제어시설망, 더 이상 ‘안전지대’ 아니다

이번 한수원의 원전 자료유출 사태는 대규모 산업제어 시스템을 일컫는 ‘스카다 시스템’을 노린 사이버공격이라는 점에서 문제가 더욱 심각하다. 

스카다(SCADA: Supervisory Control And Data Acquisition) 시스템 혹은 ICS(Industry Control System)라고 불리는 산업제어 시스템은 발전소, 송전 및 배전, 물 처리 분배, 공항, 방공, 방송 시스템 등 공공기관이나 사기업의 대규모 국가기반시설을 관리하는 시스템을 의미한다.

스카다 시스템, 산업제어 시스템, 산업자동화제어 시스템(IACS), 분산제어 시스템(DCS)등 다양한 이름으로 불리고 있지만, 제어 시스템에 대한 자동화된 시스템을 통틀어 스카다 시스템이라고 부른다.

이러한 스카다 시스템은 다양한 제조사에 의해 만들어진 많은 SW, HW 부품들로 구성되며, 독립된 폐쇄망에서 비공개 프로토콜을 사용해 동작하는 경우가 많다. 이러한 특성들로 인해 지금까지는 보안위협이 크게 부각되지 않았다. 그래서 구성요소나 시스템의 HW, SW를 설계할 때 보안을 크게 고려할 필요가 없었던 것.

하지만 최근 인터넷의 발달로 사내 회사망과 연결되는 경우가 생기고, 외부 협력업체와의 협업으로 인한 문제, 다양한 저장매체 이용 등으로 인해 보안 취약점이 점점 증가하게 됐다.

스카다 시스템의 대표적 보안사고를 보면, 지난 2000년 호주에서 발생한 오폐수처리 제어시스템 해킹사건을 시작으로, 2003년 미국 원전 슬래머웜 침투, 2010년 이란 핵시설 스턱스넷 공격 등이다. 이러한 사고들로 인해 스카다 시스템의 보안문제와 보안사고에 따른 엄청난 파급효과가 세상에 알려지기 시작하면서 대응에 나서기 시작한 것이다.

이와 관련 MDS테크놀로지의 방혁준 팀장은 “상황이 이런데도 우리나라는 아직 제어시설망 보안의 중요성을 제대로 인식하지 못하고 있다”며, "이를 위한 보안예산도 제자리이거나 점점 감소하고 있다”고 말했다.

이어 그는 “한국내 스카다 시스템의 보안수준을 알아보기 위해 ISASecure 인증 프로그램의 통신 강건성 테스트(CRT: Communication Robustness Test)에 사용되는 ‘Defensics(디펜직스)’라는 퍼징(Fuzzing) 도구로 국내에서 점유율이 높은 PLC 제조사의 한 제품을 테스트 한 결과, 백여 개가 넘는 Fail 케이스가 발생했고 그중 제로데이 취약점도 다수 포함되어 있었다”면서 “이번 테스트는 Modbus TCP/IP 프로토콜만 테스트 한 결과이므로 다른 프로토콜에 대한 추가 테스트 진행 시 더욱 많은 취약점 발견을 예상할 수 있다”고 덧붙였다.

네트워크 장치의 통신 강건성 테스트를 위해 사용하는 퍼징기법은 의도적으로 타당하지 않은 데이터를 보내서 시스템의 오류를 검출하는 기술이다. ISASecure 인증뿐만 아니라, 美 국방부, NATO, 영국 국가기반 보호센터(CPNI), 일본 제어시스템 보안센터(CSSC) 등 많은 국가기관에서 퍼징 도구를 사용해 보안을 점검하고 있다.

스카다 시스템에 행해지는 공격들은 일반 보안사고와 비교했을 때 그 규모가 크고 가장 발전된 형태의 공격이기 때문에 일반 기업과 비슷한 보안대책으로 대처하기는 힘들다. 작업 환경의 변화와 여러 기술의 발전은 스카다 시스템을 다양한 측면에서 위협하고 있기 때문이다.

방혁준 팀장은 “스카다 시스템 보안을 위해서는 스카다 시스템을 구성하는 제품이나 시스템에 대한 보안인증 도입이 시급하다. 또한 기본적인 SW의 보안수준을 강화해야 한다”면서 “이를 위해서는 설계 및 개발 단계에서부터 정적도구를 사용해 안전한 코딩을 할 수 있도록 프로세스를 구축해야 하며, 검증 단계에서도 퍼징이나 그외 동적도구를 사용해 실제 사용 시 발생할 수 있는 취약점을 사전에 탐지하고 수정할 수 있어야 한다”고 말했다.

또한, 그는 임직원들의 보안인식 강화도 중요하다고 덧붙였다. 무의식적으로 행하는 습관적인 행동까지도 보안과 연결해 인식할 수 있는 생각의 전환이 필요하다는 것이다. 이와 동시에 임직원 개개인에 대한 권한 세분화와 스카다 시스템과 관련된 최신 보안기술 동향이나 정보 공유를 통해 지속적인 기술 경쟁력 강화가 필요하다고 방 팀장은 강조했다.

우리나라뿐만 아니라 전 세계적으로 스카다 시스템에 대한 보안위협이 증가하고 있다. 보다 효과적인 대응을 위해서는 공공기관과 산업계가 함께 공동의 정책을 마련하고, 이에 따른 철저한 대비가 이루어져야 한다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>