Home > 전체기사
ICS/SCADA 보안, 제대로 못하면 국민 신뢰 잃는다
  |  입력 : 2018-02-13 17:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국가 운영 및 존립과 직결되는 정보통신기반시설 보안
관련법, 국내외 주요 사건, 전문가 의견으로 살펴보기


[보안뉴스 오다인 기자] 출근길, 지하철이 멈추거나 신호등이 고장 난 상황을 그려보자. 그리고 그 상황이 당분간 개선되지 않는다고 상상해보자. 정해진 시간표와 규칙에 맞춰 움직이던 일상이 무너지는 건 갑자기 멈춰버린 지하철 또는 고장 난 집 앞 신호등 하나에서 시작될 수 있다.

[이미지=iclickart]


이처럼 무슨 일이 생길 때까지 보이거나 느껴지지 않지만 사람들의 일상을 움직이는 크고 작은 시설을 국가기반시설 또는 정보통신기반시설이라고 한다. 최근 수년 간 사회기반시설에 정보통신기술이 접목되면서 그 편리성과 함께 이를 보호해야 할 필요성도 커졌다. 철도 시스템을 교란시켜 마주 보고 달려오는 기차 두 대를 충돌시키는 게 가능한 시대가 됐기 때문이다.

‘정보통신기반보호법’(이하 기반보호법)은 제2조에서 정보통신기반시설을 ‘국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제2조제1항제1호의 규정에 의한 정보통신망’이라고 정의한다.

한 마디로, 정보통신기반시설은 국가 운영과 존립에 직결되는 전자 시스템이다. 교통신호제어 시스템, 상하수도제어 시스템, 철도운영종합관제 시스템, 긴급구조 시스템, 지역난방제어 시스템부터 민원24·주민등록시스템·공공아이핀, 국가정보서비스망, 국가정보통신망 등이 정보통신기반시설에 포함된다. 국민들의 개인정보뿐만 아니라 국민들이 매일 먹고 마시고 일하고 자고 생활하는 모든 것의 안위가 정보통신기반시설 보안에 달려있다 해도 과언이 아니다.

ICS/SCADA는 산업제어 시스템(ICS: Industrial Control System)과 감시 제어 및 데이터 취득(SCADA: Supervisory Control And Data Acquisition)을 줄여 일컫는 말로, 국가기반시설 보안을 논할 때 주로 쓰이는 용어다. 한국인터넷진흥원의 2017 국가정보보호백서에 따르면, SCADA는 지리적으로 떨어져 있는 여러 플랜트의 생산공정을 중앙에서 감시 제어하는 소프트웨어로서 무인 장소의 PLC(Programmable Logic Controllers)와 센서로부터 수집된 정보를 중앙에서 처리·분석해 설비를 제어하는 시스템이다.

ICS/SCADA 보안은 2010년 이란의 나탄즈 우라늄 농축 시설을 사보타주한 스턱스넷(Stuxnet) 공격, 2015년과 2016년 우크라이나의 전력발전소 제어 시스템을 악성코드로 감염시켜 대규모 정전을 일으킨 사건 등을 거치며 국제적인 화두로 떠올랐다. 우리나라 역시 2013년 3월 방송 및 금융 기업 다수의 전산망이 악성코드에 감염돼 약 4만 8,000대의 시스템이 피해를 입고 장애가 발생한 사건이 있었다.

▲국내외 전자적 제어시스템 피해 사례[자료=2017 국가정보보호백서]


우리나라는 2001년 기반보호법을 제정한 이래 국가·사회적으로 중요한 정보통신기반시설을 주요정보통신기반시설로 지정해 중점 관리하고, 관리기관이 주요정보통신기반시설에 대한 취약점 분석 및 평가를 수행해 취약점에 대한 단기 및 중·장기적 보호조치를 시행하도록 하고 있다. 과학기술정보통신부장관과 국가정보원장, 국방부장관 등이 관리기관에 주요정보통신기반시설에 대한 보호대책의 이행 여부를 확인할 수 있다.

주요정보통신기반시설은 다음 사항을 고려해 지정된다.
△당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
△당해 관리기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
△다른 정보통신기반시설과의 상호연계성
△침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
△침해사고의 발생가능성 또는 그 복구의 용이성

보안인증 컨설팅 및 기반시설 취약점 진단을 제공하는 보안업체 보안그룹모비딕(MobyDick)의 홍영란 본부장은 “기반시설 보안의 가장 큰 문제는 유출이 아니라 침투”라면서 “1년에 한 번씩 실시되는 주요정보통신기반시설 취약점 분석·평가가 제대로 이뤄져야 한다”고 강조했다. 기반시설의 경우, 공격자의 목표는 정보유출이 아니라 시스템 교란 및 시설 파괴인 경우가 대부분이기 때문이다.

기반보호법에 따르면, 관리기관장은 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가해야 한다. 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에, 이후에는 매년 정기적으로 취약점 분석·평가를 수행해야 한다. 주요정보통신기반시설의 취약점 분석·평가는 △한국인터넷진흥원 △대통령령이 정하는 기준을 충족하는 정보공유·분석센터 △‘정보보호산업의 진흥에 관한 법률’ 제23조에 따라 지정된 정보보호 전문서비스 기업 △한국전자통신연구원 등의 기관이 실시한다.

그러나 이 같은 취약점 분석·평가가 제대로 수행되고 있는 것인지에 대해서는 아직까지 의문이 따른다. 일례로, 재작년 10월 국정감사에서 더불어민주당 이재정 국회의원은 ‘주요정보통신기반시설, 짜고 치는 요식행위 보안점검으로 전락’이라는 보도자료를 발표하면서 “국가 주요정보통신기반시설에 대한 보안 현장점검이 사실상 짜고 치는 식의 요식행위로 전락해 취약점 은닉을 방조하며 정보통신기반시설 전반의 보안성을 악화시키고 있다”고 밝혔다.

당시 이재정 의원은 각 기반시설에 대한 현장점검 시기가 미리 공표되고, 준비해야 할 내용까지 체크리스트로 사전 공개되는 점 등을 지적하며 “사실상 시험기간과 시험문제를 모두 아는 상황에서 시험을 치르는 것”이라고 강하게 비판했다.

홍영란 본부장은 취약점 분석·평가가 강화돼야 한다는 점과 함께 2010년 이란이 당한 스턱스넷 공격을 예로 “기반시설 보안에서는 물리보안이 매우 중요하다”고 말했다. 당시 이란의 나탄즈 우라늄 농축 시설 파괴는 외부 공격자가 시설 출입자의 USB에 악성코드를 심은 것이 최초 감염 매개가 됐다. 홍 본부장은 기반시설 외부에서 내부로 들여오는 USB 등의 장비들에 대해 최소한의 보안검사를 수행하는 것, 일용직 노동자나 일반 관광객을 포함해 기반시설을 출입하는 모든 사람에 대한 보안관리 수준을 강화하는 것, 기반시설 내부의 중요한 영역에 대해 CCTV 설치·관제를 확대하는 것만으로도 기반시설 보안을 한층 강화할 수 있다고 설명했다.

홍 본부장은 “기반시설의 가장 앞단에 있는 것이 전기”라며 발전소 보안이 특히 중요하다고 덧붙였다. 그는 “기반시설은 일부만 마비돼도 국민의 대정부 불신이 급격하게 커진다”면서 “기반시설에 대한 공격은 정부와 국민을 상대로 한 대규모 심리전과 같다”고 말했다.

대응책으로 홍 본부장은 △기반시설에 대한 취약점 분석·평가를 제대로 수행할 것 △진단 후 취약점 패치 이행을 점검할 것 △취약점 패치를 정기적이고 신속하게 이행할 것 △제어망에 대한 침투 테스트를 진행할 것 △외산 장비 도입 시 취약점 패치를 포함한 유지보수 계약을 명확히 할 것 등을 제시했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제