여러분의 비즈니스에 보안 및 SW품질 기술을 더해 사이버공격으로 부터 자산을 보호하고 SW의 품질과 신뢰성을 확보합니다.

Recent Posts
COPYRIGHT ⓒ 2020 SOFTFLOW. ALL RIGHTS RESERVED.
 

산업제어시스템의 기술발전에 따라 커지는 보안위협

산업제어시스템의 기술발전에 따라 커지는 보안위협

산업제어시스템의 기술발전에 따라 커지는 보안위협

 

 

 

사이버 공격으로부터 산업제어시스템 보호

첨단기술이 핵심 인프라와 통합되는 속도는 자동화산업에서 사이버 보안 솔루션을 적용하는 속도보다 앞서가고 있습니다. 우리의 도시, 전력 및 운송 시스템은 점점 더 똑똑하고 효율적이 되고 있지만, 새로운 연결성 및 상호운용성으로 인해 그 어느 때 보다 보안위협에 더욱 취약해졌습니다. 정치적, 이데올로기적, 재정적 동기로 발생되는 보안위협은 국가, 기업 및 개인에게 악영향을 끼칠 수 있습니다. 지난 10년동안 월스트리트 저널에 따르면 29개국이 사이버 공격을 방어하는 부서를 설립했습니다. 오늘날의 변동이 잦으며 모든 것이 결합된 산업제어시스템은 방어하는 조직보다 보안위협을 가하는 조직에 유리한 조건을 만들게 됐습니다.

과거와 다른 새로운 현실 : IT, OT 및 IoT

수십년 전 산업 프로세스가 처음 자동화되었을 때, 사이버 보안은 고려대상이 아니었습니다. PLC (Programmable Logic Controllers)는 네트워크에 연결되지 않았기 때문에 물리적인 방해 행위 또는 천재지변으로 인한 위협 이외에 다른 위협은 거의 없었습니다. 디지털 공격이 없었으므로 보안은 경비정도로 충분했습니다.

산업세계를 자동화하는 특수목적의 소프트웨어 및 하드웨어인 PLC 및 기타 산업제어시스템 (ICS-Industrial Control System) 또는 운영기술(OT-Operational Technology)이 네트워크를 통해 효율성이 높아졌으며 오늘날에 이르기까지 빠른 속도로 기술발전이 이뤄지고 있습니다. 실제로 IoT (Internet of Things)는 모든 부문의 산업생태계에 적용되었습니다. 가동시간을 보장하고 더 나은 의사 결정을 가능하게 하는 실시간 분석에 대한 요구는 제조회사 및 핵심 인프라 운영자에게 정보기술 (IT), OT 및 IoT 기술을 산업제어시스템에 적용하는 속도를 가속화했습니다.

시스템에 가해지는 위협

ICS/OT 환경에 보안위협은 예외가 아닙니다. 새롭게 발견된 ICS 버그 또는 하드웨어 결함이 발견되지 않은 날이 없을 정도로 많은 취약점이 발견되었습니다. 그리고 이런 소프트웨어 및 하드웨어 취약점은 ICS/OT 환경에 큰 악영향을 끼칠 수 있습니다.

기업의 IT 네트워크는 시스템 유지보수 및 패치를 수행하기 위해 근무 시간 외에 시스템 가동중단 시간을 가지는 반면 제조공장과 중요한 인프라시설은 24시간 가동됩니다. 워크스테이션을 재 부팅하여 소프트웨어를 업데이트하는 간단한 작업에도 많은 비용이 발생할 수 있습니다. 실제로 대부분의 회사는 중단 없이 가동시간을 유지하기 위해 취약점을 인지했음에도 시스템을 계속 운영하는 경우도 있습니다.

이러한 기업의 취약점 관리를 복잡하게 만드는 대부분의 ICS/OT 자산이 25년이상의 생명주기를 가지기 때문입니다. 고가의 하드웨어 및 소프트웨어를 대량으로 업그레이드하기에 비용이 많이 들기 때문에 어려움이 있습니다. 그러나 불행히도 지난 몇 년 동안 지능적이며 위협적인 보안 취약점이 계속해서 증가했습니다.

진입장벽 감소, 공격대상 확대

과거에는 ICS/OT환경을 보안위협을 가하는 곳은 군대와 외국 정보기관 정도였습니다. 대부분은 경제 및 외교적 활동으로 그 위협을 방어할 수 있었습니다. 그러나 현재, 악성 코드의 확산과 네트워크로 연결된 장치의 증가로 인해 산업 인프라를 파괴할 수 있는 능력이 소수의 집단으로 변했습니다. 최근 NotPetya 및 WannaCry Ransomware 경우 공격대상을 지정하지 않으며, 제 3자 IT자산과 ICS/OT 간의 네트워크 상의 연결은 엄청난 규모의 Malware 전파를 초래할 수 있습니다.

또한 다른 IT 시스템과의 상호 운용성으로 인해 ICS/OT 공격영역이 기하 급수적으로 확대되고 있습니다. ICS/OT 자산 및 기타 IoT 장치가 빌딩 관리 시스템 (BMS)을 사용하여 제조공장, 중요 인프라 시설, 데이터 센터, 사무실 및 주거 지역에 위치함에 따라 공격자에 노출된 공격지점이 증가했습니다. 단일 ICS/OT 네트워크의 영역을 훨씬 넘어서며, 종종 전 세계적으로 분산되어 있고 여러 인터페이스로 가득 차 새로운 위협을 낳을 수 있습니다.

올해 초 미국 국토안보부와 연방수사국(FBI)은 공동으로 러시아 정부가 “악성 프로그램을 세계직으로 주목받게 했으며, 에너지 부문 네트워크에 원격접근 기술을 확보했다”고 발표한 것은 놀라운 일이 아닙니다. 미국 정부에 따르면, “네트워크 정찰을 실시하고, 측면이동 및 산업제어시스템에 관한 정보를 수집했다.”고 전했습니다. 또 다른 공동 DHS 및 FBI 보고서는 곧 미국과 전 세계적으로 중요한 인프라를 타깃으로 하는 북한의 악의인 사이버 활동(코드 명 HIDDEN COBRA)이 감지되었다고 말했습니다. 이러한 경고 뒤에 2015년과 2016년에 우크라이나의 전력망에 대한 공격이 뒤따랐습니다.

산업제어시스템 기술의 발전과 흐름은 ICS/OT 자산 운영자와 보안조직에게 문제가 됩니다. 새로운 사이버공격기법을 조기에 발견할 수 있어야 안전하게 제어시스템을 운영할 수 있습니다. 조기에 발견하기 위해서는 보이지 않는 시스템에 대한 높은 가시성이 필요합니다.

<낮은 가시성을 가지는 산업제어시스템 현황>

높은 신뢰성 필요, 그러나 낮은 가시성

과거에는 해커조직이 산업제어시스템에 대한 지식이 적었기 때문에 산업제어시스템을 구축 후 건드리지 않으면 24시간 정상적으로 운영이 되었습니다. 그러나 지난 10년동안 기술의 발달로 산업제어시스템에 대한 떨어지는 가시성은 체계적인 위험을 초래한다는 사실을 알게 되었습니다.

본질적으로 동작을 예측할 수 없는 IT시스템과 달리 ICS/OT 장비는 시스템의 명령에 자동 응답하도록 프로그래밍 됩니다. 이러한 명령은 산업 장비의 작동을 제어하는 반복 가능하게 하며 따라서 예측 가능성이 높습니다. IT세계에서는 사용자의 행위를 예측할 수가 없으므로 의심스러운 행위가 포착되어도 그 목적이 보안위협인지 아닌지의 여부를 판단하는 것이 어렵습니다. 그러나 ICS/OT 세계에서의 예외활동은 대부분 보안위협과 관련이 있습니다.

<산업제어시스템 네트워크를 통한 가시성 데이터 확보>

높은 가시성, ICS/OT 환경에서 위협탐지

각 ICS/OT 자산은 고유한 특성을 가지고 있으며 공격자는 하나 이상의 ICS/OT 자산에 직접 또는 간접적으로 접근하여 조작해야 합니다. ICS/OT 장치에 접근하면 운영자가 쉽게 알아채지 못하게 명령을 실행합니다. 최근 화학공장에서 발견된 공격을 보면 안전제어 기능을 우회하여 산업 제어기에 접근권한을 얻기 위해 정교한 Malware 프레임워크를 사용했습니다. 이 전략은 감시 스크린에 표시된 데이터를 조작함으로써 우라늄 농축시설의 근무자를 속인 이란의 원심 분리기에 대한 2010년 Stuxnet 공격과는 다릅니다. 앞에서 설명한 경우는 공격이 이뤄져 어떤 동작의 형태로 나타낼 때까지 운영자는 문제에 대해 어떤 경고를 받지 못했습니다.

따라서 ICS/OT 위협을 탐지하는 가장 효과적인 방법은 ICS/OT 네트워크 활동에 대한 깊은 가시성을 확보하는 것입니다. 각 프로토콜, 명령, 설정, 통신흐름 등에 대해 ICS/OT 자산의 정상적인 동작을 이해하는 것으로 시작합니다. 사람의 설정으로 산업제어시스템이 원래와 다른 동작을 수행하는 경우는 무시하지만 새로운 설정이 무작위로 PLC에 다운로드 되거나 워크스테이션이 허가되지 않은 장치와 통신하는 것은 침입 가능성이 높은 것으로 판단합니다.

<높은 가시성을 확보한 산업제어시스템>

패러다임 변화

지난 10년간의 기술, 사업 및 지정학적 발전으로 인해 세계 주요 인프라의 관리자와 운영자는 보안위협에 대해 근본적인 재조정이 필요하게 됐습니다. ICS/OT 자산이 사이버 위협에 의해 인프라를 손상시킬 수 있으며 공격자들에게는 정치적인 이유로 접근할 가치가 있는 대상이 되었습니다. 우리 사회는 지금보다 더 연결되고 상호 운용될 것입니다. 현재 우리가 답을 고민해야할 질문은 “더 안전할까요?” 입니다. 이 질문에 “예” 라고 대답할 수 있는 것은 오늘날의 산업제어시스템의 패러다임을 뒤집는 것에서 시작됩니다. 산업제어시스템은 보안위협으로 안전하다는 생각을 뒤집는 것에서부터 패러다임을 바꿀 수 있습니다.

다음 블로그에서는 산업제어시스템의 가시성 확보를 위해 필요한 기술이 무엇인지 파악하고 기술을 적용하기 위해 확보해야 하는 데이터 및 데이터 확보를 위해 필요한 고려사항이 무엇인지 확인합니다.

 

Q&A: info@softflow.io

관련 제품 링크: https://www.claroty.com/

댓글이 없습니다.

Sorry, the comment form is closed at this time.