2018.09.07

엘리베이터가 멈췄다?··· 스마트 빌딩 해킹 대응법

J.M. Porup | CSO
막 커피를 타서 사무실로 돌아왔는데, 갑자기 어디선가 서늘한 에어컨 바람이 불어온다. ‘어, 이상하다? 누가 이 날씨에 에어컨을 켰지?’ 대수롭지 않게 여기며 계속 커피를 마시는데 이번엔 어디선가 '끼이익' 소리가 들려온다. ‘파이프에서는 저런 소리가 안 날 텐데?’ 그 순간 갑자기 형광등이 깜빡이더니 이내 불이 나가 버리고 만다. 사무실에는 정적이 흐른다.



이때 울려 퍼지는 다급한 비명. 사무실에 있는 직원이 일제히 엘리베이터로 달려갔지만 문이 닫히고 열리기만 반복할 뿐 꿈쩍도 하지 않는다. 동네 꼬마들은 이 건물을 가리키며 ‘저기에 귀신이 산다’라고 말할 것이다. 싸구려 저 예산 헐리우드 영화가 아니다. 건물 보안이 부재한 상황에서 벌어질 수 있는 가상의 장면이다.

빌딩도 해킹의 대상이 될 수 있지만 아직도 많은 기업이 그 리스크를 줄일 방법을 생각조차 하지 않고 있다. 설상가상으로, 단지 관리가 편리하다는 이유로 사이버 보안과 물리 보안을 통합하는 것은 서로에게 책임을 떠넘기겠다는 이야기밖에 안 된다. 이제라도 스마트 빌딩의 보안 리스크를 점검, 평가하는 방법을 찾아보자. 호주의 에디스 코완 대학(Edith Cowan University) 연구팀이 내놓은 스마트 빌딩 보안 가이드라인을 중심으로 살펴보자.

건물 자동화 및 통제 시스템의 정의
건물 자동화 및 통제 시스템(Building Automation and Control System, BACS)은 지능적 빌딩 관리 시스템(IBMS)이라고도 부른다. 건물의 에어 컨디셔닝과 난방, 냉방, 조명, 엘리베이터, 화재 진압, 보안 카메라 등을 매우 정밀하게 제어할 수 있다. 이른바 ‘스마트 빌딩'은 에너지 효율성이 매우 높고, 인간의 수작업 상당 부분을 자동화했기 때문에 재정적으로 매우 효율적이다.

스마트 빌딩은 연 15~34%의 높은 성장률을 기록하고 있다. BACS 시장 역시 2022년이면 그 규모가 1,040억 달러에 이를 것으로 전망된다. 이처럼 건물을 하나의 마치 사물인터넷(IoT) 토스터처럼 만드는 것도 나름의 의미는 있다. 그러나 관리자가 간과하는 것이 하나 있다. 바로 보안이다. 스마트 빌딩은 본질적으로 인터넷에 연결된 건물이다. 쇼단(Shodan)에서도 스마트 빌딩을 바로 찾을 수 있다. 따라서 스마트 빌딩 보안을 소홀히 하면 그 피해는 토스트가 조금 타는 정도에서 그치지는 않는다. 기업의 핵심 인프라는 물론 그 기업의 평판까지 잃을 수 있다.

쇼단에서 검색해 본 스마트 빌딩
스마트 빌딩 시스템을 모니터링하는 것은 대개 사람 노동자, 그중에서도 저임금을 받는 보안 스태프다. 접근 통제를 위해 윈도우 데스크톱과 웹 애플리케이션을 활용한다. 스마트 빌딩의 보안에 있어서 엔드포인트 및 웹 서버 보안이 중요한 이유다. 머큐리 ISS의 컨설턴트이자 보안 전문가 에드 퍼렐은 “현대의 건축물은 대부분 HTTP 인터페이스를 사용한다. 관리를 쉽게 하기 위한 선택인데, 동시에 이 HTTP 인터페이스가 스마트 빌딩을 모든 이에게 액세스할 수 있게 만들었다. 그만큼 해킹도 쉬워졌다”라고 말했다.

실제로 쇼단에서 ‘델타웹(deltaweb),’ ‘나이아가라(Niagara)’ 그리고 ‘port=47808’ 같은 검색어를 조금만 찾아보면 수많은 스마트 빌딩 공용 웹 로그인 페이지가 나타난다. 이중에는 텔넷을 활성화해 놓은 경우도 있다. 실제로 2012년 보안 전문가 빌리 리오스와 테리 맥코르클은 트리디움(Tridium)의 나이아가라 AX 프레임워크의 치명적 결함을 발견했다. 나이아가라 AX 프레임워크는 건물 자동화 및 통제 시스템에 널리 사용된다. 두 사람은 그다지 복잡하지도 않은 테크닉을 사용해 사용자명과 암호를 빼냈고, 결국 트리디움은 긴급 패치를 배포했다.

이러한 웹 서버와 여기에 연결된 데스크톱의 보안을 책임지는 것은 누가 뭐래도 보안 엔지니어다. 하지만 상황은 생각보다 복잡하다. 정보 보안과 물리적 보안이 서로에게 영향을 미치고 있으며, 해킹 정보 시스템을 이용한 해커가 건물에 물리적으로 잠입하는 것도 가능해졌다. 물론 이러한 물리적 잠입 이후에는 기업의 핵심 정보 시스템에 침투하려 할 것이다. 이처럼 고층 건물의 정보 보안과 물리적 보안이 온통 뒤섞인 상황에서 보안 문제에 대한 책임과 통제권은 과연 누구에게 부여 해야 할까?

스마트 빌딩을 안전하게 지키는 방법
이런 논의에 있어 제로 데이 공격은 잠시 잊어도 좋다. 스마트 빌딩 보안을 위협하는 가장 큰 문제는 책임 전가다. 정보 보안, 물리적 보안, 그리고 시설 관리는 서로 각기 독립적인 보안 분야다. 건물 보안 측면에서는 셋 다 나름의 중요성과 비중을 차지하고 있다. 설상가상으로 여러 세대가 입주해 있는 고층 건물은 서드 파티 인티그레이터(integrator)가 시설물 소유주를 대신해 빌딩을 관리한다. 건물 세입자마다 각기 다른 보안 요구를 가지고 있다. 예컨대 10층에 입주한 정부 기관의 보안 요건과 다른 층에 입주한 상설 매장의 보안 요구는 다를 수밖에 없다. 따라서 우리 기업만의 특수한 보안상의 요구나 요건이 있다면, 건물을 임대할 때 반드시 이를 먼저 협의해야 한다.

물리적 보안과 정보 보안을 통합시킨 현대의 ‘스마트’ 빌딩은 보안 엔지니어와 물리적 보안 팀, 그리고 시설 관리자 간의 더 긴밀한 협력이 필요하다. 따라서 호주의 에디스 코완 대학 연구팀은, 보안 문제에 있어 최종적 책임을 질 고위 임원이 있어야 한다고 지적했다. 에디스 코완 대학 보안 과학부 수석 연구원인 데이브 브룩스는 “기업 관점에서 건물 보안에 가장 필요한 것은 단순히 건물 시스템을 이용하는 것이 아니라 전체 시스템을 총괄하고, 관리하며 책임질 사람을 임명하는 것이다. 이를 위해서는 모든 이해관계자를 포함해 조직간 작업 그룹을 만들고 건물 보안에 협력해야 한다”라고 말했다.

중간급 관리자와 더 많이 만나야 한다는 말이 달갑지 않게 들릴 수도 있다. 그러나 현대식 고층 건축물 보안이라는 고도로 복잡하고 어려운 과제를 위해서는 작업 그룹을 조직하는 것이 최선이다. 퍼렐은 “오늘날 건물 보안에 있어서 가장 큰 문제는 그 누구도 이것을 자기 일로 생각하지 않는다는 것이다. 자기 책임이 아니라고 생각하기 때문이다. 타조처럼 모래 속에 머리를 파묻고 ‘눈에 안 보이면 (문제가) 없는 것’이라 생각하려는 사람이 많다”라고 말했다.

그는 “보안 엔지니어만으로는 이 문제를 해결할 수 없다. 사이버 보안은 디지털 보안과 물리적 보안, 그리고 소셜 엔지니어링 보안의 교차점이다. 건물 자동화 및 통제 시스템은 이러한 보안에서 사람이 가장 많이 간과하는 부분이다”라고 말했다.


스마트 빌딩의 보안 체크리스트
그렇다면 기업이 직면한 리스크를 식별, 평가할 수 있도록 매니저를 보조하고, 이러한 리스크를 줄이기 위한 구체적 단계를 살펴보자. 역시 에디스 코완 대학의 가이드를 기준으로 한다. 현대식 스마트 빌딩은 매우 복잡한 구조로 돼 있어서 건물 보안에 단순한 기술적 솔루션이 아니라 매니징 솔루션이 필요하다. 복잡하게 얽혀 있는 물리적 보안과 정보 보안을 풀어헤친 후 재조합하기 위해 필수적이다.

에디스 코완 대학의 브룩스는 이 가이드가 “조직 전반에 걸쳐 ‘올바른 질문’을 던질 수 있도록 도와주는 거버넌스 툴이 될 것이다. 이 가이드의 원래 목적은 사람이 질문을 던지도록 하는 것이다. 이 모든 질문에 혼자 답할 수 있는 사람은 없으므로 다른 부처와 의논해 함께 답을 찾아야 한다”라고 말했다. 이것은 버그가 아니라 기능이다. 그동안 고립돼 혼자 문제를 해결했던 부서가 서로 협력해 스마트 빌딩 보안을 관리하게 된다.

에디스 코완 대학이 발표한 이번 가이드는 각 기업이 자신만의 위협 모델을 설립할 수 있도록 도와준다. 예컨대 인명이 달린 중요한 시설물을 관리하는 보안 모델은 별다른 영향력이 없는 시설물의 보안 모델이 더 엄격하고 까다로워야 한다. 일단 조직에 맞는 위협 모델을 만들고 나면 리스크를 줄이기 위한 제대로 된 과정과 절차가 마련되어 있는지를 확인해야 한다. 보안은 ‘결과’가 아니라 ‘과정’이라는 말도 있듯이 말이다. 특히 이 가이드는 컴퓨터 코드가 아니라 인적 요소에 더 초점을 맞추고 있다.

마지막으로, 이 글 첫머리에서 언급한 ‘귀신 들린 건물’이 현실이 될 수 있는지 전문가에게 물었다. 퍼렐은 회의적이라고 전망했다. 그는 “설사 이런 일이 있다고 해서 얼마나 심각한 피해를 줄 수 있겠는가? 그런 장난을 해 봤자 실질적인 피해보다는 회사의 평판에 조금 영향을 미칠 뿐이다. 리스크가 존재하는 것은 사실이지만, 그렇다고 해서 너무 부풀릴 필요도 없다. 언제나 공격의 위험은 더 과장돼 보이게 마련이다”라고 말했다. ciokr@idg.co.kr 

2018.09.07

엘리베이터가 멈췄다?··· 스마트 빌딩 해킹 대응법

J.M. Porup | CSO
막 커피를 타서 사무실로 돌아왔는데, 갑자기 어디선가 서늘한 에어컨 바람이 불어온다. ‘어, 이상하다? 누가 이 날씨에 에어컨을 켰지?’ 대수롭지 않게 여기며 계속 커피를 마시는데 이번엔 어디선가 '끼이익' 소리가 들려온다. ‘파이프에서는 저런 소리가 안 날 텐데?’ 그 순간 갑자기 형광등이 깜빡이더니 이내 불이 나가 버리고 만다. 사무실에는 정적이 흐른다.



이때 울려 퍼지는 다급한 비명. 사무실에 있는 직원이 일제히 엘리베이터로 달려갔지만 문이 닫히고 열리기만 반복할 뿐 꿈쩍도 하지 않는다. 동네 꼬마들은 이 건물을 가리키며 ‘저기에 귀신이 산다’라고 말할 것이다. 싸구려 저 예산 헐리우드 영화가 아니다. 건물 보안이 부재한 상황에서 벌어질 수 있는 가상의 장면이다.

빌딩도 해킹의 대상이 될 수 있지만 아직도 많은 기업이 그 리스크를 줄일 방법을 생각조차 하지 않고 있다. 설상가상으로, 단지 관리가 편리하다는 이유로 사이버 보안과 물리 보안을 통합하는 것은 서로에게 책임을 떠넘기겠다는 이야기밖에 안 된다. 이제라도 스마트 빌딩의 보안 리스크를 점검, 평가하는 방법을 찾아보자. 호주의 에디스 코완 대학(Edith Cowan University) 연구팀이 내놓은 스마트 빌딩 보안 가이드라인을 중심으로 살펴보자.

건물 자동화 및 통제 시스템의 정의
건물 자동화 및 통제 시스템(Building Automation and Control System, BACS)은 지능적 빌딩 관리 시스템(IBMS)이라고도 부른다. 건물의 에어 컨디셔닝과 난방, 냉방, 조명, 엘리베이터, 화재 진압, 보안 카메라 등을 매우 정밀하게 제어할 수 있다. 이른바 ‘스마트 빌딩'은 에너지 효율성이 매우 높고, 인간의 수작업 상당 부분을 자동화했기 때문에 재정적으로 매우 효율적이다.

스마트 빌딩은 연 15~34%의 높은 성장률을 기록하고 있다. BACS 시장 역시 2022년이면 그 규모가 1,040억 달러에 이를 것으로 전망된다. 이처럼 건물을 하나의 마치 사물인터넷(IoT) 토스터처럼 만드는 것도 나름의 의미는 있다. 그러나 관리자가 간과하는 것이 하나 있다. 바로 보안이다. 스마트 빌딩은 본질적으로 인터넷에 연결된 건물이다. 쇼단(Shodan)에서도 스마트 빌딩을 바로 찾을 수 있다. 따라서 스마트 빌딩 보안을 소홀히 하면 그 피해는 토스트가 조금 타는 정도에서 그치지는 않는다. 기업의 핵심 인프라는 물론 그 기업의 평판까지 잃을 수 있다.

쇼단에서 검색해 본 스마트 빌딩
스마트 빌딩 시스템을 모니터링하는 것은 대개 사람 노동자, 그중에서도 저임금을 받는 보안 스태프다. 접근 통제를 위해 윈도우 데스크톱과 웹 애플리케이션을 활용한다. 스마트 빌딩의 보안에 있어서 엔드포인트 및 웹 서버 보안이 중요한 이유다. 머큐리 ISS의 컨설턴트이자 보안 전문가 에드 퍼렐은 “현대의 건축물은 대부분 HTTP 인터페이스를 사용한다. 관리를 쉽게 하기 위한 선택인데, 동시에 이 HTTP 인터페이스가 스마트 빌딩을 모든 이에게 액세스할 수 있게 만들었다. 그만큼 해킹도 쉬워졌다”라고 말했다.

실제로 쇼단에서 ‘델타웹(deltaweb),’ ‘나이아가라(Niagara)’ 그리고 ‘port=47808’ 같은 검색어를 조금만 찾아보면 수많은 스마트 빌딩 공용 웹 로그인 페이지가 나타난다. 이중에는 텔넷을 활성화해 놓은 경우도 있다. 실제로 2012년 보안 전문가 빌리 리오스와 테리 맥코르클은 트리디움(Tridium)의 나이아가라 AX 프레임워크의 치명적 결함을 발견했다. 나이아가라 AX 프레임워크는 건물 자동화 및 통제 시스템에 널리 사용된다. 두 사람은 그다지 복잡하지도 않은 테크닉을 사용해 사용자명과 암호를 빼냈고, 결국 트리디움은 긴급 패치를 배포했다.

이러한 웹 서버와 여기에 연결된 데스크톱의 보안을 책임지는 것은 누가 뭐래도 보안 엔지니어다. 하지만 상황은 생각보다 복잡하다. 정보 보안과 물리적 보안이 서로에게 영향을 미치고 있으며, 해킹 정보 시스템을 이용한 해커가 건물에 물리적으로 잠입하는 것도 가능해졌다. 물론 이러한 물리적 잠입 이후에는 기업의 핵심 정보 시스템에 침투하려 할 것이다. 이처럼 고층 건물의 정보 보안과 물리적 보안이 온통 뒤섞인 상황에서 보안 문제에 대한 책임과 통제권은 과연 누구에게 부여 해야 할까?

스마트 빌딩을 안전하게 지키는 방법
이런 논의에 있어 제로 데이 공격은 잠시 잊어도 좋다. 스마트 빌딩 보안을 위협하는 가장 큰 문제는 책임 전가다. 정보 보안, 물리적 보안, 그리고 시설 관리는 서로 각기 독립적인 보안 분야다. 건물 보안 측면에서는 셋 다 나름의 중요성과 비중을 차지하고 있다. 설상가상으로 여러 세대가 입주해 있는 고층 건물은 서드 파티 인티그레이터(integrator)가 시설물 소유주를 대신해 빌딩을 관리한다. 건물 세입자마다 각기 다른 보안 요구를 가지고 있다. 예컨대 10층에 입주한 정부 기관의 보안 요건과 다른 층에 입주한 상설 매장의 보안 요구는 다를 수밖에 없다. 따라서 우리 기업만의 특수한 보안상의 요구나 요건이 있다면, 건물을 임대할 때 반드시 이를 먼저 협의해야 한다.

물리적 보안과 정보 보안을 통합시킨 현대의 ‘스마트’ 빌딩은 보안 엔지니어와 물리적 보안 팀, 그리고 시설 관리자 간의 더 긴밀한 협력이 필요하다. 따라서 호주의 에디스 코완 대학 연구팀은, 보안 문제에 있어 최종적 책임을 질 고위 임원이 있어야 한다고 지적했다. 에디스 코완 대학 보안 과학부 수석 연구원인 데이브 브룩스는 “기업 관점에서 건물 보안에 가장 필요한 것은 단순히 건물 시스템을 이용하는 것이 아니라 전체 시스템을 총괄하고, 관리하며 책임질 사람을 임명하는 것이다. 이를 위해서는 모든 이해관계자를 포함해 조직간 작업 그룹을 만들고 건물 보안에 협력해야 한다”라고 말했다.

중간급 관리자와 더 많이 만나야 한다는 말이 달갑지 않게 들릴 수도 있다. 그러나 현대식 고층 건축물 보안이라는 고도로 복잡하고 어려운 과제를 위해서는 작업 그룹을 조직하는 것이 최선이다. 퍼렐은 “오늘날 건물 보안에 있어서 가장 큰 문제는 그 누구도 이것을 자기 일로 생각하지 않는다는 것이다. 자기 책임이 아니라고 생각하기 때문이다. 타조처럼 모래 속에 머리를 파묻고 ‘눈에 안 보이면 (문제가) 없는 것’이라 생각하려는 사람이 많다”라고 말했다.

그는 “보안 엔지니어만으로는 이 문제를 해결할 수 없다. 사이버 보안은 디지털 보안과 물리적 보안, 그리고 소셜 엔지니어링 보안의 교차점이다. 건물 자동화 및 통제 시스템은 이러한 보안에서 사람이 가장 많이 간과하는 부분이다”라고 말했다.


스마트 빌딩의 보안 체크리스트
그렇다면 기업이 직면한 리스크를 식별, 평가할 수 있도록 매니저를 보조하고, 이러한 리스크를 줄이기 위한 구체적 단계를 살펴보자. 역시 에디스 코완 대학의 가이드를 기준으로 한다. 현대식 스마트 빌딩은 매우 복잡한 구조로 돼 있어서 건물 보안에 단순한 기술적 솔루션이 아니라 매니징 솔루션이 필요하다. 복잡하게 얽혀 있는 물리적 보안과 정보 보안을 풀어헤친 후 재조합하기 위해 필수적이다.

에디스 코완 대학의 브룩스는 이 가이드가 “조직 전반에 걸쳐 ‘올바른 질문’을 던질 수 있도록 도와주는 거버넌스 툴이 될 것이다. 이 가이드의 원래 목적은 사람이 질문을 던지도록 하는 것이다. 이 모든 질문에 혼자 답할 수 있는 사람은 없으므로 다른 부처와 의논해 함께 답을 찾아야 한다”라고 말했다. 이것은 버그가 아니라 기능이다. 그동안 고립돼 혼자 문제를 해결했던 부서가 서로 협력해 스마트 빌딩 보안을 관리하게 된다.

에디스 코완 대학이 발표한 이번 가이드는 각 기업이 자신만의 위협 모델을 설립할 수 있도록 도와준다. 예컨대 인명이 달린 중요한 시설물을 관리하는 보안 모델은 별다른 영향력이 없는 시설물의 보안 모델이 더 엄격하고 까다로워야 한다. 일단 조직에 맞는 위협 모델을 만들고 나면 리스크를 줄이기 위한 제대로 된 과정과 절차가 마련되어 있는지를 확인해야 한다. 보안은 ‘결과’가 아니라 ‘과정’이라는 말도 있듯이 말이다. 특히 이 가이드는 컴퓨터 코드가 아니라 인적 요소에 더 초점을 맞추고 있다.

마지막으로, 이 글 첫머리에서 언급한 ‘귀신 들린 건물’이 현실이 될 수 있는지 전문가에게 물었다. 퍼렐은 회의적이라고 전망했다. 그는 “설사 이런 일이 있다고 해서 얼마나 심각한 피해를 줄 수 있겠는가? 그런 장난을 해 봤자 실질적인 피해보다는 회사의 평판에 조금 영향을 미칠 뿐이다. 리스크가 존재하는 것은 사실이지만, 그렇다고 해서 너무 부풀릴 필요도 없다. 언제나 공격의 위험은 더 과장돼 보이게 마련이다”라고 말했다. ciokr@idg.co.kr 

X