 독일의 한 제강공장에서 이러한 일이 실제로 발생했다. 누군가 ICS를 공격했고, 이로 인해 가열기가 폭발한 것이다. 2015년 12월에는 어땠는가? 아직도 밝혀지지 않은 해킹 단체가 서브스테이션 시스템을 마비시키는 바람에 대규모 정전 사태가 일어났다. 같은 해킹 공격이라지만 이처럼 피해는 다른 현상으로 나타난다.

그렇다면 금융 기관은 어떨까? 물론 금융 기관 하나가 악성 공격을 받는다고 해서 용광로가 폭발하거나 독성 가스가 새어나가는 일은 일어나지 않는다. 정전 사태와도 거리가 멀다. 금융 기관이라고 해서 공격을 받아도 괜찮다는 건 아니지만 그래도 사회적 파장이라는 측면에서 덜 위험한 건 사실이다.

그러면 당연히 국가와 사회는 공장 시스템이나 발전소 등의 사이버 보안을 강화하는 게 타당하고 논리적일 것이다. 적어도 금융 기관들보다 더 말이다. 하지만 현실은 그렇지 않다. 오히려 이런 발전소 시스템과 공장이 사이버 공격에 제일 취약한 곳 중 하나다. 정부나 해당 산업이 이쪽 방면에 무심해서일까? 백신, 방화벽, 애플리케이션 화이트리스팅 솔루션 등 일반 기업 환경에서 ‘정보를 보호하는 데에’ 특화되어 있는 다양한 방법들이 동원되기 때문이다. 즉, 공장을 보호하는 것과 일반 사무실을 보호하는 데에 우리는 같은 도구들을 사용하고 있다는 것이다.

상상하기 힘든 온도에서 분자를 직접 분리해내는 시스템과 사무실 PC가 같은 방법으로 보호를 받는 게 맞는 일일까? 일단 정유 시스템과 같은 경우 대부분 정보보안이라는 말이 정식으로 생겨나기 이전부터 존재해왔는데 말이다. 현재 산업 시설들의 일반 보호 방책 및 전략은 크게 세 가지로 볼 수 있다. ICS에 초점을 맞춘 다중 보안 시스템(layered security), 시설 운영 방식 자체가 워낙 복잡해 아무나 함부로 접근하기도 어렵고, 접근한다 한들 쉽게 뭔가를 해볼 수도 없다는 이유로 ‘안전하다’고 믿어버리는 관례(security by obscurity), 망분리가 바로 그것이다.

그러나 아무리 복잡한 시스템 및 방어 체제라도 100% 안전하지 않고, 크게 각광받고 있는 망분리 역시 완전하지 않다. 예를 들어 공장은 정비나 생산량 조절을 위해 이따금씩 혹은 주기적으로 가동을 멈추기도 하는데, 이게 스위치 하나로 껐다 켰다 하는 개념이 아니다. 가동을 멈추거나 재시작 하기 위해 수백 명의 엔지니어들이 동원되는 게 보통이다. 그리고 이 엔지니어들은 대부분 외주 전문 인력이다. 즉, 외부인이면서도 공장 시스템에 대해 매우 잘 알고 있는 전문가들이라 ‘쉽게 접근해 뭔가 나쁜 짓을 시도할 수 있는’ 사람들인 것이다. 이들이야 말로 쥐도 새도 모르게 악성 코드를 주입하거나 설정을 위험하게 바꿀 수 있다.

그러므로 ‘구조가 복잡하니 나쁜 짓 하기도 힘들 것’이라는 믿음은 보안의 전략이라고 할 수도 없다. 게다가 사이버전이 점점 수면 위로 올라오면서 기존의 공장 및 산업 시설 구조에 대해 잘 알고 있으면서 동시에 나쁜 의도를 가지고 있는 공격자들도 많아졌다. 우크라이나 정전 사태의 경우, 공격자들은 자신들이 직접 마련하거나 구한 산업 통제 장비에 먼저 실험을 한 후 실제 공격을 한 것으로 알려져 있다. 아무리 은밀하고 복잡한 공장 시스템이라도 이젠 실험해볼 수 있다는 뜻이다. 프로그래밍이 가능한 논리 제어장치(이 역시 산업 통제 시스템의 일종)는 이베이에서도 구할 수 있다.

후폭풍, 그 어쩔 수 없는 차이
지난 12월 초, 오바마 행정부의 국가 사이버 보안 향상 위원회(Commission on Enhancing National Cybersecurity)는 사물인터넷을 위주로 한 보고서를 발표하며 몇 가지 실천사항들을 함께 권장했다. 이중 ‘사물인터넷 보안 등급제’에 대한 내용이 큰 주목을 받았다. 개인적으로는 일반 사물인터넷 기기와 중요 인프라 시스템의 구분이 점점 흐려져 간다는 것이 충격적이었다.

사실 모든 기기와 시스템이 서로 연결되어 있는 환경에서라면 일반 기기나 공장 시스템이나 불안전하다는 건 매한가지다. 구분이 흐려지는 것이 이해 못할 정도는 아니다. 하지만 ‘공격을 받았을 때의 후폭풍’ 측면에서 일반 기기와 공장 시스템은 확연한 차이를 가지고 있다. 그리고 이 후폭풍의 리스크 때문에 우리는 보안 관리의 우선순위를 정하고, 정책을 만들고 투자 결정을 하는 것 아니던가? 일반 사무실의 사물인터넷 기기와 분자를 분리해내는 기기가 같은 취급을 받는 게 마땅할까?

그렇다면 산업 시설 및 공장 가동을 하고 있는 기업들은 어디서부터 ‘보안’을 시작해야 할까? 어디에 우선 투자를 해야 할까? 제일 먼저는 그러한 시설들에 있는 ‘사이버 자산’의 현황을 완전히 파악해야 한다. 즉 현황 파악 혹은 가시성 확보를 먼저 하라는 건데, 이게 굉장히 당연한 소리처럼 들리지만 실상 잘 되고 있지는 않다. 가시성 확보를 아예 시도하지 않는 곳도 있고, 불완전하게 작업해서 실제 모습과 파악한 내용이 전혀 다른 곳도 많다. 가시성 확보는 모든 사이버 환경에서 가장 먼저 이루어져야 할 일이다.

여기서 말하는 ‘사이버 자산’이란, 제어장치, 현장에서 사용되는 모든 스마트 기기들, 위험한 과정에 투입되는(분자분리기나 용광로 등) 기기 및 제어장치 등을 말한다. 위에서 말했다시피 공장 시설은 워낙 구조가 복잡하고 규모가 커서 엑셀 파일로 사이버 자산 목록을 만든다는 건 불가능하다. 사람이 일일이 돌아다니면서 파악하면 오류가 발생한다. 가장 정확한 건 여러 시스템 사이에서 공유되고 유통되는 데이터를 전부 수집하고 분석해 자산들을 역추적하는 건데, 이러한 기능을 하는 자동화 소프트웨어가 시중에 존재한다.

이런 자동화 소프트웨어는 자산 업데이트도 주기적으로 해 기업 입장에서 가시성 확보를 하는 데에 큰 도움이 된다. 정확한 상황파악이 되니 어떤 부분에 우선 신경 쓰고, 시간 및 예산을 집중시켜야 하는지 판단할 수 있다. 심지어 비정상적인 변화도 짚어내고, 보안 정책을 마련하는 데에도 이 자료가 귀중한 역할을 한다. 이런 과정을 통해 기업은 정보도 안전하게 보호하고, 분자 분리 과정도 지켜낼 수 있게 된다.

글 : 데이비드 잔(David Zahn)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#산업   #ics   #시설   #공장   #인프라   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)