보안

산업제어시스템이 위험하다⋯“1/3 이상 취약점 패치 안돼”

Lucian Constantin | CSO 2023.01.25
핵심 인프라를 겨냥한 사이버 공격이 급증하고 있음에도 아직 산업제어시스템(ICS) 3분의 1 이상이 패치되지 않아 취약점에 노출돼 있는 것으로 나타났다.
 
ⓒ Getty Images Bank

산업 환경에서는 보안 취약점 패치가 항상 더디다. 상호 운용성 문제, 엄격한 가동 시간 요구사항, 그리고 때로는 기기의 수명 때문이다. 최근 분석에 따르면 취약점의 3분의 1은 패치나 수정 프로그램을 사용할 수조차 없다.

신세이버(SynSaber; 산업자산·네트워크 모니터링 전문 보안업체)가 분석한 바에 따르면 2022년 하반기 미국 사이버보안국(CISA)의 ICS 자문에 포함된 926개의 CVE(취약점 표준코드) 중 35%가 벤더의 패치나 교정을 이용할 수 없는 것으로 나타났다. 물론 취약점의 영향과 악용 가능성을 고려하지 않고 단순히 취약점의 개수로 위험을 평가할 순 없다. 그러나 산업 전반에 걸쳐 산업용 장비에 대한 공격이 증가하고 있는 상황에서 이러한 추세는 바람직하지 않다. 상반기 동안 패치되지 않은 ICS 결함의 비율은 681개 중 13%로 하반기보다 낮았다.  

신세이버 연구진은 보고서에서 "사용 가능한 소프트웨어나 펌웨어 패치가 있더라도 ICS 보유 업체는 여전히 많은 제약을 받는다"라며 “ICS 패치 과정이 너무 복잡하다. OEM(Original Equipment Manufacturer)의 패치 테스트, 승인 및 설치 프로세스가 까다로워 오랜 시간이 걸린다. 운영자는 다음 유지보수 주기를 하염없이 기다리면서 이어 더해 환경 전반에 영향을 끼치는 상호운용성 및 보증 제한한까지 염두에 두어야 한다”라고 지적했다. 
 

수많은 종류의 ICS 취약점

취약점은 심각도 점수뿐만 아니라 여러 면에서 다를 수 있다. 취약점은 환경에 따라 다른 영향을 미친다. 예를 들어, 아웃 오브 바운드(out-of-bounds) 쓰기와 같은 메모리 손상 취약점은 임의 코드 실행이나 응용 프로그램 충돌(서비스 거부)로 이어질 수 있다. 

일반적으로 전자가 더 심각하다. 그러나 중요한 물리적 프로세스를 감독하고 수행하는 데 사용되는 ICS 환경에서는 서비스 거부가 일반적인 IT 환경 안에서 일어나는 취약점보다 더 심각한 영향을 미칠 수 있다.

ICS 및 IoT 보안업체 노조미네트웍스(Nozomi Networks)의 새로운 보고서에 따르면 2022년 7월과 12월 사이 CISA 권고사항에서 CVE와 관련된 가장 흔한 취약점(CWE)은 아웃 오브 바운드 쓰기 및 아웃 오브 바운드 읽기였다. 취약점 상위 10개는 다음과 같다. 
 
  • 입력 유효성 검사 실패 (CWE-20)
  • 접근 제어 실패 (CWE-284)
  • 제한된 디렉토리에 대한 경로 이름 제한 실패. 경로 순회라고도 한다. (CWE-22) 
  • 중요 기능에 대한 인증 누락(CWE-306)
  • 웹 페이지 생성 중 입력 무력화 실패. 크로스 사이트 스크립팅이라고도 한다. (CWE-79)
  • 하드 코딩된 자격 증명 사용(CWE-798)
  • 스택 기반 버퍼 오버플로(CWE-121)
  • SQL 명령에 사용된 특정 요소 무력화 실패. SQL 주입이라고도 불림. (CWE-89). 

CISA 권고사항은 70개 공급업체의 184개 제품에 영향을 미쳤으며, 가장 큰 영향을 받은 분야는 중요 제조, 에너지, 수도 시스템, 의료 및 운송 분야다. 또한 CVSS 점수에 따르면 2022년 하반기에 공개된 ICS 취약점의 약 3분의 2(69%)가 높음(58%) 또는 심각(13%)이었다.

좋은 소식은 ICS 환경에서 취약점이 악용될 가능성이 기업 IT와 다르다는 것이다. 네트워크 접근성 및 사용자 상호 작용과 같은 요인 때문이다. OT(운영 기술) 환경과 기기는 세분화가 잘 돼야 하고, 엄격한 접근통제가 적용된 IT 네트워크와 분리돼야 한다. 따라서 적어도 이론적으로는 모범 사례를 따르면 공격자가 이러한 장치에 도달하기 어렵다. 

신세이버 분석에 따르면 CVE 둘 104개는(11%) 악용되려면 사용자 상호 작용뿐만 아니라 장치에 대한 로컬 네트워크나 물리적 액세스를 필요로 했다. 또 다른 25%는 네트워크 가용성과 관계없이 사용자 상호 작용이 필요했다. 이러한 취약점의 예로는 하드코딩된 암호 (CWE-798) 또는 사이트 간 스크립팅(CWE-79)이 있다.

신세이버 연구진은 "이 경우 공격자가 일반 텍스트 암호를 알아내려면 장치에 물리적으로 접근할 수 있어야 하며 시스템 플래시 메모리와 상호 작용할 수 있어야 한다"라며 “공격자가 만약 장치를 획득하거나 도용한다면 플래시 메모리에서 암호를 추출해 자격 증명을 공격에 재사용할 수 있다. 하지만 결국 장비에 물리적, 논리적 액세스가 필요하다”라고 설명했다. 

또한 스택 내부의 취약점 위치가 중요하다. 이는 필요한 패치 적용 수준에 영향을 미치기 때문이다. 예를 들어 장치에서 실행되는 응용 프로그램의 결함은 소프트웨어 업데이트로 충분하므로 패치 적용이 더 쉽다. 반면 운영체제의 더 깊숙한 구성요소에 있는 결함은 모든 장치를 오프라인으로 전환해야 하는 펌웨어 업데이트가 필요할 수 있다. 

이는 여러 가지 이유로 골치 아프다. 장치가 종종 원격으로 현장에 배치되어 있어 접근하기 어려우며, 예약된 유지보수 기간을 제외하면 오프라인으로 전환할 수 없기 때문이다. 그리고 또 프로토콜 취약점이 있다. 이러한 취약점은 전체 아키텍처에 영향을 미칠 수 있으며 상호운용성을 유지하기 위해 여러 장치와 함께 제공되는 시스템의 업그레이드가 필요할 수 있다.

신세이버 연구진은 "대부분의 산업용 장치는 펌웨어 이미지 플래시를 통해서만 업데이트된다. 이 플래시는 보안 개선 외에도 기능 변경 사항을 포함할 수 있어 업데이트 과정 중 장치를 벽돌로 만들 가능성도 얼마든지 있다”라고 말했다.  

신세이버에 따르면 H222022 결함 중 63%는 소프트웨어 수정이 필요했고, 33%는 펌웨어 업데이트가 필요했으며 4%는 프로토콜 업데이트가 필요했다. 펌웨어 및 프로토콜 결함의 발생률은 H1보다 낮았다. 그러나 전체적으로 CVE의 약 35%는 공급업체에서 제공하는 패치 또는 교정 프로그램이 없었다. 이러한 취약점에 해당하는 제품은 더 이상 지원되지 않거나 공급업체가 수정 사항을 배포할 계획이 없다는 이유로 앞으로도 패치되지 않을 가능성이 크다. 

사이버 보안 평가 전문업체 시큐리티스코어카드(SecurityScorecard)는 글로벌 2000 포브스 목록에 있는 모든 주요 제조 기업을 분석했다. 회사는 이 중 F, D, C 등급을 받은 기업이 48%나 달하는 것으로 파악했다. 특히 회사가 추적한 요인 중 하나인 패치 적용 케이던스(Patching Cadence)는 핵심 제조업의 경우 2021년부터 2022년까지 88(B등급)에서 76(C등급)으로 하락했다.

시큐리티스코어카드는 “패치 적용 케이던스는 제조 기업이 보유한 낡은 자산의 수와 경쟁업체 대비 패치 적용 주기를 분석한다”라며 “패치 적용 케이던스가 하락한 이유는 취약점이 많아진 탓으로 추정된다. 주요 제조업체가 겪은 취약점의 수가 전년 대비 38% 증가했다”라고 말했다. 
 

ICS에 대한 하이브리드 위험도 급증

ICS 환경은 주로 국가 정부나 그 정보기관과 관련된 사이버 스파이, 혹은 사이버 범죄 그룹의 표적이 되어왔다. 그러나 랜섬웨어 그룹과 핵티비스트와 같은 일단 사이버 범죄 집단도 점점 더 주요 제조업과 의료 회사를 겨냥하고 있다. 이는 주요 인프라를 중단시킬 수 있는 큰 위협이다. 

지난 6월에는 핵티비스트 단체 '곤제슈케 다란드(Gonjeshke Darande)'가 이란 철강회사 3곳의 생산라인을 중단시켰다. 이 단체는 지난해 초 와이퍼 악성코드로 이란의 열차 시스템을 공격하기도 했다. 랜섬웨어 그룹 블랙캣은 이탈리아 국영 에너지 서비스 회사 GSE와 콜롬비아 에너지 공급업체 EPM에 대한 공격의 배후에 있었던 것으로 추정된다. 덴마크에서 수페오(Supeo, 철도회사 자산관리 솔루션 제공업체)에 대한 사이버 공격이 일어나 열차 운행에 차질이 빚어졌다. 하이브 랜섬웨어는 인도 최대 전력회사인 타타파워(Tata Power)를 강타했고 랜섬웨어 갱 록비트는 자동차 및 철도기술 대기업인 콘티넨탈을 강타했다.

노조미 네트웍스 연구원들은 "지난 6개월 동안 교통에서 의료에 이르까지 핵심 인프라에 대한 사이버 공격을 목격했다"라며 “철도가 여러 차례 공격받으며 철도 운영자들은 사이버방어 지침을 만들기도 했다”라고 말했다. 연구진은 “핵티비스트들은 러시아/우크라이나 전쟁에서 정치적 입장을 표명하기 위해 와이퍼 악성코드로 중요한 인프라에 대한 파괴적인 공격에 가했다”라고 덧붙였다. 

게다가, APT 공격과 사이버 범죄 공격 사이의 경계가 모호해졌다. 국가 차원 해커들이 랜섬웨어와 같은 파괴적 기술을 쓰기 시작했으며, 동시에 사이버 범죄자들은 국가 차원 해킹처럼 끈질기고 은밀한 공격 방식을 따라하기 시작했다. 최근 핵티브스트 그룹 고스트섹(GhostSec)이 RTU(원격 단말 장치)를 암호화했다며 해킹을 떠벌린 적도 있다. 하지만 이는 ‘통신 게이트웨이‘에 더 가까운 직렬 통신 기능의 3G 라우터에 불과했다. ICS 분야에서 RTU란 필드 ICS 장치를 SCADA(감독 제어 및 데이터 수집) 시스템에 연결하는 특수한 프로그래머블 시스템이다.

노조미 네트웍스가 고객의 ICS 환경에서 수집한 익명 텔레메트리 데이터에 따르면, 가장 흔한 침입 경고 유형은 일반 텍스트 암호와 약한 암호였다. 의심스러운 패킷 규칙 일치, 약한 암호화, TCP SYN 플러드 및 잘못된 형식의 네트워크 패킷이 그 뒤를 이었다. OT 환경에서 볼 수 있는 악성코드의 경우 RAT(원격 액세스 트로이 목마) 유형이 3,392건으로 가장 많았다.

시큐리티스코어카드에 따르면 2022년 주요 제조 기업 중 37%가 악성코드 감염을 경험했다. 이는 2021년에 비해 증가한 수치이다. 시큐리티스코어카드는 "CISA에 따르면 주요 제조업에는 1차 금속 제조, 기계 제조, 전기 장비, 어플라이언스 및 부품 제조, 운송 장비 제조가 포함된다. 이러한 크리티컬 제조업은 사이버 복원력에서 아직 갈 길이 멀다”라고 설명했다.
ciokr@idg.co.kr
 Tags 산업제어시스템 산업제어 ICU 제조업 스마트공장 운영기술 운영기술보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.