산업 제어 시스템 보안에 대한 필수 질문 8가지

최근, 국가 단위 공격자로 추정되는 주체가 새로운 악성코드를 테스트하던 중 중동의 한 중요한 인프라 시설을 실수로 중단시킨 사건이 발생했다. 새로운 사이버 위협에 취약하다고 널리 인식된 ICS(Industrial Control Systems, 산업 제어 시스템)에 대한 우려가 이 사건을 계기로 더욱 커졌다. 많은 보안 전문가는 이 사건이 ICS를 표적으로 하는 새로운 파괴적 공격이 몰려올 조짐이라고 보고, 인프라 소유자들이 OT(Operational Technology, 운영기술) 네트워크의 보안을 시급히 업데이트할 것을 촉구했다.


Credit: Getty Images Bank

ICS의 의미
ICS란 산업 공정의 운영 또는 자동화에 사용되는 모든 기기와 기구 및 관련 소프트웨어와 네트워크를 말한다. ICS는 일반적으로 제조에 사용되지만, 에너지, 통신, 운송 등 중요 인프라에도 필수적이다. ICS 가운데 많은 수가 인터넷, 즉 산업 사물인터넷(IIoT)을 통해 센서와 다른 기기에 연결된다. 잠재적인 ICS 공격 표면이 늘어나는 것이다.

ICS 보안
ICS 보안 업체 PAS 글로벌(PAS Global) 창업주이자 CEO 에디 하비비는 "조직들이 기업 IT를 확보하는 과정에서 얻은 교훈을 활용하되 OT의 고유한 특성에 맞게 적응시키는 것이 중요하다"고 강조했다. 하비비는 "시설 주변 위주의 보안에서 벗어나 가장 중요한 자산에 보안 제어 장치를 추가하는 것이 필요하다. 즉, 공정 안전과 신뢰성을 주로 담당하는 고유 제어 시스템이다"고 설명했다.

여러 전문가들에 따르면 ICS 보안을 계획할 때 공장 운영자, 공정 제어 엔지니어, 제조 IT 전문가, 보안 직원 등이 해야 할 핵심 질문은 다음과 같다.

1. ICS 보안을 관리하고 유지할 사람이 있는가
ARC 자문 그룹의 분석가 시드 스니트킨은 조직 계획가들이 산업 사이버보안을 주로 기술 문제로 생각하는 경향이 있지만 사실 더 큰 문제는 숙련 자원의 부족이라고 지적했다. 최근 들어 주요 인프라 운영자들은 시스템 보호를 위해 추천되는 기술 제어 장치를 많이 배치했지만 이를 관리할 인력은 충분히 배치하지 않았다.

스니트킨은 "많은 조직이 기술을 도입해 놓고도 이를 유지할 인력이 없는 실정"이라고 지적했다. 악성코드 방지 소프트웨어를 들여놓았지만 업데이트할 인력이 없고, 취약성을 식별할 수는 있지만 이를 해결할 인력은 없는 식이다. 애초에 시스템을 들여놓은 자동 장치 기술자와 생산 기술자가 사이버보안도 관리하는 경우가 많다.

스니트킨은 "그들에게 보안은 부업"이라며, "그들은 시간이 없다. 시스템을 가동하기에도 바빠서 보안 문제에 신경 쓸 겨를이 없다. 공장 관리자들 가운데 몇 가지 기술 제어 장치를 구현한 것으로 보안 문제를 해결했다고 착각하고 있는 사람이 많다"고 말했다.

2. 현장에 무엇을 설치했는지 알고 있는가
어플라이드 컨트롤 솔루션즈(Applied Control Solutions)의 전무 이사 조 와이스는 "제대로 보호하려면 먼저 현장에 무엇을 설치했고 어떤 시스템에 연결되어 있는지 파악해야 한다. 이런 가시성을 확보하지 못하면 이미 실패한 것이나 다름 없다"고 단언했다. 기술 제어 장치가 이미 설치된 곳은 어디이며 보호를 위해 기술을 활용할 수 있는 곳은 어디인지 파악해야 한다. 최신 보안 제어 장치를 지원하지 않는 시스템에 대해서는 위험 경감을 위해 제어 장치 보완을 고민해야 한다고 와이스는 강조했다.

산업 보안업체 모카나(Mocana) CEO 빌 디오트는 "해커들이 방화벽과 에어갭(air gap)을 건너뛰고 ICS 기기 취약점을 악용하는 사례를 봐 왔다"면서, "기본적인 보안 보호 장치가 부족한 것이 원인이다"고 지적했다. 공장 관리자와 운영자, 제조사는 ICS 기기 자체의 신뢰성과 필수적인 사이버보안 지원 가능성을 확인하는 것이 중요하다고 강조했다.

디오트는 "PLC(Programmable Logic Controllers), 센서, 산업 게이트웨이에 안전한 인증 정보, 즉 신뢰의 기반으로서 실리콘에 숨어있는 개인 키나 디지털 인증서 등이 없는 경우가 많다"고 지적했다.

직원 안전과 가동 시간, 환경에 영향을 미치는 기기들에 안전한 부팅, 인증, 암호화, 신뢰 체인 형성 등과 같은 기본적인 사이버 보호 기능들이 구현되어 있지 않다는 것이다.

3. 진정한 사이버보안 제어 시스템 정책이 갖춰져 있는가
조직들의 가장 큰 실수 가운데 하나는 IT 보안과 제어 시스템 보안을 동일시하는 것이다. 와이스는 "이 두 가지는 근본적으로 다르다"고 강조했다.

IT 보안은 네트워크의 취약점을 탐지하고 해결하는 데 집중하고 공정 시스템에 실질적으로 미치는 영향에는 신경쓰지 않는 것이 보통이다. 와이스는 "공장 운영자에게 가장 중요한 것은 시스템의 무결성과 가용성이다"며, "이들은 특정 사이버 위협이 얼마나 정교한가보다는 공정에 문제를 일으킬 수 있는지 여부에 더욱 집중한다"고 말했다. 와이스는 다음과 같은 질문을 던졌다.

"IT도 아니고 업무 연속성, 물리적 보안도 아닌 제어 시스템 사이버보안 정책과 절차를 실제로 갖추고 있는가, 공정 제어 시스템이 어떻게 보호되고 있는지 생각하고 있는가, 아니면 단순히 IT에 보조를 맞추고 있을 뿐인가."

제대로 안전을 지키려면, 컨트롤러, 작동 장치, HMI(Human-Machine Interface) 시스템에 연결된 공정 센서의 출력 내용을 신뢰할 수 있어야 한다. 와이스는 "9/11 전에는 장비 소유자가 장비 관련 모든 것을 소유했었다. 9/11 이후에는 사이버가 핵심 인프라로 재분류되었고 운영자 소관에서 IT 소관으로 넘어갔다. 그 결과 ICS 보안을 지나치게 IT 중심으로 보게 되었다"고 지적했다.

4. 장치의 출력 내용을 신뢰할 수 있는가
산업 제어 네트워크에 있는 기기의 신뢰성을 보장할 수 있는 제어장치를 반드시 갖추어야 한다고 디오트는 강조했다. 그렇지 않을 경우 이들의 데이터를 신뢰하는 것은 위험하다. 디오트는 다음과 같은 질문을 던졌다.

"해당 산업 제어 기기에 펌웨어 무단 변경을 예방하기 위한 메커니즘과 안전한 부팅 프로세스와 같은 기능이 있는가, 무선(over-the-air) 소프트웨어 업데이트 및 보안 패치 프로세스가 어느 정도 안전한지 알고 있는가, 해당 ICS 기기가 기준 기반 PKI 인증 및 디지털 인증서 사용을 지원하는가."

와이스는 "다들 문제 진단에 집중하느라 아무도 센서를 신뢰할 수 있는지 따지지 않는다"며, "의사가 모니터를 신뢰할 수 없다면 혈압 측정값을 신뢰할 수 없다"고 설명했다.

5. IT 보안 대책이 시스템을 보호하고 있는가, 아니면 오히려 문제를 더 일으키고 있는가
와이스는 "IT 부서는 시스템 담당자의 감시 없이는 제어 시스템에 직접적인 어떤 작업도 해서는 안된다"고 강조했다. 이를 어길 경우 예상치 못한 문제가 발생할 수 있기 때문이다. 와이스는 "IT에서는 누군가가 잘못된 비밀번호를 5번 연속 시도하면 해당 인물을 차단시킨다. 이러한 접근 통제 방식을 중요한 발전 장치 시스템에 적용한다면 누군가 해당 시스템에 급하게 접근해야 할 경우에는 치명적인 결과를 낳을 수 있다"고 지적했다.

와이스는 "해당 시설이 산산조각나게 된다"면서, "만일 내가 해커라면 잘못된 비밀번호를 5번만 보내기만 하면 상대방을 차단해 버릴 수 있다"고 말했다.

하비비는 "해당 보안 제어 장치가 OT 환경에 맞게 설계되었는지 파악하는 것이 중요하다"고 강조했다. 하비비는 "일반적인 기업 IT 네트워크 보호 방식인 에이전트, 네트워크 핑 스윕(ping sweep) 등은 공정 제어 네트워크에서는 애초에 성공 가망성이 없다. 안전 및 신뢰도에 영향을 줄 가능성 때문이다. 이런 솔루션들은 절대로 생산 현장에 발을 들여놓을 수 없다"고 설명했다.

6. 시스템에 맞는 설명서를 갖고 있는가
드라고스(Dragos)의 수석 취약점 분석가 라이드 와이트먼은 "신규 제어 시스템 배치이건 기존 시스템 강화이건 간에 중요한 것은 제어 요소의 필수 및 선택 서비스에 대한 설명서 일체를 갖추는 것"이라고 강조하면서 "해당 설명서에 기능별로 서비스가 세분화되어 있는지 파악해야 한다"고 덧붙였다. 예를 들어, 제어 시스템 프로토콜, 엔지니어링 프로토콜, 파일 전송 및 HMI 구성 프로토콜 등이다. 와이트먼은 다음과 같은 질문을 던졌다.

"제어 요소에 고장이 발생할 경우, 컨트롤러의 출력 행태를 설명해 주는 설명서가 있는가, 고유 네트워크 프로토콜이 시스템에 구현된 경우 각각의 서비스를 강화하기 위해 어떤 조치들이 취해졌는가."

이런 정보가 있어야 본인이 받아들이는 위험을 제대로 이해할 수 있으며 취약점이 시스템에 타격을 줄 때 이를 격리시키기 위해 필요한 경감 조치를 제대로 이해할 수 있다.

7. 네트워크 접근 문제를 충분히 이해하고 있는가
와이트먼은 "제어 시스템을 네트워크에 연결하면 관리는 쉬워질 수 있지만 보안에는 어떤 의미인지 파악해야 하며 위험 완화를 위한 제어장치를 갖춰야 한다"고 강조했다.

예컨대, 네트워크를 통해 제어 시스템 환경에 접근하는 사람들이 데이터에 읽기 전용 권한만 있다는 것을 어떻게 확신할 수 있는가, 공정 시스템 업체가 네트워크에 원격으로 접근하는 일이 필요한가, 이런 접근에 대해 어떤 통제를 할 수 있는가 등의 질문이다.

와이트먼은 "이와 마찬가지로, 엔지니어들이 제어 요소에 원격으로 접근하게 되는지 여부와 이런 접근이 필요한 이유를 파악해야 한다. 원격 접근이 안전하게 이뤄진다고 안심할 수 있고 용납 가능한 위험 수준을 달성하기 위해서 네트워크에 어떤 제어장치가 존재하며 추가가 필요한지 파악해야 한다"고 설명했다.

모카나의 디오트는 장치 종류와 유형별로 지원해야 할 통신 프로토콜에 대해 반드시 문의해야 한다고 말했다. 제어 시스템과의 통신 일체에 대한 강력한 인증 및 암호화 기능이 갖춰져 있는지 확인하고, 가장 취약한 통신 프로토콜을 파악하고, SCADA 및 IIoT 네트워크로 안전하게 통신 중인지 확인해야 한다고 덧붙였다.

8. 사고 대응 및 사고 관리 기능을 갖추고 있는가
ARC자문 그룹의 스니트킨은 "이 분야의 사이버공격 가능성이 비교적 낮다고 해도 일단 사이버공격을 받으면 그 충격은 치명적일 수 있다. 기본적으로 성공적인 공격에 대응하고 경감시킬 수 있는지 스스로 점검해 봐야 한다"고 강조했다.

스니트킨은 "만일 공격자가 해당 조직에 침투해 근거지를 마련하기로 제대로 마음을 먹으면 이를 막을 수는 없을 것"이라고 단언했다. 사이버공격에서 신속하고 안전하게 회복하기 위한 계획과 절차를 반드시 갖춰야 한다.

하비비는 "해당 ICS 환경에 대한 사이버보안 조치를 평가할 때에는 해당 조직이 무단 변경을 인지할 장비를 어느 정도 갖추고 있는지 파악해야 한다"면서, 다음과 같은 질문을 던졌다.

"사고 발생 시 제대로 신속하게 대응할 수 있도록 자산 중요도를 기준으로 한 사고 대응 프로토콜을 갖추고 있는가, 산업 자산에 어느 정도 수준의 공격 표면이 존재하고 있는지 알고 있는가."

하비비는 "IT 기반 및 고유 제어 시스템 자산에 대한 취약점 식별, 경감 프로세스를 평가하고, 현재 존재하는 패칭 수준과 가장 많이 노출된 시설을 확인하라"고 당부했다.

"최악의 상황이 발생할 경우, 위험에 처한 시스템의 새로운 백업을 비롯한 검증된 업무 연속성 계획이 갖춰져 있는가." editor@itworld.co.kr