default_setNet1_2

[ICS 보안②] 인터넷 연결되는 제조시설 공격 집중

기사승인 2019.05.08  08:31:41

공유
default_news_ad1

- 공급망 공격으로 제조시설 보안위협 ↑…클라우드, 공급망 공격 위협 높여

사회기반시설의 OT 네트워크는 외부 네트워크로부터 단절된 상태로 운영되지만, 제조시설은 폐쇄망으로 운영되는 것은 아니다. 제조사들은 공장 자동화를 진행하면서 제조설비에 각종 센서를 설치하고 데이터를 분석하고 있다. 센서에서 발생하는 데이터는 PLM, SCM, MES, ERP 등의 시스템으로 연결되는데, 내부 전용망이 아니라 인터넷망을 통해 연결되기도 한다.

SK인포섹 디지털 시큐리티 컨설팅팀장인 김계근 이사는 “제조기업들은 전 세계에 분산된 공장을 관리하기 위해 인터넷망을 연결하고 있으며, 5G 통신 시대가 열리면서 빠르고 높은 대역폭을 사용할 수 있는 통신망을 이용하려는 시도가 이어지고 있다. 앞으로 인터넷·통신망으로 연결되는 제조시설에 대한 공격이 집중될 것이며, 이를 방어하기 위한 보안 체계가 시급한 실정”이라고 강조했다.

인터넷에 연결된 OT만 위험한 것은 아니다. 폐쇄망도 위험하기는 마찬가지다. 스턱스넷은 USB를 이용해 폐쇄망 시스템 파괴를 시도했다. 하드웨어와 소프트웨어 공급망을 이용하는 공격은 OT 공격에 주로 사용된다. 낫페트야, 씨클리너, 이니텍 등이 공급망 공격 피해를 입었다.

USB를 통해 유입되는 공격을 방어하기 위해 시만텍은 신경망 통합 USB 스캐닝 스테이션 ‘시만텍 ICSP 뉴럴’을 소개한다. 이 제품에 적용된 AI 기술은 실시간 학습이 가능해 제한된 인터넷 연결에서 효율이 최대 두 배까지 증가한다. 적대적 머신러닝을 탐지하고 알려지지 않은 위협을 방어하며, OT와 IoT 기기, 시스템을 지원한다.

관리적 대응으로 공급망 공격 방어 어려워

공급망 공격은 ▲설계·업데이트 인프라 감염 ▲인증서, 코드사인, 개발자 계정 탈취 ▲하드웨어, 펌웨어, PLC 감염 ▲USB 등 디바이스에 미리 설치된 멀웨어 등을 통해 진행되며, 복잡한 공급망 네트워크 중 취약한 지점을 지능적으로 이용하기 때문에 방어가 어렵다. 또한 정상적인 공급망 내에서 일어나며, 정상 코드사인 인증이 이뤄지기 때문에 확실한 공격 행위가 발생하기 전까지 탐지도 쉽지도 않다.

공급망 공격 방어를 위해 선진국은 관리적 대응방안을 강조하는데, 공급망 네트워크 기업들과 충분히 소통하고, 사고 탐지와 대응을 위한 플레이북을 제공하는 등의 노력을 진행해야 한다고 강조한다.

공급망 공격 방어를 위한 기술적인 대안은 기존 IT 보안 체계에서 채택하는 선제방어, 위협 탐지와 대응, 제로 트러스트 기반 보안 모델 등이 있을 수 있다. 그러나 대중을 상대로 퍼뜨리는 IoT 봇넷, 랜섬웨어 등을 막을 수 없다.

글로벌 하드웨어 제조사 에이수스가 공급망 공격을 당해 100만대 이상 PC에 백도어가 주입된 사실이 카스퍼스키랩에 의해 알려졌다. 에이수스는 해당 취약점을 패치 완료했다고 발표했으나 백도어가 주입된 지난해 6월부터 11월까지 어떤 공격과 피해가 발생했는지는 알려지지 않았다.

KISA ‘2019년 1분기 사이버 위협 동향 보고서’에서는 클라우드 환경의 공급망 공격을 경고하기도 했다. 지난해 이미 클라우드를 이용한 공격이 발견된 바 있다. 구글 확장프로그램을 클릭하면 악성코드가 다운로드된다. 도커 허브 계정에 업로드된 악성 이미지 파일을 불특정 다수 사용자가 수백만 번 다운로드했다.

패치파일 변화 추적해 공급망 보호

공급망 공격 중 업데이트 파일이나 외주개발 프로그램을 이용한 피해를 막을 수 있는 방법으로 소프트캠프는 패치파일 변화관리 시스템 ‘엑스스캔(EX-Scan)’ 외부유입파일 검증 시스템 ‘게이트 엑스캐너(GateXcanner)’를 공급한다.

엑스스캔은 패치파일을 포함해 내부 개발조직이나 외부 개발사가 제공하는 각종 소프트웨어의 변화 정도를 추적, 관리하는 솔루션이다. 새롭게 개발된 소프트웨어의 행위분석, 기능분석, 변경분석 등을 수행한 후 이전 파일과 비교해 변화 정도를 수치화하고, 비정상적인 수준의 변화가 나타나면 소프트웨어 개발사에 확인하도록 한다. 소스코드를 분석하거나 패치파일을 실행하지 않고 악성 여부를 확인할 수 있다. 국내 주요 금융기관이 패치 프로세스 내에 엑스스캔을 포함시켜 안전한 패치 관리가 가능하도록 했다.

   

▲소프트캠프 ‘엑스스캔’ 작동 방법

배환국 소프트캠프 대표는 “그 어떤 보안 기술을 사용한다 해도 악의적이고 지능적으로 보안을 우회하는 악성코드를 완벽하게 막을 수 없다. 기술적 대응 방안과 관리적 대응 방안을 결합한 위협 완화 방법이 필요하다. 이러한 전제로 설계된 솔루션이 ‘엑스스캔’”이라며 “악성코드가 주입된 패치파일은 정상 소프트웨어처럼 위장하고 있다 해도 이전에 배포된 패치파일과 큰 차이가 나타나게 된다. 비정상적인 변화가 나타날 경우 프로그램 제작사에 확인한 후 패치하면 공급망 공격 위협을 낮출 수 있다”고 밝혔다.

게이트 엑스캐너는 OT 등 폐쇄망 패치의 안정성을 검증하기 위한 시스템으로, 외부에서 유입되는 모든 파일에 대해 백신 검사, 파일 무결성 검증 등을 거친 후 안전한 파일만 반입용 광디스크로 제작해준다. 주요 기반시설 패치파일이나 제어망 내 자료이동 시 무결성을 검증하고 광디스크(CD/DVD) 등을 통해 백신검사 후 자료이동을 실해야 한다는 행정안전부 주요정보통신기반시설 보호지침 일부 개정안을 준수한다.

한편 소프트캠프는 외부에서 유입되는 문서에서 악성 행위를 유발하는 액티브 콘텐츠를 제거하고 안전한 문서로 재조립하는 콘텐츠 무해화(CDR) 솔루션 ‘실덱스’도 공급하면서 외부 유입 콘텐츠를 이용한 공격을 방어할 수 있도록 하고 있다. 

김선애 기자 iyamm@datanet.co.kr

<저작권자 © 데이터넷 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3
default_setNet2
default_bottom
#top