[데이터넷] 2010년 이란 원전시설을 노린 스턱스넷은 USB를 통해 유포됐다. 이 공격이 지금 발생한다면 인터넷에 연결된 PLC를 직접 감염시키거나 PLC를 제어하는 엔지니어링 워크스테이션을 통해 침투할 것이다. 이러한 공격 시도가 현재 진행되고 있지 않다고 장담할 수 있는 사람은 아무도 없다. 원자력 발전소는 공격자의 금전적 혹은 정치적 이익을 극대화할 수 있는 목표이기 때문에 지금도 끊임없이 침투 시도가 있을 것으로 짐작할 수 있다.

전 세계가 전쟁의 공포에 휩싸이고 있다. 러시아-우크라이나 전쟁은 끝날 기미가 보이지 않고 있다. 전쟁가능한 국가를 선언하고 군사대국으로 빠르게 전진하고 있는 일본, 극한 대립으로 치닫고 있는 미-중, 그리고 핵으로 무장하고 있는 북한 등 우리나라를 둘러싼 모든 나라들이 일촉즉발의 위기 상황에 놓여있다.

현대 전쟁은 사이버 전쟁을 병행한다. 전쟁 시 상대국의 가장 중요한 인프라를 해킹하면서 피해를 더 크게 만든다. 그래서 러시아의 침략을 받은 우크라이나는 국가의 중요 시설과 데이터센터를 인근 국가로 빠르게 이전했다. 사실상 섬나라인 우리나라는 이전할 ‘인근 국가’가 없어 주요 인프라 침해 시 피해 복구가 어렵다. 또한 좁은 지역에 원자력발전소가 밀집해 있어 원전의 PLC를 무기화 하면 물리적 핵 전쟁에 버금가는 피해를 입을 수 있다.

해킹 쉬운 PLC, 주요 인프라 위협한다

이러한 경고는 결코 과장된 것이 아니다. 중요 인프라들이 외부와 연결되면서 스마트해지고 있지만, 보안 대책은 충분히 마련되어 있지 않다. 특히 제조강국이면서 선진적인 IT 기술 도입이 빠른 우리나라는 주요 인프라와 설비 환경에 IoT·클라우드를 접목해 스마트하게 만드는 사업을 가속화하고 있기 때문에 해킹 시 피해를 가늠하기 어려운 상황이다. 특히 OT 자동화를 위한 PLC가 해킹당했을 때 여파는 상상할 수 없을 만큼 큰 피해로 남을 수 있다.

PLC는 거의 모든 설비 환경에서 자동화를 위해 사용되고 있으며, 프로그램 변경이 용이하고 다양한 입출력 장치와 호환된다. 발전·에너지, 제조, 운송, 교통, 건물관리 등 다양한 분야에서 사용되고 있다. 그런데 PLC는 쉽게 프로그램 될 수 있기 때문에 공격자가 동작과 로직을 수정해 공격에 이용할 수 있다.

PLC 해킹 방법은 유튜브에서도 쉽게 찾을 수 있다. 깃허브에 공개된 PLC 해킹 스크립트 파일을 이용해 PLC 패스워드를 탈취하고 원격에서 제어할 수 있으며, 패스워드 크래킹 툴로 크랙하거나, 크래킹 툴을 이용해 잊어버린 패스워드를 찾다가 멀웨어에 감염되기도 한다. PLC 로직 업·다운로드 시 코드를 조작해 PLC를 해킹하는 것 역시 여러 해킹대회에서 시연됐고 유튜브에서도 검색 가능하다.

공격자가 무차별 대입공격으로 PLC 인증정보를 탈취하는 취약점도 종종 공개된다. 대표적으로 노조미 네트웍스가 2021년 공개한 미쯔비시 세이프티 PLC 취약점(CVE-2021-20594)을 들 수 있다. 이 취약점은 무차별 대입공격으로 모듈에 등록된 사용자 이름을 탈취해 무단으로 로그인 할 수 있다. 로그인한 공격자는 PLC 안전로직을 변경하고 등록된 사용자 비밀번호를 변경할 수 있다.

무기화된 PLC 이용 대규모 공격 가능

클래로티의 보안연구조직 팀82가 지난해 공개한 ‘이블 PLC(Evil PLC)’는 PLC를 무기로 만들어 시설을 위협할 수 있는 공격 방식이다. PLC 무기화는 이전부터 지속적으로 경고가 나온 바 있는데, 클래로티는 이를 개념증명으로 보여주면서 PLC 무기화의 위험성을 강조했다.

클래로티는 PLC를 직접 감염시키거나 시스템 통합업체를 통해 감염시키는 시나리오를 공개했다. PLC 직접 감염 방식은 쇼단, 센시스 등에서 검색되는 PLC 중 인증과 권한이 취약한 것을 찾아 감염시킨 후 PLC와 연결된 엔지니어링 워크스테이션을 감염시키고, 이 워크스테이션이 통제하는 PLC에 잘못된 명령을 내리도록 한다. 2020년 이스라엘 상수도시설 공격을 시도한 그룹이 이 방법을 사용했다.

시스템 통합업체를 이용하면 더 넓은 범위의 침해가 가능하다. 시스템 통합업체 시스템에 액세스 해 이 업체가 관리하는 조직의 PLC와 워크스테이션을 감염시켜 일시에 대규모 공격이 가능하게 된다. 시스템 통합업체 직원의 워크스테이션을 통해 공격자가 다수의 시설을 통제할 수 있다.

인증·권한관리 취약한 PLC

PLC는 폐쇄망 설비를 위해 사용되기 때문에 별도의 보안 인증을 거치지 않거나 인증 강도가 약하고, 인증·권한관리가 제대로 이뤄지지 않았다. 10여년 전 주요 설비업체들이 보안을 위해 PLC 펌웨어에 비대칭 암호화를 적용해 보안을 강화했는데, 당시 OT 조직이 이를 관리하는데 부담을 느껴 PLC 내에 암호키를 하드코딩해 저장했다. 이러한 키가 공격자에게 들어가면 영향받는 모든 PLC를 통제할 수 있다. 점점 더 많은 OT 설비가 외부와 연결되면서 하드코딩된 암호키가 탈취되고 있으며, 공격자가 더 쉽게 설비를 제어할 수 있게 됐다.

이러한 대책조차 없는 PLC는 더 심각한 문제에 직면해있다. 대부분의 PLC는 인증과정이 생략돼 있거나 패스워드 입력으로 접근이 가능하다. 다수의 PLC를 일일이 관리할 수 없기 때문에 모든 PLC에 동일한 패스워드를 사용하거나 수년간 동일한 패스워드를 사용하며, 장비 옆에 적어놓기도 해 사실상 패스워드가 없는 것이나 마찬가지다.

패스워드는 주기적으로 변경하며, 길고 복잡한 문자 조합을 사용하도록 권고하지만, 잘 이행되지는 않는다. 길고 복잡한 패스워드를 기억하지 못해 잊어버리면 설비 운영이 불가능해질 수 있다. 패스워드를 잊어버렸을 때 패스워드 복구 툴을 사용하기도 하는데, 복구툴에 멀웨어가 숨어있어 피해입는 일도 발생한다.

PLC를 관리하는 엔지니어링 워크스테이션을 이용하면 더 쉽게 공격자가 제어할 수 있다. 공격자는 일반 백신 솔루션의 시그니처에 등록되지 않은 신종 악성코드로 워크스테이션을 공격한다. 신종 악성코드는 행위분석 기술로 찾을 수 있는데, OT 환경에서는 네트워크 장애를 우려해 네트워크에 보안 솔루션 설치를 꺼린다.

제로 트러스트 원칙으로 PLC 통제

PLC를 보호할 수 있는 방법은 많지 않다. 가용 리소스가 없는 PLC에 백신 등 보안 솔루션을 설치하기 어려우며, PLC 네트워크에 IPS를 설치하려해도 네트워크 변경이 쉽지 않은 OT 환경에서는 받아들여지지 않는다. 미러링 방식의 분석으로 네트워크 변경과 영향 없이 보안 감시를 한다 해도 실시간 패킷 캡처 시 미세한 영향이 있을 수 있다는 것을 우려해 쉽게 승인되지 않는다.

가장 안전한 방법은 PLC에 확실하게 사전에 허락된 행위만을 수행하도록 통제하는 것이다. 이를 위해서는 공격자가 PLC 혹은 워크스테이션을 장악해 무단으로 변경하지 못하도록 PLC 접근에 대한 제로 트러스트 기반의 강력한 통제가 요구된다.

PLC 통제와 인증을 위해 OTP가 사용되는데, OTP는 인증을 수행하는 사람을 식별하지 못한다는 한계가 있다. OTP는 1:1 인증 방식이기 때문에 여러 사람이 여러 PLC를 관리하는 현장에서는 누가 OTP를 이용해서 인증했는지 확인하지 못한다. 여러 OTP를 사용하다보면 인증번호가 중복되는 경우도 있다.

IT 운영 환경에서는 PAM이나 패스워드 관리 시스템을 이용해 다대다 인증을 수행한다. 이 시스템은 양방향 통신을 전제로 하는데, PLC는 양방향 통신이 어려운 폐쇄망에 있기 때문에 PAM·패스워드 관리 시스템도 적합하지 않다.

단방향 다이내믹 인증으로 PLC 보호

PLC에 대한 안전하고 강력한 인증기술로 센스톤의 다이내믹 인증코드 OTAC가 제안된다. OTAC는 네트워크가 단절된 상황에서도 중복되지 않은 일회용 인증코드를 통한 일방향 인증이 가능하다. 코드 내에 사용자 식별값을 삽입할 수 있어 다대다 인증 상황에서 사용자 식별과 통제가 가능하다. 인프라 변경 없이, 사용자 환경 변화 없이 사용할 수 있으며, 다른 인증 기술에 비해 비용 효율적으로 도입할 수 있다.

센스톤의 OTAC는 LS일렉트릭의 PLC 제품군에 적용된다. LS일렉트릭은 PLC 국산화를 위해 적극적인 투자를 단행하고 있으며, ‘보안’을 경쟁사 대비 차별화된 강점 중 하나로 강조하고 있다. LS일렉트릭 PLC 제품군은 사용자 식별이 가능한 단방향 인증을 통해 PLC에 대한 무단 변경이나 침입을 원천적으로 봉쇄하고 주요 인프라 해킹을 방지할 수 있도록 한다.

LS일렉트릭은 PLC에 대한 강화된 인증과 공급망 공격 방어를 차별점으로 앞세워 국내 시장 점유율 80%를 차지하는 외산 솔루션에 도전장을 내밀었다. LS일렉트릭 PLC 제품군은 강력한 보안 기능과 함께 안정적인 제품 공급과 즉각적인 지원을 강조하면서 시장 공략에 나선다고 밝히고 있다.