한국트렌드마이크로는(www.trendmicro.co.kr)는 전력, 가스, 수도 등 국가 기반 시설과 산업시설에 사이버 공격이 우려되고 있다며 기간 산업망 보안에 각별한 주의를 기울일 것을 당부했다. 트렌드마이크로의 모의 실험에서 사회기간시설에 대한 사이버 공격이 다수 탐지돼 사회적 혼란 등을 목적으로 한 사이버 테러가 현실임을 입증했다는 것이다.
트렌드마이크로는 산업설비 제어 시스템과 유사한 환경에 허니팟을 설치해 모의 실험을 진행했다. 허니팟은 비정상적 접근을 탐지하기 위해 의도적으로 설치한 시스템으로, 트렌드마이크로는 급수 펌프 시스템, 생산 시설, 공장 온도 조절 시스템 등으로 위장한 허니팟을 설치하고, 유입 공격을 분석했다.
트렌드마이크로에 살피면, 허니팟 설치 18시간 만에 첫 번째 공격이 유입됐으며, 총 28일 동안 14개 국가에서 총 39회의 공격이 발생하는 등 산업 설비 제어 시스템에 대한 공격이 진행됐다. 이는 사이버 범죄자들이 사회 기간 시설을 주요 공격대상으로 설정하고, 지속적으로 기간 시설망을 탐지해 공격을 시도하고 있음을 보여준다.
트렌드마이크로 허니팟에 유입된 공격 중 12회는 각각 별개의 표적공격이었으며, 13회는 동일 공격자에 의한 반복 공격이었다. 국가별로는 중국이 35%로 가장 많았으며, 미국 19%, 라오스 12% 등 순서로 집계됐다. 눈에 띄는 부분은 북한발 공격이다. 북한으로 추정되는 공격은 전체 공격 중 2%를 차지했는데, 이는 북한의 사이버 공격 그룹이 산업기간 시설 또한 사이버 공격 대상으로 검토하고 있음을 추정할 수 있게 하는 결과다.
국가 기반 시설과 대규모 산업 시설의 제어를 위해 사용되는 SCADA 시스템은 과거에는 인터넷망과 격리돼 운영되었지만 최근에는 원격관리의 편의성 확보 등을 위해 인터넷 접근이 용이하도록 설계되고 있다. 이러한 환경 변화를 노려 사이버 범죄자들은 네트워크에서 기간시설을 찾아내고, 공격을 진행하고 있는 것으로 분석된다. 실제로 지난 2010년 발견된 ‘스턱스넷(Stuxnet)’은 이란 원자력발전소를 비롯해 전세계 수천여 생산 시설에 장애를 유발시킴으로써 기간 시설이 공격 대상이 되고, 사회적·경제적 혼란을 야기시킬 수 있음을 증명했다.
장성민 한국트렌드마이크로 침해대응센터장은 “산업기반 시설 보호를 위해서는 오프라인 상태에서의 악성코드 탐지와 화이트리스트 방식의 응용 프로그램 제어 등 기존 보안제품과는 다른 접근 방식이 요구된다”고 밝혔다.
한편, 트렌드마이크로는 기간산업 보안을 위한 화이트리스트형 보안 솔루션 ‘세이프 락(Trend Micro Safe Lock)’을 선보였다. 세이프 락은 제어 시스템, 임베디드 장비 및 오프라인 환경에서 이용되는 특정 용도의 단말에 바이러스를 비롯한 악성코드의 침입과 실행을 방하는 솔루션이다.
애플리케이션 제어 방식으로 시스템 가용성을 저하시키는 패턴파일 기반 보안 솔루션 대비 성능을 보장할 뿐 아니라 인터넷 연결이 제한되는 폐쇄된 환경에서도 최신 패턴파일을 통한 방어력을 제공한다. 또 아울러 외부 저장매체와 네트워크를 통한 바이러스 감염 등 알려지지 않은 취약점을 노린 공격에 대해서도 효율적으로 대응하는 기능을 갖추고 있다.
