랜섬웨어가 생산공장, 공항, 발전시스템을 공격하면서 폐쇄망 보안에 빨간불이 켜졌다. 폐쇄망은 가장 높은 수준의 보안 정책으로 보호돼야 하지만, 실제로는 보안에 소홀한 관리 환경으로 인해 보안에 매우 취약한 환경이 됐다. 폐쇄망 네트워크는 중단 없이 운영돼야 해 소프트웨어 업데이트가 어렵고, 보안 전문가가 적어 제대로 된 보안 정책을 수립하고 운영하기 어렵다. 그럴수록 기본 보안 수칙에 충실하는 것이 정답이다. 다계층 방어 시스템을 구성하고, 관리자의 보안 수칙을 강화하며, 정기적인 취약점 진단, 모의해킹, 지능적인 보안관제로 리스크를 줄여나가야 한다.<편집자>
ICS, 망분리 환경에서의 업무망 같은 폐쇄망이 공격을 당하면 매우 심각한 피해를 입을 수 있다. 사람들의 안전과 생명이 위협을 받을 수 있으며, 그 피해액은 숫자로 환산할 수도 없다. 그러나 폐쇄망 운영 환경은 너무나 쉽게 보안을 위배한다. 관리자의 편의를 위해 폐쇄망 관리 PC를 수시로 인터넷에 연결하고, 망연계 시스템을 이용하지 않고 USB를 이용해 자료를 옮기며, 스마트폰 테더링으로 개인 업무를 보기도 한다.
윤삼수 파이어아이코리아 전무는 “해외 폐쇄망은 방화벽을 이용해 논리적 분리를 하기 때문에 사이버 공격에 쉽게 당하지만, 국내 폐쇄망은 물리적 폐쇄망을 이용하고, 단방향 통신을 해 상대적으로 안전한 편이다. 그러나 운영하는 사람들이 습관적으로 보안 수칙을 어겨 공격에 취약하다. 또한 일부 시스템은 인터넷을 통한 원격관리가 필요한 지점이 있으며, 이 부분이 제대로 관리되지 않아 공격을 당할 수도 있다”며 “폐쇄망이 외부와 연결되는 지점을 철저하게 관리하고, 평소 취약점 진단, 침투테스트, 보안관제 등을 이용해 모니터링 해야 한다”고 말했다.
폐쇄망은 취약점 진단을 제대로 하지 않고, 폐쇄망 소프트웨어 업데이트나 취약점 패치를 제대로 하지 않기 때문에 매우 취약하다. 파이어아이가 지난해 8월 발표한 보고서에서는 2000년 이후 1600여개의 폐쇄망 취약점이 발견됐으며, 이 중 3분의 1은 보안패치조차 없는 것으로 나타났다. 폐쇄망 취약점 중 절반 이상(58%)은 폐쇄망 아키텍처 중 두 번째 존(SCADA Zone)에서 발견됐다. 두 번째 존 내 취약점의 경우 실제 공격에 이용될 경우 심각한 침해를 초래할 수 있다는 점에서 각별한 주의가 필요하다.
폐쇄망서 인터넷 통한 SW 업데이트 '위험'
소프트웨어 패치 업데이트를 한다고 해서 안전한 것도 아니다. 패치 업데이트를 위해 외부로 열어놓은 포트를 통해 악성코드가 유입되기도 하며, 패치 업데이트용 보안USB가 해킹당하는 사례도 있다. 보안USB는 매체 자체의 안전성을 보장하지만 여기에 저장되는 콘텐츠가 안전한지는 보장하지 않는다. USB에 저장된 업데이트 소프트웨어, 문서 등에 악성코드가 심어져있다면 공격을 당하게 된다. 많은 경우 USB에 내려 받을 때 백신으로 검사하지만 백신을 우회하는 것은 너무나 쉽다.
백신 업데이트 할 때 보안정책을 가장 많이 위반한다. 보안USB에 업데이트 파일을 저장해 시스템마다 설치해야 하는데, 관리 업무가 증가한다는 이유로 인터넷에 연결해 업데이트한다. 업데이트를 한 후 인터넷 연결을 반드시 끊어야 하는데 관리소홀로 연결된 상태를 유지해 공격의 빌미를 제공하기도 한다.
폐쇄망을 관리하는 PC의 키보드와 마우스에 악성코드를 심어 공격하기도 한다. 7월 12일 열린 국제정보보호컨퍼런스에서 신대규 KISA 정보보호산업본부장은 폐쇄망 해킹 시연을 통해 마우스에 숨어있는 악성코드가 철도관제시스템을 공격하는 것을 보여준 바 있다.
신 본부장은 “행사 기념품으로 증정하는 마우스를 폐쇄망 관리 PC에 연결해 사용하는 경우가 있는데, 이 마우스에 악성코드를 심어 공격하는 사례는 실제로 발생한 바 있다. 폐쇄망은 의외의 곳에서 해킹을 당하기 쉽다”고 설명했다.
스마트팩토리 확대로 인터넷 연결되는 ICS 늘어
스마트팩토리가 확산되면서 폐쇄망을 업무 시스템과 연결하는 환경이 일반적으로 통용되고 있다. 폐쇄망에서 생산된 정보는 ERP로 전송돼 전사 자원을 관리한다. 최근 공장자동화 시스템은 생산라인에 각종 센서를 달아 센서에서 발생하는 정보를 수집해 불량률을 낮추고 생산공정을 효율화하며 재고를 관리한다. 폐쇄망에서 빅데이터 분석 시스템으로 데이터 전송을 위해 외부 네트워크로 연결해야 하는 지점이 생기는 것이다.
또한 최근 생산설비 소프트웨어 기업들이 소프트웨어 업데이트를 USB나 소프트웨어 패키지로 배포하는 것이 아니라 인터넷을 통해 직접 내려 받도록 하고 있어 공격에 노출될 위험이 있다. 소프트웨어 기업들은 프락시를 이용하기 때문에 공격으로부터 안전하다고 하지만, 프락시도 안전을 보장하지 않는다. 또한 생산설비 업데이트는 배포 후 즉시 적용하는 것이 아니라, 운영 서비스에 영향을 주는지 여부를 테스트 한 후 단계적으로 진행되기 때문에 장기간 인터넷에 연결돼야 해 공격자에게 시간을 충분히 주는 결과로 이어진다.
주요 시스템의 관제 시스템을 무선망을 이용하는 경우도 많다. 지하철 승강장의 경우 무선망으로 제어하는데, 일부 지역에서는 일반 와이파이를 사용한다. 철도운영은 전용 통신망을 사용해 상대적으로 안전하다고 평가받지만, 무선망에 대한 정기적인 취약점 점검과 침투테스트가 반드시 병행돼야 한다.
우리나라 군의 경우 별도 인트라넷을 사용하고, 전쟁 때 사용하는 전술망과 정보망이 분리돼 있지만, 자료를 공유하기 위해 망을 연동하는데, 이 구간의 관리 실패로 국방망 해킹 사고가 발생했다.
망 분리 프로젝트를 시작할 때부터 공격 가능성을 염두에 두지 않는 것도 문제다. 망을 분리할 때, 폐쇄망에 악성코드나 취약점이 있는지 충분히 진단하고 공격위협을 사전에 제거한 후 사업을 진행해야 한다. 그러나 사업 진행 기간과 비용의 문제로 사전 진단을 거치지 않고 망을 분리해 공격자가 심어놓은 백도어가 그대로 살아 있는 경우가 많다.
