폐쇄망으로 운영되는 산업제어시스템은 사이버 공격으로부터 안전하다는 믿음을 벗어버려야 한다. 이미 많은 부분에서 폐쇄망이 인터넷에 연결돼 있으며, 폐쇄망이 공격당한 사례는 수없이 발견된다. 산업제어시스템이 랜섬웨어 공격을 받으면 피해는 매우 심각하다. 쉽게 중단할 수 없는 산업제어시스템이 특성상 빠르게 공격이 확장될 것이며, 천문학적 규모의 피해를 입을 수도 있다.<글 안경진 포티넷코리아 기술담당 (SE) 차장>
산업제어시스템과 국가주요 기간망시스템은 폐쇄망으로 운영된다. 우리는 그것을 통칭해 ICS/SCADA라고 한다. ICS/SCADA는 외부와 통신해야 할일도 적으며, 산업특성상 그들 고유의 산업용 프로토콜로 통신 및 제어를 하기 때문에 자연스럽게 외부와 단절된 폐쇄형 운용할 수 있었다. 따라서 ICS/SCADA는 외부의 해킹공격이나 바이러스로 인한 침해를 겪지 않을 것이라고 자신해왔다.
하지만 효율적인 ICS/SCADA 설계 및 운용을 위해 TCP/IP로 통신하는 시스템을 도입하게 되면서 공격받을 위험이 높아졌다. 해커들은 예상하지 못한 경로로 침투하며, 내부근무자의 고의 혹은 실수로 위험한 멀웨어가 침투할 수 있게 됐다.
ICS/SCADA 공격 가능한 킬디스크 랜섬웨어
ICS/SCADA도 사이버 공격의 예외가 될 수 없으며, ICS/SCADA 보안사고 소식도 과거대비 자주 접하게 된다. 대표적인 것이 이란의 핵프로그램을 폐기하기 위해 미 국방성 공격으로 인한 스턱스넷 핵발전소 사고 그리고 원전도면의 유출과 원전중단 협박을 받아 한동안 국내를 떠들썩하게 했던 한수원 사태를 들 수 있다. 이 모든것이 폐쇄망과 ICS/SCADA 망의 특성에 기대 상대적으로 보안시스템을 적극적으로 도입하지 않은 결과라고 볼 수 있다.
과거 이러한 공격은 국가차원에서 이뤄지거나 거대한 해커집단으로부터 이뤄졌으며, 해당 ICS/SCADA 네트워크와 시스템제어의 깊은 이해가 필요했고 장기적으로 이뤄졌다. 최근 ICS/SCADA 공격 사례를 보면 우크라이나 정전사태를 유발한 킬디스크(KillDisk) 처럼 산업시스템을 제어하는 PC나 서버들을 사용하지 못하게해 최종적으로는 시스템 제어를 할 수 없도록 무력화한 후 금전을 갈취하는데 목적을 두고 있다.
킬디스크가 최초에 발견됐을 때 디스크를 삭제하는 것으로 해당공격 대상을 무력화시키는데 목적이 있었다. 그러나 최근 킬디스크는 랜섬웨어 특성을 이어받아 RSA 1028 공개키와 AES공유알고리즘을 사용해 로컬 하드 드라이브와 조직 전체에서 공유되는 모든 네트워크 매핑 폴더를 암호화한다. 이 킬디스크의 변종은 샌드웜 해커그룹에서 파생된 텔레봇츠(TeleBots)라는 해커그룹이 기존 킬디스크를 개량한 버전이다.
샌드웜 해커집단은 2014년 블랙에너지(BlackEnergy)라는 멀웨어를 사용해 미국의 다양한 산업 제어 시스템과 ICS/SCADA 시스템을 공격한 것으로 유명하다. 이 킬디스크는 윈도우에서만 동작하는 것이 아니라 ICS/SCADA 시스템을 공격할수 있도록 리눅스계열에서도 동작하게 돼 있다. 잠입하는 순간 즉시 실행되는 것이 아니라 일정 시간이 지난 후 공격하도록 설계됐다.
해커의 비즈니스 도구 된 랜섬웨어
랜섬웨어는 오래전부터 전세계 IT 인프라 사용자들을 괴롭히고 있는 멀웨어의 한 유형이다. 기존 멀웨어는 단순히 시스템의 어떤 특정부분을 감염시키기 때문에 치료가 가능하다. 혹은 굳이 치료를 하지 않아도 다른 프로세스를 구동시킬 수 있다.
랜섬웨어는 문서, 데이터베이스, 소스코드, 디스크 이미지, 전자 메일 및 미디어 파일을 비롯한 다양한 유형의 파일을 암호화하도록 설계됐고, 로컬 파티션과 네트워크 폴더가 모두 공격 대상이 된다. 궁극적으로는 사용불가상태로 빠뜨리게 되며 비트코인과 같이 추적불가능한 지불수단을 사용해 금전적인 탈취를 목적으로 하고 있다.
해커집단은 랜섬웨어를 단순한 해킹도구가 아니라 비즈니스 도구로 인식하고 있다. 그들도 단순 그룹이 아니라 하나의 회사로 운용되고 있다. 이에 대응하기 위해 많은 보안솔루션 벤더들이 차단할 수 있는 대응책을 내놓고 있지만 해커집단은 이를 우회하기 위해 탈취한 수익의 일부분을 신형 및 변종 R&D에 집중 투자하고 있다.
랜섬웨어와 결합된 킬디스크는 2015년 12월 23일 우크라이나 전력 회사를 공격해 우크라이나 정전을 야기시켰다. 운영체제 기존 원격 관리 도구 또는 가상 사설망(VPN) 연결을 통한 원격 산업 제어 시스템(ICS) 클라이언트 소프트웨어를 사용해 해커가 전력차단기를 악의적으로 원격으로 조작했다.
추정하기로는 원격 액세스를 용이하게 하기 위해 해커가 공격에 앞서 합법적인 자격 증명을 획득했다고 생각한다. 킬디스크 멀웨어는 대상 시스템에서 선택한 파일을 지우고 마스터 부트 레코드(MBR)를 손상시켜 시스템이 작동하지 않게 한다.
적어도 하나의 인스턴스에서 원격 터미널 장치에 내장 된 윈도우 기반 휴먼-기계 인터페이스(HMI)도 킬디스크로 덮어 쓰였고 변전소에서 시리얼 투 이더넷(Serial-to-Ethernet) 장치를 펌웨어 손상으로 작동 불능 상태로 만들었다. 또한 UPS 원격 관리 인터페이스를 통해 UPS(Uninterruptable Power Supplies)에 대한 연결이 끊어 지도록 계획된 것으로 나타났다.
이와 같이 ICS/SCADA를 대상으로하는 랜섬웨어 공격이 성공하게 되면, 킬디스크의 경우 222비트코인(약 3억원)의 비용을 요구한다. 개인 PC를 대상으로하는 랜섬웨어공격이 1회당 20만원 정도의 금전적 이득을 취하는 것에 비하면 해커입장에서는 대형 프로젝트라고 할만하다.
큰 수익 얻을 수 있는 ICS/ICS/SCADA 공격
왜 ICS/SCADA 운영회사는 이 같은 큰 금액을 지불할 수밖에 없으며 공격대상이 되는 것일까. ICS/SCADA를 대상으로하는 랜섬웨어공격이 점점 더 잦아지고 진입장벽이 낮아지고 있는 이유는 ICS/SCADA 네트워크와 동일한 테스트환경을 제공해주는 서비스가 생겼고, 해커들은 그 서비스를 통해서 탐지되지 않는 특정 ICS/SCADA 용 랜섬웨어를 제작할 수 있게 됐기 때문이다.
산업조직은 다음과 같은 이유로 랜섬웨어의 대상이 된다.
- HMI 데이터와 같이 물리적 프로세스가 사용할 수 없게 되는 운영 데이터가 있으면 생산 자산에 치명적인 손상, 생산 중단 및 물리적 안전 위험이 발생할 수 있다.
- 산업 조직은 멀웨어가 확산되는 것을 막기 위해 네트워크 작업을 종료 할 수 없다. 왜냐하면 산업 프로세스 자체를 쉽게 종료 할 수 없기 때문이다.
- 기업은 사이버 공격으로 대중에게 공개되면 규제 기관 및 환경 안전에 대한 더 많은 조사가 필요하다는 우려로 몸값을 지불 할 가능성이 더 높다.
- 운영기술(OT) 환경은 IT 환경보다 성숙하지 못하기 때문에 데이터 백업 프로세스로 모든 필요한 데이터를 복원하기에 충분하지 않을 수 있다.
- 내부직원은 보안 인식 훈련이 적고 피싱 전자 메일을 통해 전달되는 악의적 인 문서를 열 가능성이 높다.
- 의료 기관이 HIPAA 준수에 중점을 두는 것처럼 산업 조직의 주된 관심사는 일반적으로 사이버 보안 통제를 강화하기보다는 규정 준수(예 NERC-CIP)를 보장하는 데 있다.
특히 OT 네트워크에 대한 공격은 회사 네트워크에 대한 공격보다 훨씬 심각한 것으로 간주된다. 중요한 작업을 제어하는 시스템에 액세스하는 위협 행위자는 댐에서 수문을 열거나 구성 요소가 끊어지기까지 끊임없이 켜고 끄는 것과 같은 물리적 손상을 초래할 수 있다.
안타깝게도 ICS/SCADA 시스템을 제어하는 서버들은 보안패치가 제대로 돼 않은 경우가 대부분이며 기존 운영하고 있는 시스템의 제어 영향도를 고려해 패치를 하지 않는다. 역시 마찬가지로 ICS/SCADA 시스템 또한 보안취약점들을 가지고 있는데 ICS/SCADA 시스템은 보안패치를 만들어내는데 매우 오랜시간이 걸린다. 독일 지멘스 같은 회사도 평균 6개월씩 소요되고 있는 실정이다.
무작정 패치를 기다리거나 폐쇄 환경이라는 장점만 믿고 안심할 수는 없으며, 주요 공격대상인 HMI 네트워크 앞단에 산업용 차세대 방화벽을 설치하여 의도적이든 우발적이든 감행되는 공격을 방어할 수 있도록 해야 한다. 그것은 대부분의 알려진 공격들을 막을수 있는 DB를 가지고 있기 때문에 가상 패치(Virtual Patch) 효과를 기대할 수 있다. 산업시스템용 방화벽은 샌드박스 솔루션과 연동해 알려지지 않은 공격을 방어할 수 있다.
지금까지 폐쇄환경으로 운용돼왔고, 일반적인 환경대비 극히 일부분 IT인프라가 도입되고 있지만, 상대적으로 쉽게 공격할 수 있는 많은 보안취약점을 가지고 있고 또한 패치를 할 수 없는 환경을 고려하여 점점 더 많은 ICS/SCADA를 대상으로 하는 랜섬웨어 공격이 더욱 늘어날것으로 본다.
단순히 222비트코인의 금전적 탈취문제가 아니라 ICS/SCADA시스템은 한 회사전체의 비즈니스 모델 그리고 국가전체의 경제적 손실을 초래하기 때문에 복구도 중요하지만 사전예방에 큰 중점을 두어야 할 것이다.
