메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

ICS/SCADA 환경의 사이버 보안 문화

서문
지난 10년 동안 일반 IT 네트워크 부문의 보안은 많은 관심을 받으며 장족의 발전을 이룬데 반해 ICS(산업 제어 시스템)와 SCADA 부문에 대해서는 보안과 관련된 우려와 관심이 제기되지 않았습니다. 대부분의 조직은 ICS/SCADA 환경에서 사이버 보안은 '튼튼하면 좋지만 아니어도 그만'이라고 생각했으며, 기존의 생산 공정 안전이나 산업 시스템 가용성은 사이버 보안과는 무관한 주제로 여겨졌습니다.

SCADA의 소프트웨어나 네트워크 커뮤니케이션, 독자적인 네트워크 프로토콜, 하드웨어 장치의 설계 및 구현 등, 어떤 측면을 살펴봐도 보안은 최우선 사항이 아닙니다. 아직도 ICS 환경에서는 가짜 네트워크 아이덴티티 스푸핑, 액세스 권한 초과 악용, 하나의 인증 계정을 통한 여러 시스템 액세스, 기타 일반적인 해킹 수단이 흔히 발견됩니다. 기업 IT에서는 기존 네트워크의 사이버 보안 위협을 크게 낮춘 Microsoft SDL과 같은 전략 덕분에 이러한 문제를 오래 전에 해결했으나, 대부분의 ICS 시스템과 SCADA 소프트웨어, 그리고 PLC 공급업체에서는 설계 시 이러한 전략을 적용하지 않고 있습니다.

사이버 보안 위협을 막기 위한 기존의 보안 규제 접근 방식 또한 시대에 뒤처져 있습니다. 대부분의 국제 기관이나 각국 정부에서는 표준만 지키면 측정과 행동을 통해 치명적인 사건을 막을 수 있다고 이야기하지만 정교해진 현대 사이버 보안 공격을 감안하면 규제 준수는 사이버 보안을 지키기 위한 최소한의 기준점에 불과합니다. 사이버 범죄자들은 꾸준히 ICS 시스템의 취약점을 조사하고 공격 수단을 개발하며, 사회 공학 기법을 이용해 인터넷 사용자의 취약점을 공략하고 있습니다. 따라서 Kaspersky Lab에서는 기업 보안을 위해서 표준과 규제를 준수할 뿐만 아니라 새로운 접근방식, 즉 '자기 규제' 정책을 도입해야 한다고 이야기합니다. 이러한 새로운 방침을 통해 모든 구성원이 자신의 행동에 따른 결과에 책임을 지고 허용 가능한 일에 대한 경계선을 분명하게 파악할 수 있을 것입니다.

문제 영역
미국 ICS CERT 보고서(1)에 따르면, ICS에서 발생하는 사이버 보안 사고의 55%는 APT(지능형 지속 공격)이며, ICS 환경에서 일어나는 모든 사고의 40%는 사람의 부적절한 행동으로 인해 발생한다고 합니다. 그리고 사람으로 인한 사고의 배경에는 대개 스피어 피싱이 있습니다. Kaspersky Lab에서 실시한 침투 테스트와 보안 감사에 의하면 설계상 안전하지 않은 ICS 네트워크에서 인적 요소의 위험성은 더욱 커집니다. 대부분의 공격은 교육 부족으로 사이버 보안의 개념에 대한 이해가 미비하거나, 일반적인 사이버 보안 인식이 없는 사용자가 원인이 됩니다.

자세한 사항을 알아보기 전에 큰 그림을 확인해보겠습니다. 미국 ICS CERT에 따르면 ICS 환경을 대상으로 한 사이버 공격은 점차 증가하고 있습니다. 가장 공격을 많이 받는 산업은 첫 번째가 '석유 가스'이고 전력 생산 및 보급 분야, 주요 제조업 분야가 그 뒤를 잇고 있습니다.

미국 ICS CERT 팀에서 리포트하고 있는 취약점의 수도 증가하고 있습니다. 이는 ICS 영역을 노리는 악성 코드도 취약점을 악용하여 시스템에 치명적인 손상을 입힐 가능성이 높다는 것을 의미합니다. 


그림1. 취약점을 악용한 보안 사고. 출처 ? 미국 ICS CERT(링크)

문제 #1. ICS/SCADA의 하드웨어 및 소프트웨어 보안 취약점과 관련된 사고가 꾸준히 증가하는 추세입니다. 설계상 안전하지 않은 시스템은 감염될 위험이 높습니다.

Kaspersky Lab에서 고객사를 방문해 보안 환경과 문제점을 조사한 뒤 관리자에게 평가 결과를 제시하면, 다음과 같은 피드백을 듣곤 합니다. “저희 IT/OT 관리자는 사이버 문제를 잘 파악하고 있습니다. APT의 공격을 받을 염려는 없을 겁니다.” “전력 회사에서 훔쳐 갈 게 뭐 있겠습니까? 석유 가스가 아니라 전기를 생산할 뿐인데요.” “저희 회사는 규제를 준수하고 있는데 왜 사이버 보안을 염려해야 합니까?”

다른 각도에서 한 번 살펴보겠습니다. 아래 다이어그램은 BE2(BlackEnergy2)에 감염된 SCADA 시스템을 나타냅니다. BE2는 이메일 첨부파일을 통해 침입하는 APT의 일종으로, 사용자가 의심 없이 이메일을 열고 첨부파일을 두 번 누르면 악성 코드가 활성화되어 네트워크에 빠르게 퍼져나갑니다[3]. SCADA 운영자가 HMI 스테이션이나 SCADA 서버에서 감염된 이메일을 읽으면 어떤 일이 벌어질까요?

2012년, 중동 지역의 석유 회사인 Aramco에서 35,000개[4] 시스템이 일제히 정지되는 사건이 발생했습니다(2). IT 인프라를 잃은 Aramco는 모든 작업을 문서를 통해 수동으로 처리해야만 했습니다. 공격의 최초 발생지는 Aramco의 한 기술자에게 전송된 악성 이메일이었습니다. 직원이 이메일을 열자 악성 코드가 필수 시스템을 장악한 것입니다. 결제 시스템까지 마비된 Aramco는 자국의 석유탱크 트럭에 석유 판매 중단 조치를 취했지만, 결국 17일 후에는 자국의 석유 공급 흐름을 위해 무료로 석유를 제공하기 시작했습니다. 

보다 최근의 사고는 2015년 12월 23일에 BE2가 우크라이나의 전선망을 감염시킨 일입니다. 이 공격으로 인해 서-우크라이나에서부터 중앙 우크라이나와 키예프 국제공항, 그리고 일부 우크라이나 TV 및 언론사가 타격을 입었습니다. 200,000여 명의 고객이 약 6시간 동안 전기를 사용하지 못하는 광범위한 정전 사태가 벌어졌으며, 배전 네트워크는 2016년 1월 중순까지 1달 이상 SCADA 없이 운영되어야 했습니다.


그림2. BlackEnergy 2에 감염된 SCADA 시스템(Kaspersky Lab KSN 통계)

참조:
(1) https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT%20Monitor_Nov-Dec2015_S508C.pdf 
(2) http://money.cnn.com/2015/08/05/technology/aramco-hack/ 
(3) BlackEnergy 2
a. https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/ 
b. https://business.kaspersky.com/black-energy/5091/ 
c. https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/ 
d. https://securelist.com/blog/research/68838/be2-extraordinary-plugins-siemens-targeting-dev-fails/ 
(4) http://money.cnn.com/2015/08/05/technology/aramco-hack/ 
 

번호 제목 날짜
81 15개의 새로운 복호화 도구와 새로운 파트너로 더욱 강력해진 No More Ransom 프로젝트

2017.04.14 0

2017.04.14
80 보안 제품 성능 평가 TOP3 지표에서 1위를 지킨 카스퍼스키랩

2017.03.20 0

2017.03.20
79 PetrWrap: 해커들이 랜섬웨어 코드를 해커들로부터 훔치다

2017.03.20 0

2017.03.20
78 카스퍼스키랩, Kaspersky 운영 체제 출시

2017.03.20 0

2017.03.20
77 금융보안원 글로벌 보안 기업과 사이버위협 정보공유 업무협약 체결

2017.02.27 0

2017.02.27
76 보안 사각지대 ‘리눅스서버’

2017.02.27 0

2017.02.27
75 2016년에 발견된 암호화 랜섬웨어의 75% 이상은 러시아어 사용 범죄조직에서 배포

2017.02.21 0

2017.02.21
74 새로운 국면을 맞은 DDoS 공격

2017.02.21 0

2017.02.21
73 AV-TEST에서 최우수 부문을 석권한 카스퍼스키랩

2017.02.06 0

2017.02.06
72 카스퍼스키랩, 범죄자가 취약점을 악용하기 전에 보안 문제를 해결하는 무료 애플리케이션 출시

2017.02.06 0

2017.02.06
71 카스퍼스키랩, 기업의 보안 위협 대응 역량을 강화하는 Kaspersky Threat Lookup 출시

2017.02.06 0

2017.02.06
70 중요 산업 인프라: 일반 비즈니스 보호를 위한 롤 모델

2017.02.06 0

2017.02.06
69 Switcher 트로이목마의 출현. 라우터 공격에 노출된 안드로이드

2017.02.06 0

2017.02.06
68 카스퍼스키랩, 새로운 CryptXXX 랜섬웨어 복호화 도구 발표

2016.12.26 0

2016.12.26
67 40초마다 1번꼴로 기업을 위협하는 랜섬웨어, 2016년 카스퍼스키랩의 올해의 이슈로 선정

2016.12.26 0

2016.12.26
66 2016년 통계: 카스퍼스키랩 클라우드 데이터베이스에 십억 개의 악성 코드 등록

2016.12.08 0

2016.12.08
65 카스퍼스키랩의 2017년 위협 예측

2016.11.18 0

2016.11.18
64 카스퍼스키랩, Crysis 랜섬웨어 무료 복호화 툴 긴급 발표

2016.11.16 0

2016.11.16
63 카스퍼스키랩, 아시아 태평양 지역에서 철도 산업의 사이버 보안을 개선하기 위해 TUV Rheinland와 제휴

2016.11.16 0

2016.11.16
62 산업 제어 시스템 긴급대응팀 설립으로 주요 기반 시설의 보호에 나선 카스퍼스키랩

2016.11.16 0

2016.11.16