'ICS'에 해당되는 글 1

  1. 2014/07/02 우리나라 산업제어시스템(ICS)이 위험하다
사용자 삽입 이미지

특정 국가의 치명적인 혼란을 꾀하는 공격자는 어떤 영역을 공격할 것으로 예상하는가. 사람에 따라 생각이 조금씩 다를 수 있겠지만 대부분은 전력, 교통, 통신 등 국가 기반 인프라를 공격할 것이라고 답할 것이다.

만약 우리가 사는 동네에 전기 공급이 끊기는 상황을 가정해보자. 장기간의 단전이 지속된다면 정상적인 삶은 불가능해질 것이다.

국방의 의무를 지고 나온 우리나라 남성이라면 전쟁 발발 시 적국이 가장 먼저 발전소나 기지국 등을 노린다는 것을 배운 기억을 다시 한번 되새겨보자.

이런 가능성을 고려한다면 많은 공격자들이 국가의 기반 인프라를 공격하는 것이 새삼스럽지 않다. 이미 스턱스넷(Stuxnet), 플레임(Flame), 듀큐(Duqu) 등의 공격이 있었다.

2011년, 사이버공격 증가할 듯…‘스턱스넷’ 등장 큰 위협 - 2010.11.25
(http://www.ddaily.co.kr/news/article.html?no=71236)


스턱스넷과 유사한 사이버 표적공격 ‘듀큐’ 발견 - 2011.10.20
http://www.ddaily.co.kr/news/article.html?no=83576


“새로운 악성코드 플레임, 국가단위 해킹 가능성 높다” - 2012.06.05
http://www.ddaily.co.kr/news/article.html?no=91564

이러한 공격 중 국가 전력시스템을 노린 공격이 등장했다.

지난 1일 시만텍은 서방 에너지회사들의 산업제어시스템(ICS)을 노리는 공격 ‘드래곤플라이(Dragonfly)’를 포착했다고 밝혔다.

드래곤플라이의 가장 큰 특징은 ICS 장비 공급업자들의 시스템에 침투해 트로이목마를 감염시킨다는 점이다. 이 의미는 발전소 등에서 운영하고 있는 ICS 장비에 악성코드가 탑재된 소프트웨어를 업데이트의 명목으로 보낼 수 있다는 점이다.

망분리가 돼 있더라도 이러한 악성코드에 감염된다면 원격지에서 조정이 가능해지고, 이는 대형 사고로 이어질 수 있게 된다.

이와 관련 윤광택 시만텍코리아 이사는 “이번에 발견된 드래곤플라이는 공격을 시도하는 도중에 포착이 됐기 때문에 어느정도의 파괴력을 지녔는지는 파악할 수 없다”며 “하지만 특정 기반산업을 공격한다는 특징으로 인해 주목해야 할 부분”이라고 설명했다.


만약 드래곤플라이를 사전에 탐지하지 못했다면 큰 사고가 발생했을 수 있다. 드래곤플라이 등장에 대해 외신들은 에너지산업의 위협이란 주제로 기사를 송고하고 있다.

드래곤플라이는 우리나라를 공격할 가능성도 있다. 우선 특정 산업 기기에 대해 영향력을 끼칠 수 있는 서버를 점령하므로 해당 서버를 통해 업데이트를 받는 기기가 모두 공격 대상이 될 수 있다.

우리나라 역시 해외와 유사하게 지멘스나 ABB, 쿠카 등에서 생산된 기기를 운영하고 있다. 이때문에 우리나라도 드래곤플라이와 같은 공격에서 자유로울 수 없다.

특히 우리나라는 ICS에 대한 보호조치를 제대로 하고 있는 곳이 많지 않다. 여전히 지원이 종료된 윈도XP를 사용하고 있는 곳이 많으며, 망분리가 돼 있다는 이유로 이에 대한 유지보수를 이행하지 않는 곳도 있다.

더 큰 문제는 ICS를 노리는 공격은 사전에 탐지하거나 분석하기가 매우 어렵다. ICS 특성상 기기로부터 얻을 수 있는 로그가 매우 제한적이며, 이조차도 없는 경우가 많기 때문이다.

글로벌 보험 중개사 윌리스(Willis)의 2014년 보고서에 따르면 국가 전력 시설을 담당하는 ICS 기기들은 단 한번이라도 꺼지면 안되기 때문에 이에 대한 유지관리가 힘들며, 이를 노린 공격이 다수 발생한다고 지적하고 있다.

이를 대비하기 위해서는 기반시설에 대한 투자를 확대해 관제, 컨설팅도 보다 디테일하게 실시하고, 새로운 위협에 대응할 수 있는 솔루션 도입에도 나서야 할 것이다.
2014/07/02 10:47 2014/07/02 10:47