2011.11.24

미 일리노이 사이버공격에서 배우는 네 가지 교훈

Jaikumar Vijayan | Computerworld
최근 일리노이주 스프링필드 수도국 스카다(SCADA) 시스템에 가해진 사이버공격은 미국의 주요 기반 시설에 설치된 장비의 취약성에 대한 우려를 대변해주고 있다.
 
누군가 러시아의 IP 주소를 가진 컴퓨터를 사용, 수도국 시설의 펌프를 제어하는 스카다(Supervisory Control and Data Acquistion) 시스템에 접속해 펌프를 파괴했다.
 
산업용 제어 시스템 전문가들은 시스템의 취약성을 감안하면 이번 사이버공격은 상대적으로 경미하고 놀랄 일도 못되지만 앞으로 벌어질지도 모를 일의 전조가 될 수 있다고 지적하고 있다.
 
아직 조사가 진행되고 있지만 이번 사고를 통해 배울 수 있는 네가지 교훈을 소개한다.
 
첫번째, 정보 공유가 중요하다
미국 일리노이주 테러정보 센터(Illinois Statewide Terrorism and Intelligence Center)가 수도국이 사이버공격을 받았다고 발표하기는 했지만, 이 사고에 대한 정보를 공유하는 미국 국토 안보부(DHS: Department of Homeland Security)와 다른 정부 기관들은 어떤 일이 발생했는지에 대해 입을 다물고 있다. 
 
이는 공격의 성격, 심각성, 동기와 관련해 많은 추측을 불러일으킬 뿐이다. 일부는 사고 보고서를 통해 발표된 펌프만 고장났는지에 대해 의문을 제기하고 있다.
 
스프링필드 수도국의 펌프는 해커가 스카다 시스템에 무단 접속해 펌프 가동과 정지를 반복하면서 타버린 것으로 알려지고 있다. 
 
스카다 시스템 컨설턴트이자 시스템 교육 전문가 L.W 브리티안은 이런 식의 고장은 일어날 수 없다고 주장했다.  
 
브리티안은 "대형 펌프 모터를 빠르게 켰다 껐다 반복하는 것만으로는 펌프 모터가 타지 않는다"며, "펌프 모터의 전원을 켰다 껐다 반복하면 과열 상태가 된다. 하지만 온도와 압력을 제어하는 메커니즘이 있어 안전하게 오프라인 상태로 유지돼야 한다"고 설명했다.
 
브리티안은 "인터넷을 통해 스카다 시스템에 접속할 수는 있다. 즉 누군가 시스템 내부로 들어와 펌프를 가동 또는 중단시킬 수 있다. 뭔가 문제가 발생하도록 매 3초마다 멈췄다 정지했다 반복할 수 있을 것"이라고 말했다. 
 
그러나 인터넷을 통해 접속이 불가능한 부분이 있다. 모터가 타버리는 것과 과부하를 방지하는 과부하 계전기(overload relay)다.
 
그는 "해커가 작동을 제어하는 시스템에 접속을 할 수 있었을지는 모르지만 안전 제어 시스템에 접속을 했다는 것은 믿기 어렵다"며, "정확히 어떤 일이 벌어졌는지 더 자세한 정보가 필요하다"고 말했다.
 
두번째, 스카다 시스템은 해킹이 쉽다
발전소, 핵발전소, 상하수 처리시설 같은 장소에 배치된 주요 장비를 제어하는 시스템의 대부분은 안전하지가 않다. 많은 경우, 해당 산업 제어 시스템이나 프로그램이 가능한 논리 제어기에 접속할 수 있는 사람이라면 누구라도 승인없이 펌웨어를 업로드 할 수 있다. 
 
스카다 시스템은 패스워드가 하드코드되어 있는 경우가 많다. 그리고 많은 시스템에 관리자를 위한 백도어가 있으며, 버퍼 오버플로우 오류가 발생하곤 한다.
 
이런 취약성에도 불구하고 오랜 기간 큰 문제가 없었다. 스카다 시스템이 외부와 연결되지 않았기 때문이다. 공격자가 스카다 시스템을 망치려면 물리적으로 접속해야 했다.
 
하지만 최근 몇 년 동안 상황이 바뀌었다. 점차 더 많은 스카다 시스템이 인터넷에 연결되면서 외부 공격자에 취약해져 가고 있다. 
 
지난주, 'prof'라는 아이디를 쓰는 해커 한 명이 시스템을 보호하도록 되어있는 문자 3개로 구성된 패스워드를 풀어 남부 휴스턴의 수도국에 설치된 스카다 시스템을 해킹했다고 주장한 사건이 있었다.
 



2011.11.24

미 일리노이 사이버공격에서 배우는 네 가지 교훈

Jaikumar Vijayan | Computerworld
최근 일리노이주 스프링필드 수도국 스카다(SCADA) 시스템에 가해진 사이버공격은 미국의 주요 기반 시설에 설치된 장비의 취약성에 대한 우려를 대변해주고 있다.
 
누군가 러시아의 IP 주소를 가진 컴퓨터를 사용, 수도국 시설의 펌프를 제어하는 스카다(Supervisory Control and Data Acquistion) 시스템에 접속해 펌프를 파괴했다.
 
산업용 제어 시스템 전문가들은 시스템의 취약성을 감안하면 이번 사이버공격은 상대적으로 경미하고 놀랄 일도 못되지만 앞으로 벌어질지도 모를 일의 전조가 될 수 있다고 지적하고 있다.
 
아직 조사가 진행되고 있지만 이번 사고를 통해 배울 수 있는 네가지 교훈을 소개한다.
 
첫번째, 정보 공유가 중요하다
미국 일리노이주 테러정보 센터(Illinois Statewide Terrorism and Intelligence Center)가 수도국이 사이버공격을 받았다고 발표하기는 했지만, 이 사고에 대한 정보를 공유하는 미국 국토 안보부(DHS: Department of Homeland Security)와 다른 정부 기관들은 어떤 일이 발생했는지에 대해 입을 다물고 있다. 
 
이는 공격의 성격, 심각성, 동기와 관련해 많은 추측을 불러일으킬 뿐이다. 일부는 사고 보고서를 통해 발표된 펌프만 고장났는지에 대해 의문을 제기하고 있다.
 
스프링필드 수도국의 펌프는 해커가 스카다 시스템에 무단 접속해 펌프 가동과 정지를 반복하면서 타버린 것으로 알려지고 있다. 
 
스카다 시스템 컨설턴트이자 시스템 교육 전문가 L.W 브리티안은 이런 식의 고장은 일어날 수 없다고 주장했다.  
 
브리티안은 "대형 펌프 모터를 빠르게 켰다 껐다 반복하는 것만으로는 펌프 모터가 타지 않는다"며, "펌프 모터의 전원을 켰다 껐다 반복하면 과열 상태가 된다. 하지만 온도와 압력을 제어하는 메커니즘이 있어 안전하게 오프라인 상태로 유지돼야 한다"고 설명했다.
 
브리티안은 "인터넷을 통해 스카다 시스템에 접속할 수는 있다. 즉 누군가 시스템 내부로 들어와 펌프를 가동 또는 중단시킬 수 있다. 뭔가 문제가 발생하도록 매 3초마다 멈췄다 정지했다 반복할 수 있을 것"이라고 말했다. 
 
그러나 인터넷을 통해 접속이 불가능한 부분이 있다. 모터가 타버리는 것과 과부하를 방지하는 과부하 계전기(overload relay)다.
 
그는 "해커가 작동을 제어하는 시스템에 접속을 할 수 있었을지는 모르지만 안전 제어 시스템에 접속을 했다는 것은 믿기 어렵다"며, "정확히 어떤 일이 벌어졌는지 더 자세한 정보가 필요하다"고 말했다.
 
두번째, 스카다 시스템은 해킹이 쉽다
발전소, 핵발전소, 상하수 처리시설 같은 장소에 배치된 주요 장비를 제어하는 시스템의 대부분은 안전하지가 않다. 많은 경우, 해당 산업 제어 시스템이나 프로그램이 가능한 논리 제어기에 접속할 수 있는 사람이라면 누구라도 승인없이 펌웨어를 업로드 할 수 있다. 
 
스카다 시스템은 패스워드가 하드코드되어 있는 경우가 많다. 그리고 많은 시스템에 관리자를 위한 백도어가 있으며, 버퍼 오버플로우 오류가 발생하곤 한다.
 
이런 취약성에도 불구하고 오랜 기간 큰 문제가 없었다. 스카다 시스템이 외부와 연결되지 않았기 때문이다. 공격자가 스카다 시스템을 망치려면 물리적으로 접속해야 했다.
 
하지만 최근 몇 년 동안 상황이 바뀌었다. 점차 더 많은 스카다 시스템이 인터넷에 연결되면서 외부 공격자에 취약해져 가고 있다. 
 
지난주, 'prof'라는 아이디를 쓰는 해커 한 명이 시스템을 보호하도록 되어있는 문자 3개로 구성된 패스워드를 풀어 남부 휴스턴의 수도국에 설치된 스카다 시스템을 해킹했다고 주장한 사건이 있었다.
 

X