세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
ICS 보안, 한두 개 패치해서 끝날 문제 아니다
  |  입력 : 2018-03-04 21:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
패치하기도 어렵지만 패치한다고 해서 위험 100% 제거 안 돼
테스트 환경 구축하고, 위험 줄이는 대안들도 적극 공유해야


[보안뉴스 오다인 기자] 2017년은 산업제어시스템(이하 ICS)이 악랄한 표적형 멀웨어 공격으로 두들겨 맞은 해였다. 공격만큼 ICS 취약점들도 많이 드러나 우려를 키웠다. 이번에 발표된 보안업체 드라고스(Dragos)의 새 보고서는 잘 알려지지 않은 ICS 보안 취약점들을 조목조목 짚고 있다.

[이미지=iclickart]


지난해 드라고스는 ICS 제품에 영향을 주는 취약점 163개를 추적했다. 해당 취약점 가운데 61%는 ICS 자산에 대한 가시성 및 제어 측면 모두에 타격을 줄 수 있는 것으로 나타났다. “이는 ICS 관련 취약점의 상당량이 익스플로잇만 되면 운영상 심각한 지장을 끼칠 수 있다는 뜻”이라고 드라고스는 경고했다.

ICS 제품 내의 취약점 문제가 계속 반복되는 이유 중 하나는 이를 패치하기가 매우 어렵다는 점이다. ICS는 사람이 직접 손을 대야 하고 그 자체로 매우 크리티컬하다는 특성 때문에 패치 주기가 계속해서 밀리고 심지어는 영원히 패치되지 않는 경우도 있다.

이에 대한 해결책으로 드라고스는 패치 테스트 시스템을 개선하기 위해 분발해야 한다고 권고했다. 취약점 영향권에 들어가는 조직들이 빠르게 패치를 적용할 수 있도록 안정적인 검사 체계를 구축해야 한다는 것이다.

드라고스의 수석 취약점 분석가인 라이드 와이트먼(Reid Wightman)에 따르면, 이 같은 테스트 환경을 구현하려면 경영진의 투자가 핵심이자 첫 단계다. 와이트먼은 단순히 새로운 소프트웨어와 컴퓨터를 갖추는 것을 넘어 궁극적으로 추가적인 관리자들도 필요할지 모른다고 말했다.

테스트 환경이 보안 영역뿐만 아니라 다른 영역들에도 큰 혜택을 제공한다는 사실을 생각하면 경영진 투자 유도는 더 쉬워질 수 있다.

“이런 환경이 주어지면 엔지니어들은 유지관리에 앞서 새 장치나 설정을 테스트해볼 수 있습니다. 유지관리 시 소프트웨어 시스템을 수리하는 데 소요되는 시간을 크게 단축시킬 수 있다는 말입니다.” 와이트먼은 “테스트 환경 구축은 단순한 경비 지출이 아니라 여러 가지 방식으로 기업에 이윤을 창조하는 일”이라고 강조했다.

만약 자사 시스템에서 취약점을 발견했다면 이를 자체적으로 패치하려고 애쓰기보다 다른 업체들과 보안업계에서 지원을 받는 편이 좋다. 취약점 공개와 패치 사이에 놓인 위험을 제대로 이해하고 또 대처하기 위해서다. 와이트먼은 일반적인 취약점 권고들이 패치 적용이나 시스템 격리 그 밖의 위험에 대한 정보는 충분히 제공하지 못하고 있다고 지적했다. 위험을 줄이기 위한 대안적인 방법들을 충분히 짚어주지 않는다는 것이다.

그는 “엔드유저나 기업 쪽에서 즉시 패치할 수 없는 취약점이 있다면 해당 위험을 줄이기 위해 다른 어떤 방법을 취할 수 있는지 고지 받아야 한다”고 말했다. “ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)든 업체든 무수히 많은 경우에 이 같은 정보를 제공하지 않는다”고 와이트먼은 비판했다.

패치한다고 해서 해당 위험이 완전히 없어지는 건 아니라는 인식도 필요하다. 드라고스 보고서의 놀랄 만한 통계 중 하나는 바로, 지난해 드러난 ICS 관련 취약점 양 자체다. 취약점으로 영향 받는 요소의 64%가 설계 단계에서부터 안전성이 고려되지 않은 것(insecure by design)으로 나타났다. 다시 말해, 어느 것 하나를 패치한다고 해서 침해 위험이 완전히 제거되는 건 아니라는 뜻이다.

와이트먼은 ICS 전선에 서있는 기업들이 보안 강화를 위해 취할 수 있는 가장 중요한 조치로 “너 자신을 알라(Know thyself)”라는 오래된 경구를 들었다. 기업들이라면 자사 ICS 네트워크에 뭐가 지나다니는지 이해하려는 노력, 어떤 자산이 다른 어떤 것과 통신하고 있는지 구체적으로 파악하려는 노력, 특정하게 어떤 서비스들이 지금 사용되고 있는지 알고자 하는 노력을 이전보다 더 열심히 해야 한다. 이는 각종 위험을 최소화시키는 방법으로, ICS에 대한 접근 제어를 매우 세밀하게 설정하기 위해서 반드시 필요한 단계다.

와이트먼은 “현장 기기의 엔지니어링 프로토콜이 데이터 접근 시 대부분 다른 서비스를 사용한다는 사실을 이해하는 건 그 탁월한 예”라고 말했다. 그는 “엔지니어링 시스템이 해당 엔지니어링 서비스에 접근하도록 하고, 운영 시스템이 해당 데이터 서비스에 접근하도록 만들라”면서 “업체들이 이런 정보를 제공할 수 있어야 하고, 그것도 무료로 배포해야 한다”고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)