ICS, 사용자 인증 허술 '사이버 공격 무방비'

글자 작게 글자 크게 인쇄하기

'A공장 산업제어시스템 ID 어드민(Admin) 비밀번호 1234.'

공장이나 플랜트 등 주요 산업시설에 설치된 산업제어시스템(ICS)이 중요성에 비해 낙후한 하드웨어에 취약한 사용자 인증 등으로 사이버 공격 무방비로 노출됐다.

파이어아이코리아(대표 전수홍)는 6일 ICS 보안 취약점 6가지를 발표했다. ICS 주요 공격자는 중국, 러시아, 북한, 미국 등으로 알려졌다. 2000년 이후 15년간 ICS 보안 취약점은 1600개에 달하며 공격도 증가했다.

ICS에 사용자 인증이 매우 취약하다. 사용자 인증이란 허용된 사람만 컴퓨터에 접속하거나 해당 프로그램을 지원하는 기능이다. ICS는 주로 비밀번호를 인증을 하는데 'ID:admin, PW:admin' 'ID:system PW:1234' 등으로 공장에서 설정한(하드코딩 된) 비밀번호를 쓰는 경우가 많다. 공격자는 웹에서 암호를 쉽게 얻어내 공정을 마음대로 조작할 수 있다. 공격을 막으려면 내부 ICS 장치 목록과 하드코딩 된 암호가 있는 장치 목록과 대조한다. 암호 취약성을 악용하려는 시도가 있는 장치의 로그와 네트워크 트래픽을 모니터링 한다.

윤삼수 파이어아이 전무가 ICS 보안 취약점 6가지를 발표했다.
<윤삼수 파이어아이 전무가 ICS 보안 취약점 6가지를 발표했다.>

ICS는 인증되지 않은 프로토콜을 쓰는 사례가 많다. 인증은 데이터가 신뢰할 수 있는 출처에서 오는 걸 보장하는 기술이다. ICS 프로토콜에 인증체계가 없으면 네트워크 내 컴퓨터가 설정 값을 변경하거나 HMI(Human Machine Interface)에 부정확한 측정값을 보내는 등 물리적 공정을 변경하는 명령이 가능하다. 잘 못된 공정 운영을 초래해 제품을 손상시키거나 플랜트 설비를 파괴할 수 있다. 심지어 직원에 해를 가하거나 환경 파괴를 일으킨다.

공격을 완화하려면 공정 제어 네트워크에서 사용 중인 인증되지 않은 프로토콜을 확인해 취약점 수준을 파악한다. 현재 사용 중인 장비가 인증 옵션을 지원하는지 파악한다.

낙후한 하드웨어도 ICS 보안을 위협하는 요소다. ICS 하드웨어는 한번 설치하면 수십 년간 운영한다. 이런 하드웨어는 단순 작동 기능으로 처리 능력이나 메모리가 부족하다. 이 때문에 최신 네트워크 기술을 둘러싼 위협 환경을 처리하기 힘들다. 하드웨어를 업그레이드 하거나 네트워크 연결을 최소화해 방화벽 규칙을 구성한다.

파일 무결성 검사도 취약하다. 무결성 검사는 데이터나 코드의 무결성과 출처를 검증하는 기능이다. 해커가 만든 악성 파일이 ICS에 영향을 끼치지 않도록 검증이 필수다.

ICS 내에 구형 윈도 운용체계(OS) PC가 많다. 엔지니어링 워크스테이션이나 HMI가 구형 윈도 OS를 쓰면 알려진 취약점에 노출된다. 공격자가 제어 시스템에 대한 특정 지식 없이도 산업시스템에 접속할 수 있다.

플랜트를 만들 때 쓰인 제3자 소프트웨어(SW) 관리도 되지 않는다. 오픈소스를 비롯해 OEM SW를 플랜트 ICS 개발에 사용한 후 이에 대한 관리가 없다. 보안 취약점이 발견되고 패치가 나와도 무엇이 쓰였는지 알기 힘들다.

ICS, 사용자 인증 허술 '사이버 공격 무방비'

윤삼수 파이어아이 전무는 “ICS 표적공격이 늘고 고도화되면서 사회혼란과 국가 안보까지 위협 한다”면서 “ICS 보안 건강검진을 하고 네트워크 가시성을 확보해야 한다”고 덧붙였다.

전자신문은 8월 18일 양재동 엘타워에서 '산업제어시스템 보안콘퍼런스 2017'을 개최한다.

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com