산업기반시설을 위험하게 만드는 여섯가지 ICS 보안취약점

By이유지

전력, 에너지, 플랜트 등의 주요 산업기반시설에 설치된 산업제어시스템(ICS)이 취약한 사용자 인증, 노후화된 하드웨어 사용 등으로 사이버공격에 무방비로 노출되고 있다.

파이어아이코리아(지사장 전수홍)는 6일 ICS 보안 취약점 6가지를 발표했다.

ICS는 최근 사이버공격자들의 주요 타깃이 되고 있다. 파이어아이 아이사이트 인텔리전스 분석에 따르면, 2000년 이후 1600개에 달하는 ICS 취약점이 발견됐다. 이란의 핵시설을 공격했던 ‘스턱스넷’ 공격이 발생한 2010년 이후 ICS 취약점이 급증했다는 분석이다. 이 가운데 30%는 패치가 이뤄지지 않은 것으로 나타났다.

실제 공격에 악용된 ICS 취약점
실제 공격에 악용된 ICS 취약점

ICS에서는 일반적으로 암호를 이용해 사용자 인증을 수행한다. 흔히 하드코딩된 기본(default) 암호(패스워드)를 사용하거나 쉽게 해독·복구할 수 있는 형식의 암호를 사용하고 있다. ‘admin’, ‘1234’와 같은 기본·하드코딩된, 특정 시스템에 접속할 수 있는 아이디와 패스워드가 웹상에 노출돼 있는 경우도 있다.

이처럼 취약한 사용자 인증 절차를 운영하는 환경은 언제든 공격자들의 먹잇감이 될 수 있다. 취약한 암호를 공격자들이 쉽게 취득해 공정을 마음대로 조작할 수 있다고 파이어아이는 경고했다.

공격을 완화하기 위해선 내부의 ICS 장치 목록과 하드코딩된 암호가 있다고 알려진 장치 목록과 대조하고, 장치의 로그 및 네트워크 트래픽을 모니터링해 암호 취약성을 악용한 공격 시도 여부를 탐지할 수 있어야 한다.

ICS 시스템 환경에서는 인증되지 않은 프로토콜을 많이 사용하고 있다는 점도 문제다.

인증은 데이터가 신뢰할 수 있는 출처에서 온다는 것을 보장하는 기술이다. ICS 프로토콜에 인증체계가 없으면 네트워크상의 컴퓨터가 설정 값을 변경하거나 HMI(Human Machine Interface)에 부정확한 측정값을 보내는 등 물리적 공정을 변경하는 명령을 보낼 수 있다.

이로 인해 올바르지 않은 공정 운영을 초래해 제품을 손상시키거나 플랜트 설비를 파괴할 수 있다. 직원에게 해를 미칠 수도 있다.

소스 인증은 일반적으로 검증과 암호화 키를 사용해 수행된다. 공격을 완화하기 위해선 공정 제어 네트워크에서 사용 중인 인증되지 않은 프로토콜을 모두 확인해 취약점 수준을 파악하고 현재 사용 중인 장비가 인증 옵션을 지원할 수 있는지 평가하는 등의 노력이 필요하다.

취약한 파일 무결성 검사와 윈도 운영체제 사용도 위험을 부른다.

무결성 검사는 데이터나 코드의 무결성 및 출처를 검증하는 기능이다. 일반적으로 암호화 검증을 통해 수행된다. ICS에서는 취약한 소프트웨어 서명, 취약한 펌웨어 무결성 검사, 취약한 제어 논리 무결성 검사를 시행하는 사례가 발견되고 있다.

무결성 검증절차가 부재하거나 취약하면 공격자가 개발업체가 제공하지 않은 소프트웨어나 악성파일을 설치·대체하거나 펌웨어를 변경해 PLC(Programmable Logic Controller) 등과 같은 장치 작동을 제어할 수도 있다.

제어논리는 PLC에서 실행되는 공정제어 프로그램이다. 적절한 제어 논리 무결성 검사가 부족하다는 의미는 PLC에서 공인 사용자가 공인 엔지니어링 소프트웨어를 사용하여 논리를 생성했는지 검증하지 않고 논리를 승인한다는 의미다. 이러한 사용자는 설정 값을 변경하고 장비를 제어할 수도 있다.

엔지니어링 워크스테이션, HMI는 패치되지 않은 오래된 윈도 운영체제(OS) 실행시에도 알려진 취약점에 노출시키는 경우가 많다. 경우에 따라서는 적들이 제어 시스템의 특정 지식 없이도 산업 시스템에 접근할 수 있다. 공격을 완화하기 위해선ICS 벤더 지침에 따라 유지보수 다운타임에 업그레이드를 하거나 패치 적용이 필요하다.

fireeye-ics파이어아이는 ICS 자산 소유자들이 ICS 소프트웨어에서 제3자(서드파티) 종속성을 문서화해 트래킹하지 않는 관행도 문제로 지적했다. ICS 공급업체가 다른 업체가 개발해 적용한 오픈소스 등의 구성요소를 관리하지 않는 경우엔 고객들에게 취약성을 알리기 어렵다. 공격자들은 이같은 소프트웨어를 표적으로 삼을 수 있다.

ICS 업체들은 제3자 소프트웨어와 버전의 목록과 소프트웨어에 대한 패치 검증 요청을 수행해야 한다.

윤삼수 파이어아이코리아 전무는 “ICS 표적공격이 점차 잦아지고, 고도화되면서 사회혼란, 국가안보까지 위협하고 있지만 여전히 탐지되지 않는 보안위협에 취약하다는 사실을 제대로 인식하지 못하고 있다”라면서 “현재 사용하고 있는 ICS 환경과 취약성을 파악하고 네트워크 가시성을 확보해 위협 인텔리전스와 결합해 집중 모니터링하면서 위험관리할 필요가 있다”고 강조했다.

파이어아이는 ‘아이사이트 인텔리전스’를 기반으로 ICS에 특화된 위협 인텔리전스 서비스를 제공하고 있으며, 취약점 분석, 헬스체크 등을 포함한 전문 보안컨설팅을 제공한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다