[산업제어시스템 보안 콘퍼런스]국내 ICS 466개나 인터넷에 연결...폐쇄망 맹신 버려라

발행일 : 2016-06-12 12:00 지면 : 2016-06-13 16면

국내 산업제어시스템(ICS) 466개가 인터넷에 연결된 것으로 드러났다. 아시아태평양 지역에서 호주, 중국에 이어 3번째로 ICS 보안 위협이 높은 국가로 분류됐다.

`제1회 산업제어시스템 보안 콘퍼런스` 참석자들이 ICS 보안 전문가의 최신 ICS 사이버 공격 사례와 대응책을 듣고 있다.
박지호기자 jihopress@etnews.com — `제1회 산업제어시스템 보안 콘퍼런스` 참석자들이 ICS 보안 전문가의 최신 ICS 사이버 공격 사례와 대응책을 듣고 있다. 박지호기자 jihopress@etnews.com

전자신문은 지난 10일 서울 양재동 엘타워에서 제1회 산업제어시스템 보안 콘퍼런스를 개최했다.

이날 산업제어시스템 보안 전문가들은 “ICS는 폐쇄망에서 운영된다는 맹신을 버려야 한다”며 “ICS를 노린 사이버 공격 기법이 고도화하며 사회 혼란을 넘어 국가 안보를 위협하는 수준에 왔다”고 입을 모았다.

박상형 한국수력원자력 정보보안총괄팀 실장은 “미국 조사에 따르면 전기, 상하수도, 통신 등 30%가 사이버 공격으로 마비되면 3일째 되는 날 사회적 혼란이 급격히 증가한다”며 “생필품 사재기가 시작되고 연료 부족사태가 발생한다”고 설명했다. 10일째가 되면 냉난방이 불가해 사상자가 발생하고 인구 대이동이 시작된다. 3개월 간 지속되면 국민 폭동이 발생한다. 대형 허리케인 40~50개가 지나간 수준 피해와 심각한 경제 파괴가 유발된다.

ICS를 노린 사이버 공격은 계속 나타난다. ICS-CERT에 따르면 2014년 245건이었던 사이버 공격은 2015년 295건으로 늘었다. 이중 59%는 전력·정유시설을 노렸다. 25%는 통신과 교통분야 피해였다.

2010년 6월 스턱스넷 악성코드는 이란 나탄즈 원전을 공격해 원심분리기 1000여개 동작을 무력화했다. 2014년 일본 몬주 핵발전소 내 리액터 제어실 컴퓨터에서 악성코드가 발견됐다. 5일간 4만2000개 문서가 유출됐다. 2015년 12월 23일 우크라이나 이바노프란키우시크주는 블랙에너지란 악성코드에 공격받아 정전사태를 겪었다. 악성코드가 정전을 일으킨 최초 사례로 기록됐다. 지난 4월 22일 독일 바이에른주 그룬테레임 원자력 발전소는 가동을 중지했다. 원자로 3기 가운데 실행 중인 B호기 컴퓨터에서 악성코드 2종이 발견됐다. 독일은 원자력 발전소 안전을 위해 가동을 중지하고 침투 경고를 조사 중이다.

◇한국 ICS 인터넷에 버젓이 연결

최승환 프로스트&설리반 매니저가 `아시아 태평양 ICS 보안 시장`에 대해 발표하고 있다.
박지호기자 jihopress@etnews.com — 최승환 프로스트&설리반 매니저가 `아시아 태평양 ICS 보안 시장`에 대해 발표하고 있다. 박지호기자 jihopress@etnews.com

최승환 프로스트앤설리반 매니저는 `아시아·태평양 ICS 보안시장` 발표에서 한국 내 466개 ICS가 인터넷에 연결돼 사이버 보안에 취약하다고 밝혔다. 한국은 아태 ICS 보안 시장 규모가 전체 4.3% 밖에 되지 않았지만 21.2%를 차지하는 중국보다 인터넷에 연결된 ICS가 많았다. 중국은 434개 ICS가 인터넷에 연결됐다.

인터넷에 연결된 ICS는 사이버 공격에 그대로 노출된다. 프로스트앤설리반은 취약한 ICS 시스템이 가장 많은 아태 지역 국가로 호주, 중국, 한국을 꼽았다. ICS에 쓰이는 감시제어데이터수집시스템(SCADA)과 PLC(Programmable Logic Controller) 등 보안 취약점이 발견됐지만 패치 업데이트가 제대로 이뤄지지 않는다. 인터넷에 연결된 ICS는 쇼단 검색만으로 누구나 쉽게 찾을 수 있다.

최승환 매니저는 “한국은 아태지역 내에서 ICS 보안 시장이 가장 작은 나라로 분류되지만 사이버 공격 위험도는 상위권”이라며 “ICS를 폐쇄망으로 유지하고 싶어도 제조공정에서 휴대장치로 제어하며 인터넷에 연결되는 사례가 많다”고 설명했다. 그는 “상당수 ICS가 분산시스템을 관리하면서 보안 위협 요소가 증가한다”고 덧붙였다.

◇사람이 최대 위협

예브게니 곤차로브 카스퍼스키랩 주요기반시설 방어 총괄이 `글로벌 ICS 위협과 사고 조사`를 발표했다.
박지호기자 jihopress@etnews.com — 예브게니 곤차로브 카스퍼스키랩 주요기반시설 방어 총괄이 `글로벌 ICS 위협과 사고 조사`를 발표했다. 박지호기자 jihopress@etnews.com

예브게니 곤차로브 카스퍼스키랩 주요기반시설 방어 총괄은 ICS 보안 요소에 사회공학 해킹 대비를 주문했다. 예브게니 총괄은 ICS 보안 취약점으로 `사람`을 꼽았다. 공격자는 제어망 내에서 일하는 직원을 사회공학적으로 접근해 정보를 빼낸다.

제어망에서 일하는 직원이 무의식적으로 소셜네트워크서비스에 올린 내부 사진이 엄청난 사이버 공격에 단초가 되기도 한다. 장관이나 정치인 등은 발전소 안전 점검 활동을 목적으로 제어망 내부에 들어간다. 이 때 보도용이나 홍보용으로 찍힌 사진에 의해 제어망 내부가 노출된다.

예브게니 총괄은 “공격자는 이런 사진에서 제어망 운영 시스템이나 사용 중인 소프트웨어 등을 파악한다”며 “내부에서 사용 중인 상용 애플리케이션이 무엇인지 알게 되면 보다 쉽게 표적에 접근할 수 있다”고 설명했다.

허영일 NSHC 대표는 “주요 기반시설 시스템에서 기술적으로 보안 취약점을 찾는 것보다 기업 유니폼 등을 입고 사내로 잠입하는 사회공학 해킹이 더욱 위협적”이라고 말했다.

김인순 보안 전문기자 insoon@etnews.com