4차산업 혁명이 다양한 산업에서 진행되고 있는 가운데 스마트 팩토리, 스마트 시티 등 산업 현장과 밀접한 분야에서 뜨거운 이슈가 되고 있다. 그러나 기술이 빠르게 가는 만큼 산업의 현장은 생각보다 빠르지 못해 그 간극에 생기는 위험요소들이 많다.

파이어아이(지사장 전수홍)가 산업환경에서 보안을 위협하는 “여섯 가지 파괴적인 우려 사항 보고서”를 발표했다. 이번 보고서에서 파이어아이는 ICS(산업제어시스템) 보안 취약점 여섯 가지 및 공격을 예방할 수 있는 방법도 설명하고 있다.

① 인증되지 않은 프로토콜
많은 ICS 프로토콜은 인증 없이 작동된다. 인증은 데이터 신뢰를 보장하는 기술이다. ICS 프로토콜에 인증 체계가 없다면 네트워크상의 컴퓨터가 설정 값을 변경하거나HMI(Human Machine Interface)에 부정확한 측정 값을 보내는 등 물리적 공정을 변경하는 명령을 보낼 수 있다. 이로 인해 올바르지 않은 공정 운영을 초래할 수 있으며, 이는 곧 제품을 손상 시키거나, 플랜트 설비를 파괴하거나, 직원에게 해를 가하거나, 환경을 파괴시킬 수 있다. 소스 인증은 일반적으로 검증과 암호화 키를 사용한다. 공격을 예방하려면 공정 제어 네트워크에서 사용 중인 인증되지 않은 프로토콜을 모두 확인하여 취약점 수준을 파악하고 현재 사용 중인 장비가 인증 옵션을 지원할 수 있는지 점검해야 한다.

② 낙후된 하드웨어
ICS 하드웨어는 수십 년간 사용되는 경우가 종종 있다. PLC, RTU, VFD, 보호 계전기, 플로우 컴퓨터, 게이트웨이 커뮤니케이터 등의 하드웨어는 매우 단순한 동작을 하거나 오래돼 처리 능력 및 메모리가 부족해 최신 네트워크 기술을 이용한 위협을 대응하지 못할 수 있다. 공격을 막으려면 하드웨어를 업그레이드 하거나 오래된 하드웨어와 네트워크 연결을 최소화하도록 방화벽 규칙을 구성한다.

③ 취약한 사용자 인증
ICS에서는 일반적으로 사용자인증을 암호로 한다. 레거시 제어 시스템 사용자 인증 취약성에는 흔히 하드코딩된 암호, 쉽게 해독되는 암호, 쉽게 복구할 수 있는 형식으로 저장된 암호, 그리고 일반 텍스트로 전송된 암호가 있다. 공격자는 이러한 암호를 쉽게 취득하여 공정을 마음대로 조작할 수 있다. 그러므로 내부의 ICS 장치 목록과 하드코딩된 암호가 있는 장치 목록과 대조한다. 암호의 취약성을 악용하려는 시도가 있는지 장치의 로그 및 네트워크 트래픽을 모니터링한다.

④ 취약한 파일 무결성 검사
무결성 검사는 데이터 또는 코드의 무결성 및 출처를 검증하는 기능이다. 일반적으로 암호화 검증으로 수행되며 ICS에서 무결성 검사에 결함이 있는 경우는 취약한 소프트웨어서명, 취약한 펌웨어 무결성 검사, 취약한 제어논리 무결성 검사 등이 있다.

소프트웨어 서명은 소프트웨어가 공인된 소스에서 제공되었는지 검증하는 데 사용된다. 보안 업체는 자체 인증서를 생성하거나 인증 기관에 의뢰하여 클라이언트가 소스를 확인할 수 있게 한다. 소프트웨어 서명이 없으면 공격자가 사용자를 오도하여 벤더가 제공하지 않은 소프트웨어를 설치하도록 할 수 있다. 또한 공격자가 합법적인 파일을 악성 파일로 대체할 수도 있다.

펌웨어는 PLC 또는 RTU와 같은 내장된 장치가 해당 기능을 수행할 수 있도록 해주는 코드로 일반 소프트웨어보다 변경하거나 업데이트하기가 더 어렵다. 공격자가 펌웨어를 업로드할 수 있게 되면, 장치의 전체 작동을 제어할 수 있다.

제어 논리는 PLC와 같이 프로그래밍 가능한 컨트롤러에서 실행된 공정제어 프로그램이다. 제어 논리 무결성 검사가 제대로 되지 못하면 PLC에서 공인 사용자가 공인 엔지니어링 소프트웨어를 사용하여 논리를 생성했는지 검증하지 않고 논리를 승인한다. 이 경우 설정 값을 변경하고 장비를 제어할 수 있다.

⑤ 취약한 윈도우 운영 체제
엔지니어링 워크스테이션 및 HMI는 패치되지 않은 오래된 윈도우 운영체제를 사용하면 알려진 취약점에 노출되는 경우가 많다. 때로는 공격자가 제어 시스템의 특정 지식 없이도 산업 시스템에 액세스 할 수 있다. 공격을 예방하려면 ICS 벤더 지침에 따라 유지보수다운타임에 업그레이드를 하거나 패치 적용이 필요하다.

⑥ 문서화 되지 않는 제 3자 관계
ICS 자산의 소유자들은 사용하는 ICS 소프트웨어에서 제3자(써드 파티)의 종속성을 문서화하고 트래킹하는 경우는 거의 없다. 많은 ICS 공급 업체는 사용하는 타사 구성 요소를 즉시 알지 못해 고객에게 취약성을 알리기 어렵다. 이러한 종속성을 파악한 공격자는 제조사 입장에서 자사가 소유하고 있는지 알지 못하는 소프트웨어를 표적으로 삼을 수 있다. 공격을 막으려면 ICS 벤더에게 오픈 소스 소프트웨어를 비롯하여 자사의 제품에 사용된 제3자 소프트웨어 및 버전의 목록과 상호운용성을 보장하기 위해 제3자 소프트웨어에 대한 패치 검증에 대한 요청 등이 필요하다.

파이어아이 코리아 윤삼수 전무는 “ICS 표적공격이 점점 증가하고 고도화되면서 사회혼란 및 국가 안보까지 위협하고 있지만, 아직도 많은 보안 담당자들이 ICS가 탐지되지 않는 보안위협에 취약하다는 사실을 제대로 인식하지 못하고 있다”며 “여섯 가지 취약점을 명확히 이해하면 보다 효율적으로 ICS 보안을 구축할 수 있다. 전사에 걸쳐 활용 가능한 인텔리전스를 도입해 조직원의 보안의식을 제고하여 위험 관리를 하고 경영진 및 보안 담당 전문가들이 정보에 기반해 보안대책을 수립할 수 있도록 지원하는 것이 중요하다”라고 말했다.

이향선기자 hslee@nextdaily.co.kr