[보안컬럼]산업제어시스템 환경에서 사이버 보안 문화 구축

지난 10년 동안 일반 정보기술(IT) 네트워크 보안이 많은 관심을 받으며 장족의 발전을 이룬데 반해 산업 제어 시스템(ICS/SCADA)에 대한 관심은 저조하다.

조직 대부분은 ICS/SCADA 환경에서 사이버 보안을 `튼튼하면 좋지만 아니어도 그만`이라고 생각한다. 기존의 생산 공정 안전이나 산업시스템 가용성은 사이버 보안과 무관한 주제로 여긴다.

SCADA 소프트웨어(SW), 네트워크 커뮤니케이션, 독자 네트워크 프로토콜, 하드웨어(HW) 장치 설계 및 구현 등 어떤 측면을 살펴봐도 보안은 최우선 사항이 아니다. 아직도 ICS 환경에서는 가짜 네트워크 아이덴티티 스푸핑, 액세스 권한 초과 악용, 하나의 인증 계정을 통한 여러 시스템 액세스, 기타 일반 해킹 수단이 발견된다. 대부분 ICS 시스템과 SCADA SW, PLC 공급업체에서는 설계 시 이러한 전략을 적용하지 않는다.

이창훈 카스퍼스키랩코리아 대표.
이창훈 카스퍼스키랩코리아 대표.

사이버 보안 위협을 막기 위한 기존의 보안 규제 접근 방식 또한 시대에 뒤처진다. 대부분 국제기관이나 각국 정부에서는 표준만 지키면 측정과 행동을 통해 치명상에 이를 정도의 참사 사건을 막을 수 있다고 이야기한다. 정교해진 현대 사이버 보안 공격을 감안하면 규제 준수는 사이버 보안을 지키기 위한 최소한의 기준점이다. 사이버 범죄자는 꾸준히 ICS 시스템 취약점을 조사하고 공격 수단을 개발한다. 사회공학 기법을 이용해 인터넷 사용자의 취약점을 공략한다.

기업 보안을 위해 표준과 규제를 준수할 뿐만 아니라 새로운 접근 방식, 즉 `자기 규제` 정책을 도입해야 한다. 미국 ICS CERT 보고서에 따르면 ICS에서 발생하는 사이버 보안 사고의 55%는 지능형지속위협(APT)다. ICS 환경에서 일어나는 모든 사고의 40%는 사람의 부적절한 행동으로 발생한다. 사람으로 인한 사고의 배경에는 대개 스피어 피싱이 있다.

2012년 중동 지역 석유회사 아람코에서 3만5000개 시스템이 일제히 정지되는 사건이 발생했다. IT 인프라를 잃은 아람코는 모든 작업을 문서를 통해 수동 처리했다. 공격의 최초 발생지는 한 기술자에게 전송된 악성 이메일이었다. 결제 시스템까지 마비된 아람코는 자국의 석유탱크 트럭에 석유 판매 중단 조치를 취했지만 결국 17일 후 자국의 석유 공급 흐름을 위해 석유 무료 제공을 실시했다.

2015년 12월 23일 BE2가 우크라이나 전력망을 감염시킨 일도 발생했다. 이 공격으로 우크라이나 서부에서부터 중앙, 키예프 국제공항, 일부 우크라이나 TV 및 언론사가 타격을 받았다. 고객 20만명이 약 6시간 동안 전기를 사용하지 못하는 광범위한 정전 사태가 빚어졌다. 배전 네트워크는 2016년 1월 중순까지 1개월 이상 SCADA 없이 운영됐다.

이 같은 사이버 보안 사고를 말할 때 시스템 위험 최종 단계를 떠올린다. 그러나 사고가 발생하기까지 경로를 돌아보고 분석하면 당시 보고되거나 시정되지 않은, 사소해 보이기까지 하는 행위가 수천 가지 존재한다.

그 가운데 제어실 서버 또는 워크스테이션에서 인터넷을 연결하거나 야간근무를 하면서 웹 서핑을 하는 행위, 확인되지 않은 웹사이트에서 SCADA/HMI 서버로 음악이나 게임을 다운로드하는 행위, 개인 스마트폰을 필수 시스템에 연결하는 행위 등은 언뜻 보기에 사소한 행동이다.

관리자가 기술 웹사이트에 기술 관련 질문을 올리면서 ICS 네트워크 토폴로지를 공유하거나 접근 정책 및 기술 방법과 관련된 중요한 세부 사항을 무심코 누설한다.

설령 직접 악성코드나 해커를 내부 시스템으로 유도하지 않더라도 이러한 행동은 안전하지 않다. 직원 한 명 한 명이 자신의 일상 행동을 통해 조직이 위험에 처할 수도 있음을 인식하는 자기 규제 문화가 형성돼야 한다.

산업제어시스템을 노린 사이버 공격이 늘었다. ⓒ게티이미지뱅크
산업제어시스템을 노린 사이버 공격이 늘었다. ⓒ게티이미지뱅크

`자기 규제`란 외부에서 도입되는 것이 아니라 회사에 속한 모든 개인이 안전과 보안을 향상시키기 위해 책임감 있게 행동하는 것이다. 핵심 요소는 `행동 개선`, 조직 경영진부터 일반 직원에 이르기까지 모든 구성원에게 보안을 필수라는 것으로 인식하는 것이다. 운영진부터 IT 관리자, 마케팅, 재무팀, 인사팀까지 모든 직원이 보안 인식을 새롭게 하고 어떤 상황이 발생하더라도 시의적절한 조치를 취할 준비를 해야 한다.

ICS 사이버 보안에서 인력 요소는 중요하다. 개인 보안 인식 부족과 안전하지 않은 ICS 설계가 결합하면 최악의 상황이 벌어진다. 이러한 위협에 맞설 때 기존의 `규제 준수`만 강조하는 보안 교육은 효율성이 없다. 각 ICS 조직에서 자기 규제, 즉 모두가 자신의 행동에 대한 책임감을 심각하게 느끼고 일상 업무에서 사이버 보안 원칙을 준수하는 사이버 문화를 도입해야 한다.

이창훈 카스퍼스키랩코리아 대표 changhoon.lee@kaspersky.com