Home > 전체기사
[한국정보보호학회칼럼] 국가기반시설 사이버 안전성 확보를 위한 제언
  |  입력 : 2020-10-06 09:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2010년 Stuxnet, 이란 핵시설 내 원심분리기 1,000여대 파괴... 해킹 통한 물리적 피해 입증
제어시스템 대상 보안기술 연구개발 및 전문 보안전문가 양성 투자 확대해야


[보안뉴스= 서정택 한국정보보호학회 CPS보안연구회 위원장] 제어시스템은 주요 국가기반시설인 에너지, 가스, 수도, 교통 등 지리적으로 분산된 원격지 설비의 상태를 실시간으로 모니터링하고, 제어를 수행하는 시스템이다. 최근 제어시스템을 대상으로 사이버 침해사례가 증가하고 있다. 제어시스템은 현장설비를 직접 제어할 수 있기 때문에 제어시스템을 대상으로 사이버 침해사고가 발생한다면 물리적·경제적 피해는 물론 심각할 경우 인명피해까지 유발할 수 있다.

[이미지=utoimage]


우리나라에서 사이버공격의 제1목표가 국가기반시설 제어시스템이라는 주장은 이미 2008년부터 시작된 것으로 기억된다. 전력망을 비롯한 국가기반시설 제어시스템이 사이버공격의 제1목표가 될 것이며 해킹 공격을 통하여 큰 피해를 발생시킬 수 있다는 주장을 했던 것으로 기억된다. 사실, 주요기반시설들을 대상으로 현장 취약성 분석 및 모의해킹을 수행한 결과 사이버 안전성 확보는 매우 시급한 상황이었다. 하지만, 현장에서 제어시스템을 운영하는 부서에서는 폐쇄망 형태로 운영되는 환경이므로 최고의 해커라 하더라도 침입이 불가능하다는 주장과 해당 시스템에 별도로 사이버보안의 고려가 필요하지 않다는 주장을 하기도 했다.

하지만 2010년도에 스턱스넷(Stuxnet)이라는 제어시스템 대상 악성코드가 이란의 핵시설 내 원심분리기 1,000여대를 물리적으로 파괴하며, 폐쇄망/독립망도 사이버공격에 안전하지 않다는 점과 사이버 해킹공격을 통해 물리적인 피해 발생이 가능하다는 것이 입증됐다. 이후, 2016년에는 우크라이나의 전력망에 사이버공격으로 인하여 대규모의 정전사고가 발생했다. 이 사건으로 해킹 공격을 통해 대규모 정전사고 발생이 가능하다는 점도 입증됐다. Stuxnet 이후 전 세계는 국가기반시설 뿐만 아니라 산업제어시스템까지 사이버 안전성 확보를 위해 경쟁중이다.

필자는 이글을 통해 우리나라 국가기반시설 제어시스템의 사이버 안전성을 높이기 위해 추가적으로 필요한 또는 중요하다고 생각되는 몇 가지 제언을 하고자 한다.

개발 보안 및 유지보수 보안
공급망 보안(Supply Chain Attack 대응)이 제일 중요한 영역 중에 하나가 국가기반시설이다. 개발단계에서 악의적인 코드가 삽입되어 국가기반시설에 H/W나 S/W가 설치되어 운영된다면 제어망을 인터넷망과 업무망과 구분하여 심층방어전략(Defense in Depth)으로 보호한 전략이 한 순간에 무너질 수 있다. 특히, 해외 벤더사들의 제어시스템이 세트로 설치되어 운영되는 기반시설 운영환경에서는 더더욱 개발단계 보안이 중요하다. 원자력발전소 등에 설치되는 S/W에 대해서는 개발단계에서 충분한 보안대책을 마련해 적용해야 하며, 시큐어코딩은 기본이 된다. 또한, 발전소 오버홀(Overhaul) 기간 등 유지보수를 수행하는 단계에서도 외부의 악성코드가 유입되지 않도록 철저한 관리가 필요하다. 불가피하게 벤더사로부터의 유지보수를 위한 별도 네트워크 연결을 준비하는 경우에도 철저한 접근통제 정책의 적용과 강력한 인증을 통한 보안관리가 필요하다.

제어시스템 도입 전 안전성 검증
제어시스템에 설치되어 운영되는 H/W 및 S/W는 운영 도중 유지보수 및 패치설치 등에 어려움이 있다. 24시간 365일 가동되는 시스템의 경우 취약점이 발견돼도 패치를 설치하기조차 어려울 수 있다. 재부팅이 포함된 패치파일의 설치 후 재부팅 과정에서 제어시스템 내 어플리케이션의 설정정보 값이 디폴트값으로 변경되면서 현장 제어기기에 오작동이나 오류가 발생할 수 있다. 이로 인해 중요 제어시스템이 가동을 중지하는 사태를 불러올 수 있다. 따라서 제어시스템에 설치되는 시스템의 경우 설치 및 운영 전 취약성을 분석하고, 발견된 취약성에 대해서는 조치를 완료해야 한다.

제어시스템 모의해킹
국가기반시설 제어시스템은 대부분 정보통신기반보호법에 따라 주요정보통신기반시설로 지정되어 1년에 한 번씩 취약성분석·평가를 실시하며, 절차 내에서 일부 시스템을 대상으로 모의해킹도 수행하고 있다. 하지만, 현장에 운영되는 제어시스템의 경우 가용성에 위해가 발생할 수 있다는 이유로 보안 스캐너를 이용한 보안점검 및 모의해킹이 현실적으로 진행되지 못하는 상황이다. 따라서 발전제어시스템의 경우 오버홀 기간을 이용해 취약성 분석 및 모의해킹을 실시하는 방안으로 접근할 수 있으며, 실제 운영시스템과 동일한 환경의 교육시스템이나 테스트베드를 활용해 취약성 분석 및 모의해킹을 수행하기도 한다. 제어시스템 대상으로 신규 발생되는 보안위협을 고려해 공격 가능 시나리오를 도출하고, 다양한 접점을 시작으로 모의해킹을 실시해 보안 취약점을 발견하고, 공격을 통한 파급 영향에 대한 분석이 필요하다.

제어시스템 대상 보안기술 연구개발 투자 확대
2000년대 말에 우리나라는 전력 제어시스템을 대상으로 보안기술 연구개발을 시작했다. 그 때 연구 개발된 아이템에서 일방향 자료전달 시스템과 화이트리스트(White List) 기반의 이상행위 탐지 기술이 현재에도 제어시스템 보안의 대표 기술로 활용되고 있으며, 최근에는 머신러닝 기법을 적용하는 White List 기반 탐지기술의 연구가 다양하게 진행되고 있다. 하지만, 현재까지의 기술은 이더넷 환경인 상위 제어망을 대상으로 개발 및 적용되고 있는 실정이다. 최근 몇 년간 BlackHat과 DefCon에서는 PLC(Programmable Logic Controller) 대상의 취약점과 해킹 공격에 대해 발표하고 있다. 제어시스템 대상의 보안 기술 연구개발의 범위를 현장제어기기 대상으로 확대해 연구개발을 수행해야 한다. 특히, Stuxnet과 같이 정상적인 제어명령의 형태를 유지하면서 설정값만을 변경하거나 로직을 변경하는 형태의 고도화된 공격에 대한 탐지 및 대응 기술의 연구개발이 필요하다. 또한, 이더넷 환경을 대상으로 적용하는 인증, 암호화 통신 기술을 임베디드시스템인 현장제어기기까지 적용하는 연구개발이 필요하다.

제어시스템 보안 전문 인력 양성
국내 많은 대학교에서 정보보호 관련 학과를 운영하고 있으나, 제어시스템 보안 관련 과목이 학부과정에서 운영되는 학교는 순천향대학교 정보보호학과가 유일하다. 에너지, 교통 및 수자원 분야 등 제어시스템을 운영하는 기관에서는 제어시스템 운영환경의 특성, 취약점 및 보안기술에 대한 전문성을 갖춘 인력을 필요로 하고 있으며, 그 수요는 점점 증가하고 있다. 일부 대학원에서 관련 과목을 개설하여 운영하고 있으며, 제어시스템 보안 관련 연구과제를 수행하는 랩이 증가하고 있다. 하지만, 현장에서 필요로 하는 기술의 연구개발과, 관련분야 전문인력의 양성은 수요에 미치지 못하고 있다고 생각한다. 에너지 분야 등 주요 분야에 정보보호 전문인력 양성사업이 필요하며, 현장에서 제어시스템 보안 분야 업무를 수행하는 직장인 대상의 재교육 프로그램의 개발 및 운영도 필요하다.

[사진=서정택 CPS보안연구회 위원장]

한국정보보호학회 내 CPS보안연구회 활동
한국정보보호학회 CPS보안연구회에는 현재 220여명의 전문가들이 활동 중이다. 2010년부터 국가보안기술연구소와 한전KDN이 스마트그리드 보안 워크숍을 시작했고, 2013년부터는 국가보안기술연구소, 한국수력원자력, 한전KDN에서 원자력 사이버보안 워크숍을 개최했다. 2017년부터 현재의 CPS보안연구회로 이름을 바꾸고 CPS보안워크숍을 매년 1~2회 개최하고 있다.

2020년 10월 15일~16일에는 제주메종글래드호텔에서 제7회 CPS보안워크숍을 온·오프라인 병행으로 개최한다. 이번 워크숍은 한국전력공사, 한전KDN, 한국수력원자력, 한국남동발전, 한국서부발전, 한국중부발전 6개 에너지 공기업이 공동주최하는 행사로 진행된다. 2021년에는 한국동서발전과 한국남부발전에서 공동주최기관으로 합류해 전력 분야 공기업이 전체 주최기관으로 참여할 예정이다. 명실상부 국내 제어시스템 보안 분야 대표 연구그룹으로 활동 중이다. 에너지, 교통, 수자원 등 다양한 분야에 관심을 가지고 있는 학계, 연구기관, 공기업, 정보보호기업, 협회 등이 산·학·연 균형 있게 참여하여 기술공유와 인적 네트워크를 확장하고 있으며, 관련분야 기술 발전을 이끌고 있다고 생각된다. CPS보안연구회에서는 향후에도 지속적으로 관련분야 기술 발전을 위해 매진할 계획이다.

결언
사이버공격의 제1목표인 국가기반시설 제어시스템의 사이버 안전성 확보는 선택이 아닌 필수사항이다. 운영기관에서는 보안대책 적용에 노력하고 있으며, 일부에서 관련 연구개발 및 인력양성 등에 노력하고 있으나 많이 부족한 실정이다. 다양한 분야에서 국가기반시설 제어시스템의 사이버 안전성 확보에 우리의 역량과 투자를 집중해야 할 중요한 시점이며, 관련된 모든 구성원의 관심과 노력이 절실히 요구된다.
[글_ 서정택 한국정보보호학회 CPS보안연구회 위원장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상