산업보안 현황과 관리 방안
ICS(Industrial Control System), 고도의 안전성 필요… 뚫리면 피해 확산

산업 제어 시스템은 대상 시스템이 정상적으로 운영되도록 직접적인 제어를 수행하므로 고도의 안전성이 요구되며, 침해사고 발생 시 국가적, 경제적 혼란을 초래하게 된다. 따라서 이에 대한 철저한 사전예방과 보안 관리 방안 수립이 요구된다.

산업 제어 시스템(Industrial Cont-rol System, ICS)은 초기 특화된 프로토콜을 사용하여 산업 프로세스를 모니터링하고 제어하도록 설계되었으며, 일반적으로 다른 컴퓨터 시스템과 분리 관리되었다. 이러한 산업 제어 시스템은 보안을 염두에 두고 설계되지 않았다. 이제 산업 제어 시스템은 기업 네트워크와 인터넷으로 연결되어가고 있기 때문에 그들은 지금 위험에 노출되어 있다.
21세기 네트워크 세상으로 이동과 함께 많은 전통적인 통신 사업자는 패킷 기반 인프라에서 서킷 스위치 기반으로 발전하고 있다. 이는 단일 네트워크에 여러 가지 네트워크 유형(예 : 음성, 데이터, 비디오, 물리적 보안 및 제어 신호)의 정보를 통시에 제공하는 컨버전스가 일반화되어 전송됨에 따라 다양한 비즈니스에서 업무 효율성의 효과를 보여준다.
많은 업무시스템이 더 많은 정보를 제공하기 위해 산업 제어 시스템상에서 기업 시스템의 보안 위험을 고려하지 않고 네트워크 사이의 연결을 꾀하고 있다. 인터넷 프로토콜(IP) 세계의 보안 위험의 증가 수준과 산업 제어 시스템의 보안에 대한 관심이 증가함에 따라 산업 자산 관리자가 효과적인 보안 기반의 위험 관리 의사 결정을 하기 위해 사용할 수 있는 다양한 IP 기반 솔루션을 이해하는 것이 중요하다.
IP 라우팅 기반 통신에서 보안 위협은 어디에서든 올 수 있으며, 이러한 네트워크는 훨씬 더 역동적으로 변화가 일어나고 있다.
새로운 산업 관리 활동은 이제 레거시 시리얼 통신에는 존재하지 않는 IP 기반 산업 제어 시스템이 필요하다. 이러한 활동은 네트워크에 연결된 장비들이 항상 최신 산업 펌웨어를 유지하고, 무단 액세스를 차단하는 네트워크 액세스 제어를 제공한다. 이러한 다양한 원방의 산업 장치의 사용을 산업 제어 시스템은 모니터링할 수 있다.
2010년 이러한 주요 산업 제어 시설물을 대상으로 새로운 유형의 사이버테러 사례인 ‘스턱스넷(Stuxnet)’이 등장하면서 본격적으로 사이버전의 위협이 부각되고 있다. 산업 제어 시스템은 대상 시스템이 정상적으로 운영되도록 직접적인 제어를 수행하므로 고도의 안전성이 요구되며, 침해사고 발생 시 국가적, 경제적 혼란을 초래하게 된다. 따라서 이에 대한 철저한 사전예방과 보안 관리 방안 수립이 요구된다. 업무 효율성과 경쟁력 제고, 경영합리화 등을 위해 산업 제어 시스템과 기업 IT 시스템의 연계가 지속적으로 증가함에 따라 제어시스템을 구축·운영하고 있는 산업 제어 시설에 대한 사이버 침해 위협 가능성도 증가하고 있다.
이 글에서는 IT 기반으로 운영되는 산업 제어 시스템에 대한 사이버 보안 위험이 증가되는 주된 요인과 IT 시스템과 산업 제어 시스템의 차이점, 그리고 주요 보안 관리 방안을 살펴본다.

산업 제어 시스템의 사이버 보안 위험

산업 제어 시스템은 국가 주요 기반 시설, 즉 전력·가스·상하수도·교통·댐 등 및 민간 분야의 다양한 주요 산업시설물들이 원거리 등에 산재해 있는 시스템들에 대한 효과적인 원격 모니터링과 제어를 위해 필수적으로 사용되는 컴퓨터 기반의 시스템을 일컫는다.
제어 시스템(Control System)은 일반적으로 장치들마다 상호 또는 외부 기기와 연결하여 각각의 장치에 대한 원격 접근과 제어가 가능하고, 여러 명령과 조작을 할 수 있도록 양방향 특화된 통신 환경을 제공한다. 이러한 제어 시스템은 산업설비 계측/제어, 플랜트 설비 감시/관리, 전력 생산/분배, 가스 생산/유통, 수자원 관리, 교통 인프라 제어, 댐/석유와 같은 각종 자원의 감시와 제어에 이르기까지 중요 생산, 기반 설비에 폭 넓게 사용되고 있다.
산업 제어 시스템은 원방감시와 제어 데이터 수집(Supervisory Control and Data Acquisition, SCADA) 시스템, 분산 제어 시스템(Distributed Control Systems, DCS), PLC (Pro-grammable Logic Controllers)와 같은 여러 종류의 제어 시스템을 통칭하는 광의의 용어이다.
SCADA는 지역적으로 4천 평방킬로미터 이상의 분산되어 있는 플랜트 등에 적용되며, 배수 및 폐수 수거 시스템, 석유 및 천연가스 수송관, 전력 그리드, 철도 수송 시스템 등과 같은 분산 시스템에 사용된다.
DCS는 같은 지역에 위치한 플랜트에 적용되는 공정 제어 시스템으로 공정제어에 적용되는 시스템을 각 플랜트에 알맞은 단위 서브시스템으로 분리하고 상호 간에 통신할 수 있도록 구성된다. DCS는 전력 발전, 정유 공장, 수력 및 폐수, 화학/식품/자동차 생산과 같은 공정 제어 산업에 사용된다.
PLC는 산업 장치와 프로세스를 제어하는 컴퓨터 기반의 반도체를 이용한 기기로 SCADA와 DCS에서 사용되며, 빌딩 자동화, 전기 조명설비/승강기 설비, 기계자동화 공작기계, 조립라인 등과 같은 별도 공정의 작업 통제를 제공하는 소단위 통제 시스템의 주요 구성 요소이다. 

2010년 이러한 국가 주요 산업 제어 시설을 대상으로 새로운 유형의 사이버테러 사례인 스턱스넷(Stuxnet, 2010년 이란서 한 사고로 원자력발전소를 멈추게 함)을 비롯한 듀크, 플레임 등과 같은 제어 시스템을 대상으로 한 사이버 공격에서 정보보안에 대한 심각성이 크게 대두되면서 이에 대한 탐지와 대응이 주요한 이슈가 되고 있다.
스턱스넷은 폐쇄망으로 운용되는 독일 지멘스사의 산업자동화 제어 시스템(PCS7)만을 공격 목표로 제작된 악성 코드로서, 지금까지의 악성 코드가 실력 과시나 금전적인 이득을 목적으로 한 것과 달리 스턱스넷은 사회기반시설의 파괴만을 목표로 하고 있다는 점에서 사이버 무기화된 최초의 사례로 알려져 있다.
스턱스넷은 일반 PC를 감염시킨 후 이 PC에 연결되는 휴대용 저장장치(USB, 외장형 하드디스크 등)를 통해 산업시설 내 컴퓨터로 침투하는 것으로 밝혀졌다.
이 악성 코드는 교통·전기·수도·발전소·원자력·철강·반도체·화학 등 주요 사회기반시설의 제어 시스템에 오작동을 유발함으로써 시스템 마비, 파괴 등의 치명적인 손상을 입힐 수 있다.
실제로 스턱스넷은 원자력핵발전소의 원심분리기 가운데 20%의 가동을 중단시켜 수개월간 이란의 핵무기 개발을 지연시켰다고 한다. 이제 사이버 공격의 양상은 기존의 전방위적인 무작위 공격에서 특정 기업이나 대상을 겨냥한 표적 공격으로 진화하고 있으며, 특히 올해 들어 APT 공격이 심각한 보안 위협으로 떠올랐다. 국내에서도 스턱스넷 외에 다양한 감염 시도 건수가 수만 건이 발견된 것으로 나타 났다.
스턱스넷을 시초로 최근에는 듀크, 플레임과 같은 제어 시스템과 산업기반시설과 같은 특정 목표를 대상으로 한 해킹 시도가 증가할 것으로 예상된다. APT 공격도 이 같은 기술들을 사용하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점과 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이다.
특히 피해 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실조차 모르는 경우가 대부분이다. 공격 대상도 주로 산업용 제어관련 기업이나 항만, 공항, 발전소 등 국가 핵심시설을 노린다.
하지만 시만텍이 발표한 ‘2011 시만텍 핵심 기간산업 보호현황 보고서(2011 Symantec Critical Infrastruc-ture Protection Survey)’에 따르면, 국가 핵심 기간산업을 노리는 APT 형태의 표적 공격이 늘고 있음에도 불구하고 핵심 기간산업 관련기업들의 정부 CIP 프로그램에 대한 인식 및 참여도는 지난해 56%보다 낮은 37%에 불과한 것으로 나타났다. 

최근 ‘스턱스넷’과 유사한 악성코드인 ‘두큐’의 등장을 감안하면 이 같은 결과는 매우 우려되는 수준이다.
시만텍은 사전 정보수집을 목적으로 하는 ‘듀큐’가 스턱스넷 공격과 유사한 차세대 사이버 공격을 예고하는 전조일 수 있는 만큼 각별히 주목할 필요가 있으며, 현재까지 탐지되지 않은 변종을 이용해 다른 조직에 유사한 방식의 공격을 수행하고 있을 가능성도 배제할 수 없다고 경고했다.
한편, 가트너는 올해 전 세계 스마트폰 판매량이 연말까지 10억대를 초과해 PC 출하량을 넘어설 것으로 전망했다. 이런 폭발적인 모바일 기기의 증가로 사이버 범죄자들이 ROI 관점에서 모바일 플랫폼에 큰 관심을 갖기 시작했고 실제 프리미엄 번호 과금사기, 정보 탈취 등 모바일 악성 코드가 기업과 개인 사용자들에게 실제적인 보안 위협으로 크게 대두되고 있다.
모바일 사용자가 급증함에 따라 기업의 정보보호책임자(CISO)들은 외부에서의 보안 위협뿐만 아니라 내부 임직원들에 의한 보안 문제도 큰 고민거리이다.
이와 함께 표적 공격의 위협에 대한 무관심과 이에 대한 대응방안이 미흡한 기업들이 주요 공격 대상으로 떠오르면서 표적 공격 횟수의 증가는 일정 부분 기업들이 경쟁사의 핵심 정보를 얻기 위한 디지털 스파이 활동을 통해 경쟁력을 높이려는 의도에 기인한다.
시만텍이 탐지한 ‘니트로(Nitro)’공격의 경우, 미국에서 화학 및 방산업체, 첨단 소재의 연구개발 및 제조와 관련된 민간 기업을 주요 공격 대상으로 삼았다. 니트로 공격은 화학업계를 공격한 것으로 확인됐으며, 특히 방산업체를 포함한 다양한 분야의 기업들 역시 공격받은 것으로 알려졌으며, 이들 다수 기업들 외에 다른 기업들도 ‘니트로’ 공격에 당했을 가능성이 높다고 한다.

기존 제어 시스템은 독립적인 시스템(폐쇄망)으로 구축·운용됐으나, 최근에는 업무 효율성 및 경쟁력 강화, 통합화 등의 이유로 인터넷과 같은 개방형 망을 통하여 외부 시스템과의 연계 및 통합이 이뤄지고 있다. 기존 기계식(또는 전자식)방식의 제어 시스템은 릴레이 및 유압기계를 이용하여 복잡한 시리얼 케이블과 배선작업을 통해 현장에서 직접 감시, 제어할 수 있게 설계되었으나, 현재 제어 시스템은 PLC 및 소형센서와 네트워크 통신 기능을 갖추고 원격감시 제어 및 데이터를 취득할 수 있어 광역화를 할 수 있게 되었다. 따라서 기존 제어 시스템 연결 방식이 전용선으로 연결되었다면, 현재의 제어 시스템은 인트라넷이나 인터넷과 연동된다.
기존 제어 시스템은 실시간 OS, 임베디드 OS, 특화된 OS를 사용했으나, 최근에는 범용 OS(Windows, Linux)의 사용이 증가하고 있고, 메인서버 사용에서 워크스테이션, PC, 이동/무선 매체 사용으로, Fieldbus, Modbus, ICCP 등의 프로토콜 사용에서 TCP/IP, 무선 프로토콜 사용으로 변화되고 있다.
이처럼 제어 시스템이 인트라넷 및 인터넷과 연동이 되고, 제어 시스템과 기업 IT 시스템의 접목이 지속적으로 증가함에 따라 제어 시스템을 구축·운영하고 있는 산업제어시설에 대한 사이버 침해 위협 가능성도 증가하고 있다.
위에서 살펴본 바와 같이 제어 시스템에 대한 사이버 침해의 가능성과 위험 증가에 대한 우려가 점차 높아지는 가운데 국내외적으로 각국에서는 제어 시스템 보안을 국가 정책의 주요 이슈로 제시되어 제어 시스템 보안 정책 마련과 추진 중에 있다.
미국에서는 2009년 2월 오바마 대통령은 국가기반시설에 대한 사이버 공격 위험 파악을 요구하는 미국 사이버보안 전략의 재검토를 지시했다.
미국 사이버보안 전략의 재검토 결과 에너지 분야 제어 시스템에 대한 추가적인 보안 지침과 절차서를 마련할 것과 가상 적국에 의한 스마트그리드의 대규모 사이버 공격에 대응할 수 있는 보안 표준 마련 및 적용, 항공 관련 잠재적 보안 취약점 평가 및 강력한 사이버 보안 전략을 개발할 것이 권고되었다.
미국의 제어 시스템 보안정책을 살펴보면, 2011년 1월 ‘에너지 전달 시스템 보안을 위한 로드맵(NERC-CIP)’으로 제정되었으며, 2009년 2월에 국토안보부는 제어 시스템 보안을 위한 정부제조업체 운영기관 간의 협의를 위해 ICSJWG(Industrial Control Systems Joint Working Group)를 설립하여 제어 시스템 보호를 위한 협력체계를 구축했다.

국내에서는 ‘스턱스넷’ 악성코드 출현을 계기로 전력, 가스, 원자력 등 사회 주요기반시설의 제어 시스템 공격이 현실화되었음을 인식하고, 2011년 2월 정부는 유관 부처들과의 협의를 통해 사회기반시설 사이버 공격 실태조사와 지원센터 운영, 인력양성 등 사회기반시설 보호 종합대책을 최종 확정했다. 현재 통계청 한국표준산업 분류체계에 따라 제어시설을 보유한 사업체는 약 23만개이며, 이 중 제어 시스템을 생산·공급 등 업무에 활용하는 업체는 약 5000여 개로 추정된다. 행정안전부가 2011년 7월에 발표한 ‘정보통신기반시설 정보보호 강화방안 추진실적 및 향후 계획’에 의하면 제어시설에 대한 보안가이드라인을 배포하고, 한국인터넷진흥원에 제어 시스템 악성 코드 분석 등을 지원하는 테스트베드를 구축하는 한편, 국민생활에 파급 효과가 큰 교통신호, 정수장, 홍수통제소, 가스, 지역난방, 정유 등 6개 분야 39개 제어시설에 대하여 주요정보통신기반시설로 지정 권고하기로 했다.
산업 제어 시스템은 대상 시스템이 정상적으로 운영되도록 직접적인 제어를 수행하므로 고도의 안전성이 요구되며, 만약 잘못 조작되거나 악의적으로 조작될 경우 IT 보안에서 발생될 수 있는 단순한 정보 접근 차단에 따른 불편함의 문제가 아니라, 국가적으로 피해 규모가 매우 크고 사회·정치적 혼란을 초래하게 된다. 따라서 이에 대한 철저한 사전예방과 보안관리방안 수립이 요구된다.
현재까지는 IT 시스템에 대한 위험분석과 관리는 활발하게 이루어졌지만 제어 시스템이 폐쇄적으로 운영되었기 때문에 이와 관련 연구에 상대적으로 소홀했다.

산업 제어 시스템과 기업 IT 시스템 차이점

현재 사용되는 산업 제어 시스템들은 공중망(Public) 및 전용망(dedica-ted), PC 컴퓨팅 또는 인터넷이 비즈니스에 널리 사용되기 훨씬 이전에 개발된 것들이 대부분이다. 이러한 산업 제어 시스템들은 성능, 신뢰성, 안정성, 유연성에 대한 요구사항을 만족하도록 설계되었다.
대부분의 경우, 물리적으로 외부 네트워크와 단절되어 있고, 전용 하드웨어와 소프트웨어, 특화되고 독점적인 기능이 있는 통신 프로토콜을 사용한다. 그래서 오늘날 시스템들이 상호 연결되는 환경에서 요구되는 다양한 보안 통신 기능은 결여되어 있다.
제어 시스템 설계 시 계측적인 성능 및 장애를 고려하기 때문에 신뢰성(Reliability), 유지보수성(Mainta-inability), 가용성(Availability)이 중요 고려사항이었던 반면에 사이버 보안 방안에 대한 필요성에 대해서는 전혀 예상하지 못했다. 강력하게 확산된 IP 기반의 장치들이 제어 시스템의 전용 솔루션을 대체하고, 연계성 및 원격 접속 기능을 증진시키기 위하여 제어 시스템이 IT 솔루션들을 채택하고, 산업 표준 컴퓨터, OS, 네트워크 프로토콜들을 사용하여 구현됨에 따라 점점 기업 IT 시스템과 유사해지기 시작했다.
이러한 통합은 새로운 통합 IT 능력을 지원하지만 제어 시스템을 외부 시스템으로부터의 고립성을 떨어뜨린다. 또한 이로 인해 제어 시스템이 새로운 형태의 위협에 노출되며, 제어 시스템의 침해 가능성이 증가하게 된다. 보안 솔루션이 기존 IT 시스템의 보안 이슈 해결을 위해 설계되었지만 이러한 보안 솔루션을 제어 시스템에 적용 시에는 각별한 주의가 필요하다. 어떠한 경우에는 제어 시스템에 맞춤 설계된 새로운 보안 솔루션을 필요로 한다.
제어 시스템의 침해는 사람의 건강과 안전에 위험을 초래하고, 생산성 손실에 따른 경제적 타격을 주며 국가 경제에 부정적인 영향을 미치게 된다. 또한, 제어 시스템은 365일 24시간 내내 항상 작동할 수 있도록 운영되어야 하며, 제어 시스템의 설계 및 운영 시 목표로 하는 안정성, 효율성과 보안이 때때로 충돌하게 된다.
이렇듯 제어 시스템은 IT 시스템과는 다른 위험과 다른 우선순위를 가진다. 제어 시스템과 IT 시스템의 접목이 증가하고 있긴 하지만, 표 1과 같이 제어 시스템과 IT 시스템에는 운영환경과 요구사항, 기술적 특성, 보안구조 측면에서 많은 차이가 존재한다. 제어 시스템에 적합한 보안 방안을 마련하기 위해서는 이러한 특성과 차이점을 잘 이해하는 것이 필요하다.

산업 제어 시스템의 주요 보안 관리 방안

제어 시스템의 보안 관리 기본 방향의 개략적인 개요는 다음과 같다. 관리적 관점에서 사이버 보안에 대한 명확한 역할과 책임의 정의, 소프트웨어 및 하드웨어 설정 관리, 위험 관리, 성과평가 프로세스의 수립, 보안 요건의 명확한 식별, 기술적 보안 감사, 보안 정책 수립 및 교육의 수행, 네트워크 구조에 대한 문서화, Red Team의 구성, 백업 및 재난 복구 계획의 수립이 필요하다.
기술적 관점에서는 심층 방어기법의 적용, 다중 환경의 보안 방어 시스템의 설치 및 이벤트/로그 모니터링 실시, 외부 연결접점에 대한 식별과 보호, 매체 통제, 제어 시스템에 제공되는 보안 기능 적용, 보안 프로토콜 적용 등이 필요하다.

강신원 시큐아이넷 상무이사