산업제어시스템(ICS) 국가망 근간을 흔들다_보안취약에 따른 베네수엘라 사례 > 보안뉴스 / 트렌드

본문 바로가기
사이트 내 전체검색


보안뉴스 / 트렌드

보안뉴스 / 트렌드

산업제어시스템(ICS) 국가망 근간을 흔들다_보안취약에 따른 베네수엘라 사례

페이지 정보

작성자 게시판관리자 작성일19-03-20 00:21 조회582회 댓글0건

본문

# 베네수엘라가 일주일간 암흑에 빠졌다. 국가 전력 4분의 3을 공급하는 동부 볼리바르주 구리수력발전소 설비가 고장을 일으켰다. 전국 23개주 가운데 19개주는 전기 없는 과거로 돌아갔다. 정전, 통신 중단은 단순히 암흑으로 돌아가는 그 이상이었다. 병원 전력이 끊겨 응급환자는 생사기로에 놓였고, 냉장식품은 모두 버려야 했다. 베네수엘라 제2 도시 마라카이보에서는 정전 기간 동안 500여상점이 5000만달러 규모 약탈을 당했다는 현지 보도도 나왔다.

일주일간 지속된 정전으로 민간 피해액은 4억달러에 달할 것이라는 주장도 나왔다. 마두로 정권은 정전사태 원인을 사이버 공격으로 지목했다.  


ICS를 목표로한 악성코드 발견뿐 아니라 치밀해지는 공격으로 시만텍, 파이어아이 등 해외 주요 보안기업뿐 아니라 SK인포섹, 안랩 등도 ICS보안 위협을 우려한다.  


◇ICS는 폐쇄망인데 사이버공격을 받을까? 


문제는 기업의 관리, 운영상 문제 등으로 망분리가 제대로 실현되지 않는다. 규모가 작은 중소기업은 편의 등 문제로 보안규정을 제대로 지키지 않는다. 시설 내 어딘가 인터넷에 연결된 시스템이 존재하고 이를 통해 피해가 발생한다. 외부와 연결되지 않아야 하는 중요 시스템이 인터넷을 연결해 사용하거나 추가 랜(LAN) 카드를 설치, 테더링을 통한 인터넷 접속도 문제가 된다. 물리적 망분리가 되어 있더라도 업무 상 인터넷용 컴퓨터에서 다운로드한 파일을 업무용 컴퓨터로 옮길 수 있다는 얘기다. 게다가 일부는 제대로 된 망분리가 아니라 단순히 시스템 인터넷 접속을 차단하기도 한다.

이동식디스크(USB)를 통한 감염 위협도 높다. 망분리 된 환경으로 시스템 업데이트, 패치 등은 USB를 활용하는 과정에서 위험에 노출된다. 실제 2016년 4월 독일 바이에른주 원자력 발전소가 악성코드에 감염돼 가동이 중지됐다. 원전 근무자가 USB를 사용하던 과정에서 감염됐다. 같은해 1월 일본 후쿠이현 몬주 원자력 발전소가 악성코드에 감염돼 닷새 동안 이메일과 작업 기록, 직원 개인정보 등 4만여개의 문서가 유출됐다. 작업자가 컴퓨터 동영상 재생 프로그램을 업데이트하면서 감염됐다.  
대안은 “USB를 다루는 사람, 기기 등 절차를 만들고 철저하게 관리해야 한다”

구형시스템도 사이버 공격 허점을 만든다. 상당수 구형 시스템은 보안을 고려하지 않고 제작됐거나 이미 알려진 보안 취약점조차 해결 하지 못해 공격에 취약하다.


◇ICS를 노린 '악성코드'...최근 랜섬웨어까지 다양해져

ICS를 공격할 목적으로 만들어진 악성코드는 스턱스넷, 인더스트로이어, 트리톤 등 다양하다. 최근 침투 악성코드 뿐 아니라 류크 랜섬웨어도 등장했다.

스턱스넷은

2010년 이란 나탄즈 핵 시설에 침투해 원심분리기를 오작동하게 만들어 핵무기 개발을 지연시켰다. 마이크로소프트(MS) 윈도 OS 제로데이 취약점을 통해 PC에 감염된다. 감염된 PC에 연결된 USB 등을 통해 추가감염이 이뤄지는 형태다. 모든 시스템을 대상으로 하는 것이 아닌 산업시설 전반적인 현황을 감시하고 제어하는 스카다(SCADA) 시스템만을 노린다. 게다가 컴퓨터 한대만 감염시키면, 네트워크에 연결된 모든 컴퓨터에 침투 가능하다. 웜(Worm) 바이러스 형태로 자기복제 한다.

인더스트로이어는

전력 공급 인프라에 공격 가하도록 설계된 악성코드다. 2016년 12월 발생한 우크라이나 수도 키예프 전력 공급 중단 사태에 사용된 것으로 추정한다. 해당 악성코드는 모듈화 형태로 공격자가 공격을 관리하는데 사용하는 백도어다. C&C 서버와 연결돼 다른 모듈을 설치·제어하고, 결과를 공격자에게 보고한다. 


트리톤은

2017년 사우디아라비아 석유화학 공장 시설 중단 원인을 조사하던 중 발견된 악성코드다. 트리톤은 스턱스넷, 인더스토리어 등과 마찬가지로 산업시설을 물리적으로 파괴한다. 최근 트립톤이 독가스 누출 등 비상사태 때 최후 방어막 역할 하는 비상안전장치까지 제어하려 한 정황을 발견하기도 했다.  


◇제로트러스트 정책 필요

전문가는 ICS보안에도 모든 것을 신뢰하지 않는 '제로 트러스트' 정책을 적용하는 것이 필요하다고 조언한다. 망분리를 통해 모든 보안을 구비했다고 생각하는 것이 아닌 각 영역별로 보안정책을 만들고 실행에 옮겨야 한다는 설명이다. 폐쇄망도 외부와 연결된 고리가 있는 만큼 이를 관리할 체계가 필요하다.

최근 엔드포인트로 다양한 공격이 시도된다. 일부 공격은 특정 목표를 정하지 않기도 한다. 엔드포인트로 내부 정보 유출 가능한 악성코드를 심어 데이터를 탈취하거나 필요에 따라 사용자 아이디, 비밀번호, 신용카드 정보, 혹은 일반 시스템에 대한 운영권을 획득하기도 한다. 해커는 이익에 따라 상황을 진단하고 공격 방법을 진화시킨다. 특정 공격을 막는 시스템구축, 보안정책 구현은 도움되지 않는다. 공격자는 더 치밀하고 교묘해졌다. 


정영일기자 jung01@etnews.com   

 

관련기사 원본출처 : http://www.etnews.com/20190319000090

댓글목록

등록된 댓글이 없습니다.

상단으로

TEL. 02-705-5822 | FAX. 02-6442-0746 | 주소: 서울시 금천구 가산디지털1로 171(가산동 371-41) SK V1센터 303호-R319호
대표: 조대희 | 사업자등록번호: 214-88-00572 | 개인정보관리책임자: 조대희

"믿음은 바라는 것들의 실상이요 보지 못하는 것들의 증거니 선진들이 이로써 증거를 얻었느니라" (히브리서 11:1~2)
Copyright © www.bomnetworks.com. All rights reserved.      Powered by Appfaber

모바일 버전으로 보기