[산업계 보안 A to Z] 스턱스넷, 특화 솔루션으로 대비를

　지난해 보안 이슈를 살펴보면 많은 사건 사고가 있었지만 그 중에서 가장 충격을 주었던 것은 이란의 핵발전소에서 처음 발견된 스턱스넷(Stuxnet)이다.

　많은 악성코드 중에 스턱스넷이 시사하는 바는 악성코드의 흐름이 과거의 소극적 행동인 데이터 탈취에서 직접적 파괴 형태의 데이터 사보타지로 바뀌는 것을 실증적으로 보여준 사건이기 때문이다.

　모든 분야의 산업 현장에서 이제 컴퓨터로 제어하지 않는 생산시스템은 찾아보기 힘든 세상이 됐고, 이 분야 역시 우리가 일반적으로 사용하는 PC와 윈도 운용체계(OS)에 근간하고 있어 범람하는 악성코드의 공격에 노출이 되고 있다. 일반 사무환경에서의 악성코드 피해의 대부분은 개별 PC에 한정되는데 비해 생산제어시스템의 악성코드 감염은 상상하기 어려운 엄청난 액수의 손실을 초래하게 된다.

　물론 각 사업장마다 생산제어시스템을 악성코드로부터 지키기 위한 원론적인 수칙들이 존재한다. 예를 들어 생산제어시스템을 인터넷과 완벽하게 분리시키거나 안티바이러스 제품을 설치하는 것이다. 또 보안패치를 최신의 상태로 유지하고 허가되지 않은 매체(USB 메모리 등)의 제어시스템 접근을 통제하는 방법이다. 하지만 실제 현장에는 모든 상황이 매뉴얼대로만 수행되지 않는 것이 현실이며 지킬 수 없는 원칙을 강요하기보다는 새로운 형태의 보안 솔루션을 요구하고 있다.

　최근 생산시스템의 악성코드 대응 솔루션으로 주목받고 있는 것은 ‘화이트리스트 기반의 보안 솔루션’이다. 현재의 안티바이러스 제품이 악성코드를 골라내는 블랙리스트 기반 솔루션이라고 할 때, 화이트리스트 기반은 명시적으로 허용된 코드만 실행이 가능하도록 하는 기술이다.

　이러한 기술을 이용하면 신종 악성코드 예방에 매우 효과적일 수밖에 없는데, 화이트리스트 이외의 파일 실행을 막는 잠금모드에서는 신종 악성코드가 침투하더라도 그 실행이 차단된다. 따라서 새로운 취약점이 발견될 경우에도 보안 업데이트/패치를 즉시 처리하지 않고 관리자가 계획된 시점에 적용하더라도 그동안 악성코드의 활동을 막을 수 있다.

　산업용 시스템 관리자들은 잦은 업데이트와 패치, 사고 대응 등으로 골머리를 앓고 있다. 생산성과 보안이라는 두 마리의 토끼를 쫓다 보면 업무 성과보다는 격무와 스트레스에 시달리게 되는데 발상의 전환을 통해 새로운 시각을 가질 필요가 있다.

　정진교 안철수연구소 제품마케팅장 jkjung@ahnlab.com