우리나라 산업제어시스템(ICS)이 위험하다
2014-07-02 이민형
Dragonfly via Symantec
만약 우리가 사는 동네에 전기 공급이 끊기는 상황을 가정해보자. 장기간의 단전이 지속된다면 정상적인 삶은 불가능해질 것이다.
국방의 의무를 지고 나온 우리나라 남성이라면 전쟁 발발 시 적국이 가장 먼저 발전소나 기지국 등을 노린다는 것을 배운 기억을 다시 한번 되새겨보자.
이러한 공격 중 국가 전력시스템을 노린 공격이 등장했다.
지난 1일 시만텍은 서방 에너지회사들의 산업제어시스템(ICS)을 노리는 공격 ‘드래곤플라이(Dragonfly)’를 포착했다고 밝혔다.
드래곤플라이의 가장 큰 특징은 ICS 장비 공급업자들의 시스템에 침투해 트로이목마를 감염시킨다는 점이다. 이 의미는 발전소 등에서 운영하고 있는 ICS 장비에 악성코드가 탑재된 소프트웨어를 업데이트의 명목으로 보낼 수 있다는 점이다.
망분리가 돼 있더라도 이러한 악성코드에 감염된다면 원격지에서 조정이 가능해지고, 이는 대형 사고로 이어질 수 있게 된다.
이와 관련 윤광택 시만텍코리아 이사는 “이번에 발견된 드래곤플라이는 공격을 시도하는 도중에 포착이 됐기 때문에 어느정도의 파괴력을 지녔는지는 파악할 수 없다”며 “하지만 특정 기반산업을 공격한다는 특징으로 인해 주목해야 할 부분”이라고 설명했다.
만약 드래곤플라이를 사전에 탐지하지 못했다면 큰 사고가 발생했을 수 있다. 드래곤플라이 등장에 대해 외신들은 에너지산업의 위협이란 주제로 기사를 송고하고 있다.
드래곤플라이는 우리나라를 공격할 가능성도 있다. 우선 특정 산업 기기에 대해 영향력을 끼칠 수 있는 서버를 점령하므로 해당 서버를 통해 업데이트를 받는 기기가 모두 공격 대상이 될 수 있다.
우리나라 역시 해외와 유사하게 지멘스나 ABB, 쿠카 등에서 생산된 기기를 운영하고 있다. 이때문에 우리나라도 드래곤플라이와 같은 공격에서 자유로울 수 없다.
특히 우리나라는 ICS에 대한 보호조치를 제대로 하고 있는 곳이 많지 않다. 여전히 지원이 종료된 윈도XP를 사용하고 있는 곳이 많으며, 망분리가 돼 있다는 이유로 이에 대한 유지보수를 이행하지 않는 곳도 있다.
더 큰 문제는 ICS를 노리는 공격은 사전에 탐지하거나 분석하기가 매우 어렵다. ICS 특성상 기기로부터 얻을 수 있는 로그가 매우 제한적이며, 이조차도 없는 경우가 많기 때문이다.
글로벌 보험 중개사 윌리스(Willis)의 2014년 보고서에 따르면 국가 전력 시설을 담당하는 ICS 기기들은 단 한번이라도 꺼지면 안되기 때문에 이에 대한 유지관리가 힘들며, 이를 노린 공격이 다수 발생한다고 지적하고 있다.
이를 대비하기 위해서는 기반시설에 대한 투자를 확대해 관제, 컨설팅도 보다 디테일하게 실시하고, 새로운 위협에 대응할 수 있는 솔루션 도입에도 나서야 할 것이다.
댓글 쓰기