산업제어시스템 보안 패치 나오는데만 140일

글자 작게 글자 크게 인쇄하기

발전소와 공장 등에 주로 쓰이는 산업제어시스템(SCADA)에서 보안 취약점이 발견된 후 패치가 나오는데 140일 이상이나 걸렸다. 패치가 나와도 설치를 안 하는 곳이 많아 취약점이 그대로 노출된 경우가 많다.

트랜드마이크로와 제로데이이니셔티브(ZDI) 내놓은 '스카다 HMI 보안 취약점 동향 보고서'에 따르면 지난해 SCADA 시스템 보안 취약점 패치가 나오는데 걸리는 시간은 143일이었다. 보고서는 SCADA 시스템 중 '휴먼-머신 인터페이스(HMI)' 부분에 중점을 두고 연구했다. 두 기관은 2015년부터 2016년까지 나온 취약점을 분석했다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

연도별로 살펴보면 2013년 패치가 나오는데 까지 158일, 2014년 124일, 2015일 158일이 걸렸다. 4년 간 패치가 나오는데 걸리는 시간은 큰 변화가 없다. 대부분 SCADA 시스템은 자동으로 패치가 안 돼 일일이 업데이트를 해줘야 하는 구조다. 모든 SCADA 제조사가 패치를 늦게 내놓지는 않지만 대형 기업인 ABB, GE, PTC 등이 평균 220일씩 걸리는 구조는 문제가 있다고 지적했다. 마이크로소프트, 애플, 구글, 어도비 등 IT기업이 패치를 내놓는데 걸리는 시간은 120일 이하이다. SCADA 기업은 150일 이상으로 IT기업보다 한 달이나 길다.

연도별 SCADA시스템 보안 패치 배포 시간(자료:트랜드마이크로)
<연도별 SCADA시스템 보안 패치 배포 시간(자료:트랜드마이크로)>

해커는 주로 SCADA 시스템 중 HMI를 공격했다. HMI는 주요 산업시스템을 관리하는 중요한 부분이다. 운영자는 HMI를 이용해 정보에 접근한다. 공격자가 HMI를 침해하면 SCADA와 연결된 기기에 물리적 장애를 초래한다. HMI에 긴급 알람기능을 망가트리는 공격도 가능하다.

HMI는 웹 기반이 아닌 윈도 기반 애플리케이션이다. 이 때문에 크로스사이트스크립트(XSS)나 크로스 사이트 리퀘스트 포그레이(CSRF) 같은 공격은 드물다. 대부분 공격은 인증과 잘못된 초기 설정(23%), 메모리 손상 버그(20%), 크리데셜 관리 취약점(19%), 코드 삽입(9%) 순이다.

SCADA는 발전소, 항만, 도로, 교량, 하수처리 등 사회간접자본 시설부터 산업 현장 설비와 운영을 제어하는 종합관리 체계다. 과거 SCADA시스템은 인터넷에 연결하지 않은 상태로 운영했지만 최근 유지보수를 위한 제한적 연결과 원격 접속이 늘었다. 문제는 SCADA 시스템 상당수가 초기 설계 과정에서 사이버 보안을 고려하지 않았고 패치가 나와도 신속히 설치되지 않는다. SCADA를 노린 사이버 공격은 발전소 등 국가 시스템을 통째로 흔들어 혼란을 야기한다.

보고서는 SCADA 시스템을 노린 악성코드가 증가해 관련 솔루션 기업이 사이버 보안에 신경 써야 한다고 지적했다.

전자신문은 8월 18일 양재동 엘타워에서 '산업제어시스템 보안콘퍼런스 2017'을 개최한다.

SCADA 제조사별 보안 패치 발표 시간(자료:트랜드마이크로)
<SCADA 제조사별 보안 패치 발표 시간(자료:트랜드마이크로)>

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com