[ICS 보안①] ICS 노리는 국가 기반 사이버 공격
상태바
[ICS 보안①] ICS 노리는 국가 기반 사이버 공격
  • 김선애 기자
  • 승인 2019.05.07 09:00
  • 댓글 0
이 기사를 공유합니다

사회기반 시설 파괴해 사회 혼란 야기…정부·관련업계, ICS 보안 정책 마련 ‘분주’

2017년 중동 화학시설 파괴를 시도한 트리톤(Triton) 공격의 실체가 드러나고 있다. 파이어아이 보고서에 따르면 트리톤은 특정 국가의 지원을 받아 2014년부터 활동을 시작했으며, 기업 전산망으로 침투한 후 일반적인 APT 공격 기법을 이용해 OT 네트워크로 이동했다.

최초 침입 후 지속적으로 정상 사용자 계정을 탈취해 내부망으로 이동했으며, 공격에 사용한 도구는 정상 파일로 보이도록 위장했다. 공격 표적이 된 SIS 컨트롤러에 대한 접근이 확보되자 공격자들은 본격적으로 공격 목표를 달성하기 위해 트리톤을 배치했는데, 그 과정에서 더욱 신중한 태도를 취했으며, 발각 위험성을 줄이기 위해 관리자가 퇴근한 업무시간 이후의 시간동안 활동했다.

트리톤과 같이 국가와 정부의 후원으로 진행되는 사이버 공격은 사회기반시설을 노리고 활동한다. 3월 베네수엘라에서 발생한 대규모 정전사고는 미국을 배후에 둔 해킹그룹의 소행일 것으로 의심되며, 2016년 우크라이나 정전사고는 러시아가 배후에 있을 것으로 추측된다. 베네수엘라 정전사고에 대해서는 아직 정확한 조사 결과가 나오지 않았지만, 우크라이나 정전사고는 트리톤과 마찬가지고 IT 망으로 침투해 OT로 이동한 것으로 보인다.

제조·통신·에너지 시설 노리는 공격 증가

사회 혼란을 야기하는 사회기반시설 해킹이 갈수록 진화하고 있다. ‘APT’라는 용어를 등장시킨 이란 핵시설 파괴용 ‘스턱스넷’은 USB에 악성코드를 심어 유포했으며, 핵발전소 특정 기기의 특정 프로토콜에만 영향을 미치도록 설계됐으며, 산업제어시설(ICS) 관제 시스템에서는 정상 상태로 보이도록 모니터링을 조작했다.

조사에 따르면 미국에서 발생한 ICS 보안 사고는 2010년 39건에서 2016년 290건 증가했으며, 제조. 통신, 에너지 산업에서 집중적으로 발생했다.

5G 시대로 접어들면서 사회기반시설을 노리는 공격 위협도 높아지고 있다. 5G는 빠른 속도와 높은 대역폭을 제공하기 때문에 IoT 기기가 별도의 허브 없이 5G 네트워크에 직접 접속할 수 있다. 보안 관리가 제대로 되지 않는 IoT 기기로 인해 네트워크 전체가 위협에 처할 수 있다.

이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 3월 열린 ‘글로벌 정보보호 트렌드 세미나’에서 “사이버 위협이 현실세계로 전이되고 있다. 기존 사이버 공격은 정보유출, 금전적 피해 등을 목적으로 진행됐지만 이제는 사회기반시설을 파괴하고 사람들의 생명을 위협하는 공격으로 진행되고 있다. IoT와 다양한 융복합 서비스가 등장하면서 위협 수위는 더욱 높아진다”고 강조했다.

▲위협에 노출된 ICS(자료: 파로스네트웍스)

스마트팩토리, 공격에 더 쉽게 노출돼

사이버 공격자는 ‘돈’을 따라 움직인다. 정부·국가 기반 해킹 공격자들은 정치적인 목적도 있지만, 정치자금 마련을 목적으로도 공격한다. 공격자들은 랜섬웨어로 쉽게 수익을 올리다가 암호화폐 가치가 급등하자 직접 암호화폐 채굴을 하면서 수익을 올렸다. 암호화폐 가치가 하락한 이후에 다시 랜섬웨어 공격에 집중하고 있는데, 인질로 잡힌 데이터와 시스템에 더 많은 돈을 지불할 수 있는 제조시설, 사회기반시설을 주로 노린다.

최근 제조공장들이 AI와 IoT를 이용해 한 단계 진화하기 위해 스마트팩토리로 전환시키고 있어 공격에 더 쉽게 노출되고 있다. 폐쇄망으로 운영되던 제조시설이 인터넷에 연결되기 시작했으며, 보안관리가 제대로 되지 않은 취약한 시스템이 랜섬웨어 공격을 당해 큰 피해를 입고 있다.

3월 세계 4위 규모의 스웨덴 알루미늄 제조회사 노르스크 하이드로(Norsk Hydro)가 랜섬웨어 공격을 당해 금속 압출 공정이 중단되고 4000달러가 넘는 피해를 입었다. 미국 조지아주 잭슨 카운티가 랜섬웨어 공격을 당해 40만달러(약 4억5500만원)을 해커에게 지불했으며, 지난해 미국 애틀란타시는 랜섬웨어 피해를 입고 복구하는데 1500만달러를 지불했다.

우리나라 제조기업들도 피해를 입기는 마찬가지다. 보안 투자가 소홀한 중소·중견 제조기업은 물론이고, 대기업에서도 랜섬웨어로 제조공정이 중단되는 사고를 잇달아 겪고 있다.

제조설비는 가용성이 가장 중요한 요건이기 때문에 최신 시스템으로 변경하거나 보안 패치를 업데이트하는 것도 조심스럽다. 아웃오브밴드로 취약점을 스캔하는 것조차 꺼리는 것이 제조설비다. 작은 변화로 인해 제조시설이 중단되거나 장애를 겪으면 천문학적인 큰 피해를 입게 된다. 그러나 보안관리에 실패해 랜섬웨어나 시스템 파괴 공격을 당하거나 사이버 스파이가 지속적으로 기밀 정보를 빼 가면 더 큰 피해를 입는다는 사실은 간과하고 있다.

박현희 포티넷코리아 부장은 “제조시설, ICS을 노리는 공격자들은 정부 혹은 글로벌 대기업의 지원을 받기 때문에 충분한 예산과 인력을 이용해 장기간 공격을 시도한다. 수단과 방법을 가리지 않는 공격에 대응하는데 현재 방어 시스템은 열악한 상황이다. 심지어 공격이 발생했다는 사실조차 알지 못하는 상황”이라고 지적했다.

OT 특성 이해하는 보안 기술 시급

심각해지는 ICS 보안위협에 대응하기 위해 정부가 적극 나서고 있다. 각 산업분야별로 보안 체계 마련을 위한 연구용역과 시범사업을 진행하고 있으며, 특히 에너지 시설을 위한 보안 연구를 진행해 에너지 시설 파괴 시도 제어 대책을 마련하고 있다.

산업통상자원부(장관 성윤모)는 국가정보원, 발전사 등 9개 기관과 함께 발전제어시스템 보안관제 체계구축을 위한 연구개발을 공동으로 추진한다. 발전소운전 제어시스템에 대한 내외부에서의 사이버 공격을 모니터링하고 보안위협을 사전에 차단함으로써 발전시설의 안정적인 운영을 확보할 수 있도록 한다. 협약에는 산업통상자원부, 국가정보원, 한국수력원자력, 한국남동발전, 한국중부발전, 한국서부발전, 한국남부발전, 한국동서발전, 한국지역난방공사, 한전KDN 등이 참여했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.