ICS 사이버위협 급증…제로데이 취약점 증가추세

주요기반시설인 산업제어시스템(ICS) 대상 사이버공격 위협이 급증하고 있다. ICS에서 발견되는 취약점 수가 갈수록 크게 늘어나는 추세다.

파이어아이(지사장 전수홍)가 최근 발간한 ICS 보고서에 따르면, 2000년 이후 1600개에 달하는 ICS 취약점이 발견됐다. 이 가운데 30% 이상은 보안패치가 존재하지 않았다.

이를 두고 파이어아이는 전력망, 전력망, 상수도 등 주요 산업 기반시설의 기술적 근간인 ICS가 사이버공격 위협에 고스란히 노출되고 있다고 경고했다.

ICS취약점 관련 연구는 지난 2010년 보안업계를 떠들썩하게 했던 이란 부셰르 원자력발전소를 공격한 ICS 표적 악성코드인 ‘스턱스넷(Stuxnet)’이 공개된 이후 활발하게 진행됐다. 이에 따라 ICS 관련 취약점 역시 기하급수적으로 증가했다.

파이어아이 아이사이트 인텔리전스의 집계에 의하면, 2000년 1월부터 2010년 12월까지 공개된 취약점은 149건에 불과했으나 2016년 4월 취약점은 1552건으로 늘어났다.

이러한 증가추세는 앞으로도 계속될 것으로 예상된다.

ICS 취약점 절반 이상 스카다 존에 집중, 30% 이상 보안패치 없어

파이어아이_이미지_ICS의 단순화된 퍼듀 모델
단순화된 ICS 퍼듀 모델

ICS 취약점 중 절반 이상(58%)은 ICS 아키텍처 가운데 두 번째 존인 스카다 존(SCADA Zone)에서 발견됐다. 이들 취약점은 실제 공격에 이용될 경우 심각한 침해를 초래할 수 있다는 점에서 각별한 주의가 필요하다.

프로세스를 직접 제어하는 장비들(HMI, EWS)이 이 존에 위치해 있다. 장비 중 하나를 제어할 수 있게 되면 공격자들은 마치 마스터키를 소유한 것과 같이 모든 프로세스를 통제할 수 있게 된다.

실제로 2014년 12월 우크라이나 전력회사 대상 공격에서 공격자는 HMI(Human Machine Interface)에 접근해 스위치와 액추에이터를 제어했다.

총 1552개의 ICS 취약점 중 3분의 1 이상인 516개는 공개 당시 보안패치가 존재하지 않았다. 이는 취약점의 33%가 제로데이 취약점이었다는 뜻으로, ICS 보안이 심각한 위협에 처해있다는 알 수 있다.

국가 차원 공격에 ICS 취약점 악용

파이어아이_이미지_실제 악용된 ICS 취약점
실제 악용된 ICS 취약점

ICS 취약점이 악용된 실제 공격 5건과 관련, 파이어아이는 해당 공격이 모두 국가 차원의 공격자와 연관이 있다고 추측하고 있다.

파이어아이는 잇따른 ICS 취약점 공격이 성공해 앞으로 국가 기반 해킹조직들이 ICS 취약점을 사이버공격에 악용할 가능성이 농후할 것으로 전망하고 있다.

ICS 보안을 위해서는 ▲보안팀이 ICS 위치와 기능을 정확히 이해할 것 ▲ICS 관련 취약점과 보안패치 최신정보 확인 ▲공개된 취약점과 보안패치가 ICS에 해당되는 내용인지 확인 ▲산업 환경에서 사용되고 있는 취약한 제품이나 보안패치가 적용되지 않은 제품의 지속적인 모니터링 ▲취약점이 ICS 아키텍처 중 어디에 위치하는지, 취약점 악용 과정, ICS 프로세스에 끼칠 영향 등을 고려하며 취약점 개선 노력에 역점을 둘 것 등이 권장된다.

전수홍 파이어아이코리아 지사장은 “사회 기반시설 시스템인 ICS에 문제가 발생할 경우 주요 정보에 대한 위협은 물론 시민들의 일상생활에 까지 불편함을 초래할 수 있어 각별한 주의와 관심이 필요하다”며 “각 기관들은 ICS 취약점과 보안패치 관련 최신 정보를 지속적으로 확인하고 ICS의 취약점 파악을 위해 보안 검진을 실시하는 등 적극적인 보안 노력을 보여줘야 할 때”라고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다