Offcanvas

IoT / 보안

산업 제어 시스템 보안을 위한 필수 질문 8가지

2018.03.22 Jaikumar Vijayan  |  CSO
최근 국가 단위로 추정되는 악성코드 공격으로 중동의 한 중요 인프라 시설이 중단된 사건이 발생했다. 이를 계기로 새로운 사이버 위협에 취약하다고 널리 인식된 ICS(Industrial Control Systems, 산업 제어 시스템)에 대한 우려가 더 커졌다. 많은 보안 전문가가 이번 사건을 ICS를 표적으로 하는 새로운 파괴적 공격이 몰려올 조짐으로 보고, 인프라 운영자가 OT(Operational Technology, 운영기술) 네트워크의 보안을 시급히 업데이트해야 한다고 지적했다.



ICS의 의미와 보안
ICS란 산업 공정의 운영 또는 자동화에 사용되는 모든 기기와 기구 및 관련 소프트웨어와 네트워크를 말한다. 일반적으로 제조업계에서 널리 사용하지만, 에너지, 통신, 운송 등 중요 인프라에도 필수적이다. ICS 가운데 많은 수가 인터넷, 즉 산업 사물인터넷(IIoT)을 통해 센서와 다른 기기에 연결된다. 즉 잠재적인 ICS 공격 대상이 늘어난 것이다.

ICS 보안 업체 PAS 글로벌(PAS Global) 창업주이자 CEO인 에디 하비비는 "기업이 IT 인프라를 구축하는 과정에서 얻은 교훈을 활용하되 OT의 고유 특성에 맞게 적응하는 것이 중요하다. 시설 주변 위주의 보안에서 벗어나 가장 중요한 자산에 보안 제어 장치를 추가해야 한다. 즉, 공정 안전과 신뢰성을 주로 담당하는 고유 제어 시스템에 집중해야 한다"라고 덧붙였다.

여러 업계 전문가에 따르면 ICS 보안을 계획할 때 공장 운영자, 공정 제어 엔지니어, 제조 IT 전문가, 보안 직원 등이 해야 할 핵심 질문은 다음과 같다.

1. ICS 보안을 관리하고 유지할 사람이 있는가
ARC 자문 그룹의 분석가 시드 스니트킨에 따르면, 기업의 보안 담당자가 산업 사이버 보안을 주로 기술 문제로 생각하는 경향이 있지만 사실 더 큰 문제는 숙련된 인력의 부족이다. 최근 들어 주요 인프라 운영업체가 시스템 보호에 필요한 기술 제어 장치를 많이 배치했지만 이를 관리할 인력은 충분치 않다. 이는 마치 악성코드 방지 소프트웨어를 도입했지만 업데이트할 인력이 없고, 취약성을 식별할 수 있지만 해결할 인력은 없는 것과 같다. 결국 시스템을 도입한 담당자와 생산 기술자가 사이버 보안도 함께 관리하는 경우가 많다.

스니트킨은 "그들에게 보안은 부업이다. 시스템을 가동하기에도 바빠서 보안 문제에 신경 쓸 겨를이 없다. 공장 관리자들 가운데 몇 가지 기술 제어 장치를 구현한 것으로 보안 문제를 해결했다고 착각하고 있는 사람이 많다"라고 말했다.

2. 현장에 무엇을 설치했는지 알고 있는가
어플라이드 컨트롤 솔루션즈(Applied Control Solutions)의 전무 이사 조 와이스는 "제대로 보호하려면 먼저 현장에 무엇을 설치했고 어떤 시스템에 연결됐는지 파악해야 한다. 이런 가시성을 확보하지 못하면 이미 실패한 것이나 다름 없다"고 말했다. 기술 제어 장치가 이미 설치된 곳은 어디이며 보호를 위해 기술을 활용할 수 있는 곳은 어디인지 파악해야 한다는 것이다. 또한, 최신 보안 제어 장치를 지원하지 않는 시스템에 대해서는 위험 경감을 위해 제어 장치 보완을 고민해야 한다고 와이스는 지적했다.

산업 보안업체 모카나(Mocana)의 CEO 빌 디오트는 "해커가 방화벽과 에어갭(air gap)을 건너뛰고 ICS 기기 취약점을 악용하는 사례가 많다. 기본적인 보안 보호 장치가 부족한 것이 원인이다. 공장 관리자와 운영자, 제조사가 ICS 기기 자체의 신뢰성과 필수적인 사이버 보안 지원 가능성을 확인하는 것이 중요하다"라고 말했다.

또한 그는 "PLC(Programmable Logic Controllers), 센서, 산업 게이트웨이에 안전한 인증 정보, 즉 신뢰의 기반으로서 실리콘에 숨어있는 개인 키나 디지털 인증서 등이 없는 경우가 많다"고 말했다. 직원 안전과 가동 시간, 환경에 영향을 미치는 기기에 안전한 부팅, 인증, 암호화, 신뢰 체인 형성 등과 같은 기본적인 사이버 보호 기능이 구현돼 있지 않다는 것이다.

3. 진정한 사이버보안 제어 시스템 정책이 갖춰져 있는가
기업의 가장 큰 실수 중 하나가 IT 보안과 제어 시스템 보안을 동일시하는 것이다. 그러나 이 두 가지는 근본적으로 다르다. IT 보안은 네트워크의 취약점을 탐지하고 해결하는 데 집중하고 공정 시스템에 실질적으로 미치는 영향에는 신경쓰지 않는 것이 보통이다.

와이스는 "공장 운영자에게 가장 중요한 것은 시스템의 무결성과 가용성이다. 이들은 특정 사이버 위협이 얼마나 정교한가보다 공정에 문제를 일으킬 수 있는지 여부에 더 집중한다. IT도 아니고 업무 연속성, 물리적 보안도 아닌 제어 시스템 사이버보안 정책과 절차를 실제로 갖추고 있는가, 공정 제어 시스템이 어떻게 보호되고 있는지 생각하고 있는가, 아니면 단순히 IT에 보조를 맞추고 있을 뿐인지 점검해야 한다"라고 말했다.

제대로 안전을 지키려면, 컨트롤러, 작동 장치, HMI(Human-Machine Interface) 시스템에 연결된 공정 센서의 출력 내용을 신뢰할 수 있어야 한다. 와이스는 "9/11 전에는 장비 소유자가 장비 관련 모든 것을 소유했다. 그러나 9/11 이후 사이버 인프라가 핵심 인프라로 재분류됐고, 운영자 소관에서 IT 부서로 넘어갔다. 그 결과 ICS 보안을 지나치게 IT 중심으로 보게 됐다"라고 말했다.

4. 장치의 출력 내용을 신뢰할 수 있는가
디오트에 따르면, 산업 제어 네트워크에 있는 기기의 신뢰성을 보장할 수 있는 제어장치를 반드시 갖추어야 한다. 그렇지 않으면 이들의 데이터를 신뢰하는 것은 위험하다. 그는 "해당 산업 제어 기기에 펌웨어 무단 변경을 예방하기 위한 메커니즘과 안전한 부팅 프로세스와 같은 기능이 있는지, 무선(over-the-air) 소프트웨어 업데이트 및 보안 패치 프로세스가 어느 정도 안전한지, 해당 ICS 기기가 표준 기반 PKI 인증 및 디지털 인증서 사용을 지원하는지 확인해야 한다"라고 말했다.

와이스도 "다들 문제 진단에 집중하느라 아무도 센서를 신뢰할 수 있는지 따지지 않는다. 의사가 모니터를 신뢰할 수 없다면 혈압 측정값을 신뢰할 수 없다"고 말했다.


5. IT 보안 대책이 시스템을 보호하고 있는가, 아니면 오히려 문제를 더 일으키고 있는가
와이스는 "IT 부서는 시스템 담당자의 감시 없이는 제어 시스템에 직접적인 어떤 작업도 해서는 안된다"고 말했다. 이를 어길 경우 예상치 못한 문제가 발생할 수 있기 때문이다. 이어 "IT에서는 누군가가 잘못된 비밀번호를 5번 연속 시도하면 해당 인물의 접속을 차단한다. 이러한 접근 통제 방식을 중요한 발전 장치 시스템에 적용한다면 누군가 해당 시스템에 급하게 접근해야 할 경우에 치명적인 결과를 낳을 수 있다. 만일 내가 해커라면 잘못된 비밀번호를 5번만 보내기만 하면 상대방을 차단해 버릴 수 있다"라고 말했다.

하비비는 "해당 보안 제어 장치가 OT 환경에 맞게 설계됐는지 확인하는 것이 중요하다"라고 말했다. 하비비는 "일반적인 기업 IT 네트워크 보호 방식인 에이전트, 네트워크 핑 스윕(ping sweep) 등은 공정 제어 네트워크에서는 애초에 성공 가망성이 없다. 안전 및 신뢰도에 영향을 줄 가능성 때문이다. 이런 솔루션은 절대로 생산 현장에 발을 들여놓을 수 없다"라고 말했다.

6. 시스템에 맞는 설명서를 갖고 있는가
드라고스(Dragos)의 수석 취약점 분석가 라이드 와이트먼은 "신규 제어 시스템 배치이든 기존 시스템 강화든 중요한 것은 제어 요소의 필수 및 선택 서비스에 대한 설명서 일체를 갖추는 것이다. 해당 설명서에 기능별로 서비스가 세분화되어 있는지 파악해야 한다"라고 말했다. 예를 들어, 제어 시스템 프로토콜, 엔지니어링 프로토콜, 파일 전송 및 HMI 구성 프로토콜 등이다. 

이어 그는 "제어 요소에 고장이 발생할 경우, 컨트롤러의 출력 행태를 설명해 주는 설명서가 있는지, 고유 네트워크 프로토콜이 시스템에 구현된 경우 각각의 서비스를 강화하기 위해 어떤 조치를 취하는지 확인해야 한다"라고 덧붙였다. 이런 정보가 있어야 위험을 제대로 이해할 수 있고 취약점이 시스템에 타격을 줄 때 이를 격리시키기 위해 필요한 경감 조치를 제대로 이해할 수 있다는 것이다.

7. 네트워크 접근 문제를 충분히 이해하고 있는가
와이트먼은 "제어 시스템을 네트워크에 연결하면 관리는 쉬워질 수 있지만 보안에는 다른 영향을 줄 수 있다. 따라서 위험 완화를 위한 제어장치를 갖춰야 한다"라고 말했다. 예컨대, 네트워크를 통해 제어 시스템 환경에 접근하는 사람들이 데이터에 읽기 전용 권한만 있다는 것을 어떻게 확신할 수 있는가, 공정 시스템 업체가 네트워크에 원격으로 접근하는 일이 필요한가, 이런 접근에 대해 어떤 통제를 할 수 있는가 등을 확인해야 한다는 것이다.

이어 그는 "마찬가지로 엔지니어가 제어 요소에 원격으로 접근하게 되는지 여부와 이런 접근이 필요한 이유를 파악해야 한다. 원격 접근이 안전하게 이뤄진다고 안심할 수 있고 용납 가능한 위험 수준을 달성하기 위해서 네트워크에 어떤 제어장치가 존재하며 추가가 필요한지 파악해야 한다"라고 말했다. 모카나의 디오트도 "장치 종류와 유형별로 지원해야 할 통신 프로토콜에 대해 반드시 확인해야 한다. 제어 시스템과의 통신 일체에 대한 강력한 인증 및 암호화 기능이 갖춰져 있는지 확인하고, 가장 취약한 통신 프로토콜을 파악하고, SCADA 및 IIoT 네트워크로 안전하게 통신 중인지 확인해야 한다"라고 덧붙였다.

8. 사고 대응 및 사고 관리 기능을 갖추고 있는가
ARC자문 그룹의 스니트킨은 "이 분야의 사이버공격 가능성이 비교적 낮다고 해도 일단 사이버공격을 받으면 그 충격은 치명적이다. 기본적으로 성공적인 공격에 대응하고 경감시킬 수 있는지 스스로 점검해 봐야 한다. 만일 공격자가 해당 조직에 침투해 근거지를 마련하기로 제대로 마음을 먹으면 이를 막을 수는 없을 것이다"라고 말했다. 따라서 사이버 공격에서 신속하고 안전하게 회복하기 위한 계획과 절차를 반드시 갖춰야 한다. 

하비비는 "해당 ICS 환경에 대한 사이버보안 조치를 평가할 때는 기업이 무단 변경을 인지할 장비를 어느 정도 갖추고 있는지 파악해야 한다. 사고 발생 시 제대로 신속하게 대응할 수 있도록 자산 중요도를 기준으로 한 사고 대응 프로토콜을 갖추고 있는가, 산업 자산에 어느 정도 수준의 공격 표면이 존재하고 있는지 파악하고 있어야 한다"라고 말했다.

이어 "IT 기반 및 고유 제어 시스템 자산에 대한 취약점 식별, 경감 프로세스를 평가하고, 현재 존재하는 패칭 수준과 가장 많이 노출된 시설을 확인해야 한다. 최악의 상황이 발생할 경우, 위험에 처한 시스템의 새로운 백업을 비롯한 검증된 업무 연속성 계획이 갖춰져 있는지도 파악해야 한다"라고 덧붙였다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.