산업제어시스템(ICS) 국가망 근간을 흔들다_보안취약에 따른 베네수엘라 사례
페이지 정보
작성자 게시판관리자 작성일19-03-20 00:21 조회9,720회 댓글0건관련링크
본문
일주일간 지속된 정전으로 민간 피해액은 4억달러에 달할 것이라는 주장도 나왔다. 마두로 정권은 정전사태 원인을 사이버 공격으로 지목했다.
ICS를 목표로한 악성코드 발견뿐 아니라 치밀해지는 공격으로 시만텍, 파이어아이 등 해외 주요 보안기업뿐 아니라 SK인포섹, 안랩 등도 ICS보안 위협을 우려한다.
◇ICS는 폐쇄망인데 사이버공격을 받을까?
문제는 기업의 관리, 운영상 문제 등으로 망분리가 제대로 실현되지 않는다. 규모가 작은 중소기업은 편의 등 문제로 보안규정을 제대로 지키지 않는다. 시설 내 어딘가 인터넷에 연결된 시스템이 존재하고 이를 통해 피해가 발생한다. 외부와 연결되지 않아야 하는 중요 시스템이 인터넷을 연결해 사용하거나 추가 랜(LAN) 카드를 설치, 테더링을 통한 인터넷 접속도 문제가 된다. 물리적 망분리가 되어 있더라도 업무 상 인터넷용 컴퓨터에서 다운로드한 파일을 업무용 컴퓨터로 옮길 수 있다는 얘기다. 게다가 일부는 제대로 된 망분리가 아니라 단순히 시스템 인터넷 접속을 차단하기도 한다.
이동식디스크(USB)를 통한 감염 위협도 높다. 망분리 된 환경으로 시스템 업데이트, 패치 등은 USB를 활용하는 과정에서 위험에 노출된다. 실제 2016년 4월 독일 바이에른주 원자력 발전소가 악성코드에 감염돼 가동이 중지됐다. 원전 근무자가 USB를 사용하던 과정에서 감염됐다. 같은해 1월 일본 후쿠이현 몬주 원자력 발전소가 악성코드에 감염돼 닷새 동안 이메일과 작업 기록, 직원 개인정보 등 4만여개의 문서가 유출됐다. 작업자가 컴퓨터 동영상 재생 프로그램을 업데이트하면서 감염됐다.
대안은 “USB를 다루는 사람, 기기 등 절차를 만들고 철저하게 관리해야 한다”
구형시스템도 사이버 공격 허점을 만든다. 상당수 구형 시스템은 보안을 고려하지 않고 제작됐거나 이미 알려진 보안 취약점조차 해결 하지 못해 공격에 취약하다.
◇ICS를 노린 '악성코드'...최근 랜섬웨어까지 다양해져
ICS를 공격할 목적으로 만들어진 악성코드는 스턱스넷, 인더스트로이어, 트리톤 등 다양하다. 최근 침투 악성코드 뿐 아니라 류크 랜섬웨어도 등장했다.
스턱스넷은
2010년 이란 나탄즈 핵 시설에 침투해 원심분리기를 오작동하게 만들어 핵무기 개발을 지연시켰다. 마이크로소프트(MS) 윈도 OS 제로데이 취약점을 통해 PC에 감염된다. 감염된 PC에 연결된 USB 등을 통해 추가감염이 이뤄지는 형태다. 모든 시스템을 대상으로 하는 것이 아닌 산업시설 전반적인 현황을 감시하고 제어하는 스카다(SCADA) 시스템만을 노린다. 게다가 컴퓨터 한대만 감염시키면, 네트워크에 연결된 모든 컴퓨터에 침투 가능하다. 웜(Worm) 바이러스 형태로 자기복제 한다.
인더스트로이어는
전력 공급 인프라에 공격 가하도록 설계된 악성코드다. 2016년 12월 발생한 우크라이나 수도 키예프 전력 공급 중단 사태에 사용된 것으로 추정한다. 해당 악성코드는 모듈화 형태로 공격자가 공격을 관리하는데 사용하는 백도어다. C&C 서버와 연결돼 다른 모듈을 설치·제어하고, 결과를 공격자에게 보고한다.
트리톤은
2017년 사우디아라비아 석유화학 공장 시설 중단 원인을 조사하던 중 발견된 악성코드다. 트리톤은 스턱스넷, 인더스토리어 등과 마찬가지로 산업시설을 물리적으로 파괴한다. 최근 트립톤이 독가스 누출 등 비상사태 때 최후 방어막 역할 하는 비상안전장치까지 제어하려 한 정황을 발견하기도 했다.
◇제로트러스트 정책 필요
전문가는 ICS보안에도 모든 것을 신뢰하지 않는 '제로 트러스트' 정책을 적용하는 것이 필요하다고 조언한다. 망분리를 통해 모든 보안을 구비했다고 생각하는 것이 아닌 각 영역별로 보안정책을 만들고 실행에 옮겨야 한다는 설명이다. 폐쇄망도 외부와 연결된 고리가 있는 만큼 이를 관리할 체계가 필요하다.
최근 엔드포인트로 다양한 공격이 시도된다. 일부 공격은 특정 목표를 정하지 않기도 한다. 엔드포인트로 내부 정보 유출 가능한 악성코드를 심어 데이터를 탈취하거나 필요에 따라 사용자 아이디, 비밀번호, 신용카드 정보, 혹은 일반 시스템에 대한 운영권을 획득하기도 한다. 해커는 이익에 따라 상황을 진단하고 공격 방법을 진화시킨다. 특정 공격을 막는 시스템구축, 보안정책 구현은 도움되지 않는다. 공격자는 더 치밀하고 교묘해졌다.
정영일기자 jung01@etnews.com
관련기사 원본출처 : http://www.etnews.com/20190319000090
댓글목록
등록된 댓글이 없습니다.